Data DPT Dijual Bebas: Besarnya Risiko Eksploitasi Data Pribadi

Siaran Pers ELSAM

Data DPT Dijual Bebas: Besarnya Risiko Eksploitasi Data Pribadi

Pada 21 Mei 2020, akun Twitter underthebreach, sebuah akun pemantauan dan pencegahan kebocoran data asal Israel, menyebutkan adanya penjualan 2 juta data pemilih dari Komisi Pemilihan Umum (KPU) Indonesia di sebuah situs forum hacker. Tidak hanya 2 juta, penjual meyakinkan ia memiliki 200 juta data penduduk yang terdiri dari nama lengkap, alamat, nomor identitas, tanggal lahir, umur, status kewarganegaraan, dan jenis kelamin. Meskipun perwakilan dari KPU menyebutkan bahwa data pemilih Pemilu 2014 tersebut masuk dalam kategori data terbuka menurut hukum Indonesia, tetapi justru sangat besar risiko dan potensi penyalahgunaannya.

Pengalaman penyelenggaraan pemilu di banyak negara, memperlihatkan perdebatan tak-berkesudahan perihal status daftar pemilih atau electoral rolls, mengingat sifat dualistik dari data ini. Pada satu sisi daftar pemilih merupakan data terbuka, yang bisa diakses oleh siapa pun, guna menjamin pelaksanaan pemilu yang fair dan akuntabel. Akan tetapi pada sisi lain, data-data ini juga mengandung konten data pribadi, yang tunduk pada sejumlah prinsip perlindungan data pribadi. Kandungan itu pula yang menjadi pemicu keinginan besar partai politik atau politisi untuk bisa mengakses secara utuh daftar pemilih tetap, yang di dalamnya tersedia nama, usia, dan alamat pemilih. Namun dikarenakan status dualistiknya, terhadap data pemilih telah diterapkan prinsip “terbuka pengawasan dari publik, dengan sejumlah pengecualian” (open to inspection by general public with limited exception).

Problemnya di Indonesia, terdapat kontradiksi antara UU Pemilu dengan UU Adminduk, maupun prinsip-prinsip perlindungan data secara umum. Lebih jauh, ketentuan Pasal 201 Ayat (8) UU Pemilu menyebutkan, pemutakhiran data pemilih dilakukan setiap enam bulan sekali, dengan mengacu pada data kependudukan yang diserahkan oleh pemerintah kepada penyelenggara Pemilu. Hasil pendataan inilah yang kemudian menentukan apakah seseorang warga negara telah terdaftar sebagai pemilih dan berhak menggunakan suaranya atau tidak. Data-data tersebut selain berupa nama dan alamat, juga termasuk NIK dan jenis kelamin (Pasal 202), bahkan praktiknya Nomor Kartu Keluarga (NKK) juga dicantumkan, yang memungkinkan identifikasi lanjutan, seperti nama ibu kandung seseorang. Ketentuan undang-undang ini juga memberikan kewajiban kepada penyelenggara Pemilu untuk menyerahkan salinan DPT kepada semua partai politik peserta pemilu, termasuk NIK dan NKK, dan tanpa ada aturan untuk menutup nomor-nomor dalam NIK dan NKK, yang dapat mengidentifikasi atau memprofil seseorang. Mengacu pada NIK sendiri, seseorang akan langsung dapat diketahui, wilayah tempat tinggal dan tanggal lahirnya. Sementara posisi partai politik tidak jelas apakah sebagai pengendali atau prosesor data pribadi?

