Surat Terbuka untuk KEMKOMINFO Meminta Perlindungan Privasi Pengguna yang Kuat di Aplikasi PeduliLindungi

26 Juni 2020

YTH. Johnny G. Plate
Menteri Komunikasi dan Teknologi Informatika
Kementerian Komunikasi dan Teknologi Informatika (KEMKOMINFO)
Jl. Medan Merdeka Barat no. 9, Jakarta 10110
Republik Indonesia

Yang Mulia,
Surat Terbuka untuk KEMKOMINFO Meminta Perlindungan Privasi Pengguna yang Kuat di Aplikasi PeduliLindungi

Pada April 2020, Indonesia meluncurkan aplikasi pemberitahuan paparan, PeduliLindungi, yang tujuannya untuk melacak dan mengurangi transmisi virus Korona (COVID-19). Meskipun aplikasi ini relevan, aplikasi ini juga memiliki potensi tinggi untuk menempatkan privasi pengguna dalam risiko serius. Karena itu kami mendesak Anda untuk memberikan lebih banyak
transparansi dan untuk memastikan privasi pengguna.

Kami meminta Kementerian Komunikasi dan Teknologi Informatika (KEMKOMINFO) untuk merilis buku putih dan kode sumber PeduliLindungi di bawah lisensi open source. Ini akan membantu para ahli independen untuk memeriksa setiap kerentanan dalam sistem, yang pada gilirannya dapat membantu mengamankan privasi dan keamanan pengguna dan data mereka.

Buku putih sebaiknya mendokumentasikan arsitektur sistem, fungsi, protokol, manajemen data, dan desain keamanan. Source code sebaiknya berasal dari sistem yang digunakan, lengkap, mutakhir, dan dapat dibangun.

Informasi terkini tentang PeduliLindungi terbatas. Pada saat surat terbuka ini ditulis, tidak ada kebijakan privasi yang tersedia di App Store atau Google Play bagi pengguna untuk mengakses atau mengunduh. Kami meminta KEMKOMINFO untuk memberikan kebijakan privasi aplikasi yang jelas pada kedua tempat ini, sesuai dengan standar internasional dan praktik terbaik.

Kebijakan privasi harus memberikan perincian yang jelas tentang cara aplikasi mengumpulkan, menggunakan, dan menyimpan data. Peraturan privasi data Indonesia tertinggal dari praktik terbaik internasional. Memperkuat regulasi privasi data di Indonesia sangat penting untuk melindungi privasi dan perlindungan pribadi warga negara. Karena upaya pemberitahuan paparan dan pemantauan atas COVID-19 telah dilaksanakan, kami meminta Pemerintah Indonesia untuk mengeluarkan peraturan yang menetapkan bahwa data yang dikumpulkan oleh aplikasi pemberitahuan paparan ini, tanpa kecuali, hanya digunakan untuk tujuan pelacakan kontak. Ini juga harus menentukan langkah langkah yang diambil untuk mengamankan data individu dari serangan siber dan pelanggaran keamanan. Kami juga akan menyambut audit independen dari aplikasi serta komite resmi untuk mengawasi perlindungan privasi sehubungan dengan upaya penelusuran kontak pemerintah.

Privasi adalah hak mendasar dan diakui oleh instrumen HAM internasional termasuk Pasal 12 Deklarasi Universal Hak Asasi Manusia (UDHR) dan Pasal 17 Kovenan Internasional tentang Hak Sipil dan Politik (ICCPR). Indonesia adalah negara anggota Perserikatan Bangsa-Bangsa dan telah meratifikasi ICCPR pada tahun 2006. Hal ini juga ditekankan dalam Konstitusi Indonesia Undang-Undang Dasar 1945 khususnya pasal 28 G (1) dan 28 H (4) yang sering menjadi rekomendasi kuat agar untuk melindungi privasi serta perlindungan data. Dengan demikian, upaya penelusuran kontak Indonesia harus diselaraskan dengan standar HAM internasional untuk menjaga privasi. Kami juga merekomendasikan pihak berwenang untuk mengeksplorasi bagaimana praktik terbaik internasional dan panduan tentang melindungi hak privasi dalam kaitannya dengan COVID-19. Ini termasuk panduan terbaru yang diberikan oleh Organisasi Kesehatan Dunia (WHO) pada 28 Mei tentang ‘Pertimbangan etis untuk memandu penggunaan teknologi pelacakan kedekatan digital untuk pelacakan kontak COVID-19’ (WHO reference number: WHO/2019-nCoV/Ethics_Contact_tracing_apps/2020.1). Pedoman awal WHO memperingatkan bahwa keefektifan pelacakan kedekatan digital untuk membantu pelacakan kontak masih belum diketahui, sementara juga mengidentifikasi 17 prinsip untuk memandu pemerintah, lembaga kesehatan masyarakat, dan aktor non-negara tentang penggunaan teknologi pelacakan kedekatan digital yang etis dan tepat untuk mengatasi COVID-19.

