Marak Insiden Kebocoran Data, Akselerasi Pembahasan RUU Pelindungan Data Pribadi Mendesak

Baru-baru ini akun DatabaseShopping, melalui RaidForums, sebuah forum komunitas hacker, mengaku menjual 230 ribu data terkait penanganan COVID-19 di Indonesia. Celakanya, tidak hanya data pribadi yang bersifat umum, seperti nama, alamat, dan usia, tetapi di dalamnya juga termasuk data riwayat kesehatan, yang masuk kualifikasi data sensitif. Kebocoran data sensitif lebih mengkhawatirkan, sebab data ini mengidentifikasi seseorang seumur hidupnya, dan kerap menjadi sumber permasalahan stigmatisasi, diskriminasi, dan eksklusivisme. Oleh karenanya, setiap tindakan pemrosesan terhadap data sensitif pada dasarnya dilarang, kecuali atas persetujuan dari subjek data, atau terkait dengan kepentingan vitalnya (vital interest).

Insiden tersebut seperti melengkapi rentetan insiden kebocoran data yang terjadi sebelumnya. Pada 17 April 2020, Tokopedia mengalami kebocoran data pribadi penggunanya, setidaknya terhadap 12.115.583 akun. Tidak lama setelah insiden itu, kembali terjadi kebocoran data yang dialami oleh Bhineka.com, sebuah online store business. Sekelompok peretas ShinyHunters mengklaim memiliki 1,2 juta data pengguna Bhinneka.com. Data tersebut dijual senilai USD 12.000 atau setara dengan Rp 17.800.000,-. Beberapa waktu sebelumnya, insiden kebocoran data juga dialami oleh platform e-commerce lainnya, Bukalapak. Tercatat 12.957.573 akun pengguna platform tersebut diperjualbelikan.

Kebocoran data tidak hanya terjadi pada sektor swasta, pada 21 Mei 2020, akun Twitter @underthebreach menyebutkan adanya penjualan 2 juta data pemilih. Penjual juga mengaku memiliki 200 juta data penduduk Indonesia, yang terdiri dari nama lengkap, alamat, nomor identitas, tanggal lahir, umur, status kewarganegaraan, dan jenis kelamin, yang berasal dari Daftar Pemilih Tetap (DPT) yang dikelola Komisi Pemilihan Umum (KPU). Kebocoran DPT memiliki risiko yang sangat besar, karena DPT dibangun dari data kependudukan, yang terkoneksi dengan NIK dan NKK seseorang. Sementara NIK dan NKK adalah instrumen utama dalam verifikasi dan pengaksesan berbagai layanan, baik publik maupun swasta, seperti BPJS, layanan perbankan, dsb.

Dari berbagai insiden kebocoran data tersebut Lembaga Studi dan Advokasi Masyarakat (ELSAM) melihat semakin pentingnya percepatan proses pembahasan RUU Pelindungan Data Pribadi (RUU PDP). Tidak adanya UU Pelindungan Data Pribadi yang kuat dan komprehensif, berakibat pada munculnya sejumlah persoalan dalam penanganan insiden kebocoran data, mulai dari: ketidakjelasan proses notifikasi, ketidakjelasan proses penanganan, ketidakjelasan proses investigasi, ketidakjelasan pembagian tanggung jawab dalam penanganan, ketidakjelasan mekanisme komplain, dan ketidakjelasan proses penyelesaian.

Secara umum beragam permasalahan dalam penanganan itu terjadi sebagai akibat dari sengkarut pengaturan perlindungan data di Indonesia, yang pada akhirnya berdampak pada adanya ketidakpastian hukum dalam perlindungan. Ketidakpastian hukum terjadi dikarenakan: tidak adanya kesamaan definisi data pribadi dan jenis data pribadi; ketidakselarasan prinsip-prinsip dalam perlindungan data; ketidakjelasan dasar hukum pemrosesan data; ketidaksatuan pengaturan pemrosesan data; ketidakjelasan pengaturan perihal kewajiban pengendali dan prosesor data; kekosongan jaminan perlindungan hak-hak subjek data; dan ketiadaan lembaga independen yang berfungsi sebagai regulator, pengendali, dan pengawas, termasuk penyelesaian sengketa, misalnya ketika terjadi kegagalan dalam perlindungan data. Hal ini tentu berdampak pada warga negara sebagai subjek data berada pada posisi tidak terlindungi dan rentan sejumlah aktivitas yang bersumber pada penyalahgunaan data pribadi, seperti korban penipuan dan pencurian identitas.

Selain respon terhadap berbagai insiden kebocoran data pribadi tersebut, kehadiran UU Pelindungan Data Pribadi yang komprehensif juga relevan dengan sejumlah faktor, seperti: semakin intensifnya pengelolaan data pribadi kependudukan, yang dibarengi dengan pembukaan akses kepada pihak ketiga; besarnya data telekomunikasi; masifnya pengumpulan data keuangan, termasuk yang dilakukan oleh platform keuangan digital; besarnya pengguna media sosial; kian pesatnya industri e-commerce; semakin intensifnya praktik-praktik profiling konsumen; pengelolaan data kesehatan berbasis digital; besarnya potensi penggunaan data besar dalam kontestasi politik; pengembangan identitas digital baik oleh pemerintah maupun swasta; dan permasalahan tidak adanya kesatuan hukum perlindungan data di Indonesia.

Berangkat dari berbagai permasalahan dan sejumlah faktor yang terkait dengan pentingnya kehadiran sebuah UU Pelindungan Data Pribadi yang komprehensif, bersamaan dengan baru dimulainya masa persidangan baru DPR, ELSAM menekankan:

  1. Pentingnya akselerasi proses pembahasan RUU Pelindungan Data Pribadi, agar Indonesia segera memiliki instrumen perlindungan data pribadi yang kuat, guna memastikan pemenuhan dan perlindungan hak-hak privasi warganya.
  2. Dalam kaitannya dengan kebutuhan akselerasi proses pembahasan tersebut, diperlukan strategi pembahasan yang baru (dalam situasi COVID-19), dengan tetap menjamin partisipasi aktif dari publik dan pemangku kepentingan.
  3. Sejumlah prinsip yang terkait dengan multistakeholderism, guna memastikan partisipasi seluruh pemangku kepentingan, juga musti diaplikasikan dalam strategi pembahasan, seperti: keterbukaan, transparansi, aksesibilitas, akuntabilitas, kredibilitas, sumberdaya yang terjangkau, dan pengambilan keputusan berbasis konsensus.
  4. Selain itu komitmen dari seluruh fraksi di DPR dan pemerintah dengan seluruh sektornya (kementerian/lembaga) juga sangat diperlukan, dengan berperan aktif dan mendukung proses ini, guna terwujudnya sebuah UU Pelindungan Data Pribadi yang kuat dan efektif.
  5. Perlunya melakukan kembali penilaian risiko secara komprehensif terhadap seluruh teknologi dan sistem informasi yang digunakan dalam penanggulangan Covid-19, terutama berkaitan dengan data pribadi pasien dan pekerja medis, sehingga mampu melakukan perbaikan tata kelola data dalam sistem yang meningkatkan pelindungan data pribadi.

Jakarta, 19 Juni 2020

Lembaga Studi dan Advokasi Masyarakat (ELSAM)

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Deputi Direktur Riset ELSAM), telp: 081382083993Lintang Setianti (Peneliti ELSAM), telp: 085711624684, atau Alia Yofira (Peneliti ELSAM), telp: 081217015759.