Pernyataan yang menyebutkan bahwa DPT senuhnya adalah data terbuka, merupakan sikap pengabaian terhadap potensi penyalahgunaan data pribadi. Kebocoran DPT memiliki risiko yang sangat besar, karena DPT dibangun dari data kependudukan, yang terkoneksi dengan NIK dan NKK seseorang. Sementara NIK dan NKK adalah instrumen utama dalam verifikasi dan pengaksesan berbagai layanan, baik publik maupun swasta, seperti BPJS, layanan perbankan, dst. Secara umum, dalam berbagai kasus kebocoran data sebelumnya, data pribadi yang bocor dapat digunakan untuk mengakses rekening bank orang tersebut, mengumpulkan data pribadi lebih lanjut tentang orang tersebut, melakukan pemerasan, dan masih banyak lagi. Dalam skala kecil, kasus-kasus penipuan dan pemalsuan data dapat terjadi akibat dari kebocoran data ini. Selain itu potensi penambangan data lanjutan juga sangat besar, yang berakibat pada praktik eksploitasi data dengan glanuralitas besar, yang berdampak pada hilangnya kontrol subjek data pada data pribadinya. 

Sebagai contoh, di Korea Selatan sekitar 20 juta penduduk Korea Selatan, termasuk presiden Korea Selatan saat itu, Park Geun-hye, menjadi korban pencurian data pribadi dari tiga perusahaan kartu kredit. Maraknya kasus pencurian data pribadi dan identitas tersebut bahkan menyebabkan Pemerintah Korea Selatan mempertimbangkan untuk memberikan nomor ID baru untuk setiap warga negaranya, dengan estimasi biaya mencapai miliaran dolar. Menyadari kerentanan dan dampak negatif yang tinggi dari kebocoran data kependudukan ini, negara-negara yang mengalami kebocoran data kependudukan yang masif seperti Ekuador kemudian mempercepat pengesahan undang-undang pelindungan data pribadi yang komprehensif di negaranya. Khusus terhadap data Pemilu, beberapa negara juga telah melakukan penyelarasan antara UU Pemilu dengan UU Perlindungan Data Pribadi mereka, misalnya di negara-negara Eropa dengan mulai berlakunya EU GDPR (General Data Protection Regulation). Penyelarasan ini khususnya terkait dengan status dari data pemilih, kontennya, serta kewajiban dari partai politik, apakah bertindak sebagai data controller atau data processor?

Keberadaan UU Perlindungan Data Pribadi ini nantinya akan mengatur secara lebih jelas kewajiban pengendali dan prosesor data pribadi, tidak hanya sektor privat, namun juga badan publik—lembaga negara. Secara umum, badan publik yang bertindak sebagai pengendali data memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya, yang meliputi: (1) penerapan pseudonymization dan enkripsi data pribadi, (2) memberikan jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan, (3) memiliki kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat (tidak menunda-nunda) dalam hal terjadi insiden fisik atau teknis (i.e. kebocoran data), (4) menerapkan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan data (termasuk menerapkan Privacy by Design dan Data Protection Impact Assessments (DPIAs)).

Menimbang situasi di atas, terutama dalam situasi kekosongan hukum perlindungan data pribadi yang komprehensif saat ini, Lembaga Studi dan Advokasi Masyarakat (ELSAM) merekomendasikan hal-hal berikut:

  1. Kementerian Komunikasi dan Informatika segera melakukan proses investigasi, guna mendapatkan data dan informasi lebih lanjut perihal jumlah DPT yang terdampak, data apa saja yang bocor, dan langkah-langkah apa saja yang telah diambil oleh Komisi Pemilihan Umum (KPU), selaku penyelenggara sistem elektronik pelayanan publik, untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi;
  2. Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, juga Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, untuk mengambil langkah dan tindakan terhadap pengendali data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi dan memastikan pemulihan bagi para pemilik data;
  3. Pemerintah dan DPR untuk segera melakukan proses pembahasan bersama RUU Pelindungan Data Pribadi, dengan tetap mempertimbangkan situasi pandemik COVID-19 dan tetap menjamin partisipasi aktif seluruh pemangku kepentingan. Akselerasi proses pembahasan ini penting mengingat banyaknya peristiwa dan insiden terkait dengan eksploitasi data pribadi, baik di sektor publik maupun privat.

Jakarta, 22 Mei 2020

Lembaga Studi dan Advokasi Masyarakat (ELSAM)

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Deputi Direktur Riset ELSAM), telp: 081382083993Lintang Setianti (Peneliti ELSAM), telp: 085711624684, atau Alia Yofira (Peneliti ELSAM), telp: 081217015759.