Untuk merangkum pernyataan di atas, kami meminta KEMKOMINFO dan Pemerintah Indonesia untuk mengambil tindakan berikut:

  1. Merilis buku putih dan source code PeduliLindungi di bawah lisensi open source. Buku putih sebaiknya berisi detail yang diperlukan dari arsitektur sistem, fungsi, protokol, manajemen data, dan desain keamanan. Source code harus dari sistem yang digunakan, lengkap, mutakhir, dan dapat dibangun sehingga keamanan sistem dan perlakuan privasi dapat diverifikasi secara independen. Buku putih dan source code harus diperbarui secara teratur bersama dengan aplikasi.
  2. Berikan kebijakan privasi yang jelas untuk PeduliLindungi di App Store dan Google Play. Semua elemen tentang bagaimana data dikumpulkan, diproses, dan disimpan harus transparan. Ini harus sejalan dengan standar internasional dan praktik terbaik untuk
    perlindungan privasi. Persetujuan yang diinformasikan pengguna harus diperoleh sebelum aplikasi dapat diunduh.
  3. Menerbitkan peraturan privasi data yang secara khusus mengatur aplikasi PeduliLindungi. Peraturan tersebut harus menetapkan bahwa data yang dikumpulkan tidak akan digunakan untuk tujuan lain selain dari pelacakan kontak serta memastikan ada metode pencegahan (misalnya audit pihak ketiga di mana hasilnya tersedia untuk umum) di tempat untuk menjaga data aman dari serangan siber dan insiden pelanggaran data.
  4. Bersikap transparan tentang insiden pelanggaran data yang terjadi dari database PeduliLindungi termasuk luasnya pelanggaran data, jenis dan volume data pribadi yang terlibat, penyebab atau dugaan penyebab pelanggaran data, apakah pelanggaran data telah diperbaiki, juga langkah-langkah dan proses yang dilakukan KOMINFO pada saat pelanggaran data. Kementerian harus melakukan investigasi resmi dan melaporkan insiden tersebut dan mengambil langkah-langkah untuk memperkuat sistem agar mencegah terulangnya kembali insiden tersebut.
  5. Sesuai dengan komitmen internasionalnya untuk melindungi hak asasi manusia yang mendasar atas privasi, KEMKOMINFO dan Pemerintah Indonesia harus melindungi hak privasi warga negara dalam setiap upaya penelusuran kontak yang akan datang. Transparansi harus disediakan sejauh mungkin terkait dengan bagaimana privasi diperlakukan.

Dengan hormat,

• Yuyun Wahyuningrum, Representative of Indonesia to the ASEAN Intergovernmental
Commission on Human Rights (AICHR)
• Southeast Asia Freedom of Expression Network (SAFEnet)
• Institute for Policy Research and Advocacy (ELSAM)
• FORUM-ASIA
• Commission for the Disappeared and Victims of Violence (KontraS)
• Protection Desk Indonesia/Yayasan Perlindungan Insani Indonesia (YPII)
• Indonesia Legal Aid Foundation (YLBHI)
• Human Rights Working Group (HRWG)
• Access Now
• ARTICLE 19
• CIVICUS: World Alliance for Citizen Participation
• Combine Resource Institution (CRI)
• Asia Democracy Network (ADN)
• DigitalReach

Download File Ind / Eng