Oleh: Iin Valentine
Insiden kebocoran data pribadi di Indonesia terus terjadi. Menurut pemantauan SAFEnet, selama dua tahun terakhir terjadi kebocoran data pribadi setidaknya 113 kali, yaitu 36 kali pada 2022 dan 77 kali pada 2023.
Namun, jumlah itu jauh lebih sedikit dibandingkan temuan lembaga keamanan siber Surfshak yang menemukan lebih dari 143 juta akun di Indonesia menjadi korban kebocoran data hanya sepanjang tahun 2023. Jumlah tersebut membuat Indonesia berada di urutan ke-13 secara global sebagai negara yang paling banyak mengalami kebocoran data.
Ironisnya, sebagian besar insiden kebocoran data pribadi tersebut justru terjadi pada lembaga pemerintah. Salah satu contohnya kebocoran data pribadi sekitar 204 juta pemilih yang diduga diambil dari data Komisi Pemilihan Umum (KPU) pada November 2023. Data pribadi pemilih yang ditawarkan melalui forum jual beli data itu mencakup nama lengkap, tanggal lahir, jenis kelamin, nomor induk kependudukan (NIK), dan alamat lengkap.
Terhadap kebocoran data pribadi pemilih itu, baik KPU, Kementerian Komunikasi dan Informatika (Kominfo), maupun Badan Siber dan Sandi Negara (BSSN) hanya pernah membuat pernyataan pers, tetapi tidak ada pengakuan jelas, apalagi permintaan maaf kepada publik perihal kebocoran data pemilih itu.
Tidak adanya pertanggungjawaban lembaga pemerintah tersebut terjadi, antara lain, juga karena minimnya tekanan dan tuntutan publik agar lembaga pemerintah lebih bertanggung jawab terhadap pengamanan data pribadi. Warga secara umum belum memiliki kesadaran tentang pentingnya keamanan data-data pribadi yang dikelola oleh lembaga pemerintah. Akibatnya, lembaga pemerintah pun seolah menganggap insiden-insiden kebocoran data itu sebagai hal lumrah dan normal terjadi.
Situasi itu membuat semua pemangku kepentingan, termasuk organisasi masyarakat sipil, harus terus menerus melakukan pendidikan kepada publik tentang pentingnya data-data pribadi. Tidak hanya menjaganya sendiri, tetapi juga dengan kemauan untuk menuntut tanggung jawab Negara agar lebih mengamankan data-data pribadi warga dan bertanggung jawab terhadap kebocoran yang terjadi. Terlebih sejak disahkannya Undang-Undang Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) pun belum cukup menjawab persoalan ini.
Pelanggaran Hak-hak Digital
Merespons situasi tersebut, SAFEnet melaksanakan rangkaian lokakarya dan diskusi publik melibatkan berbagai pemangku kepentingan di Makassar, Sulawesi Selatan. Kegiatan ini merupakan rangkaian program Greater Internet Freedom (GIF Y4) yang didukung oleh Internews dan EngageMedia.
Lokakarya bertema “Melibatkan Publik dalam Pelindungan Data Pribadi sebagai Bagian dari Hak-hak Digital” tersebut dilaksanakan pada 22-23 April 2024. Sebanyak 14 perwakilan organisasi masyarakat sipil (OMS) Makassar mengikuti kegiatan yang bertujuan untuk menyebarluaskan pengetahuan serta merumuskan rekomendasi untuk melibatkan publik dalam penegakan UU Pelindungan Data Pribadi itu. Mereka mewakili kelompok perempuan, ragam gender dan seksualitas, pegiat hak asasi manusia (HAM), lembaga konsumen, jurnalis, serta kelompok minoritas kepercayaan.
Empat narasumber hadir untuk memantik diskusi dalam kegiatan yang berlangsung selama dua hari tersebut. Hari pertama, para peserta diberikan pemaparan tentang situasi hak-hak digital di Indonesia. Dalam penyampaiannya, Syaifullah, Kepala Divisi keamanan Digital SAFEnet menyatakan bahwa pemenuhan hak digital di Indonesia masih jauh dari kata ideal. “Tantangan untuk pemenuhan hak digital di Indonesia masih sangat banyak, termasuk kesadaran masyarakat akan hak digitalnya,” ungkap laki-laki yang akrab disapa Daeng itu.
Dalam rentang tahun 2021-2024, di Sulawesi Selatan sendiri tercatat ada berbagai kasus pelanggaran hak digital. Hal tersebut disampaikan oleh Fajriani Langgeng dalam sesinya. Kasus-kasus tersebut berupa penipuan online, peretasan akun, penyadapan, penyebaran data pribadi, gugatan terhadap media, kriminalisasi jurnalis, hingga kekerasan berbasis gender online (KBGO). Direktur LBH Pers Makassar itu juga menyatakan bahwa Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) sering kali digunakan untuk megkriminalisasi jurnalis atas berita yang mereka buat.
Tidak adanya pelibatan masyarakat dalam penyusunan regulasi ini membuatnya bukan jadi sarana untuk melindungi hak warga. Sebaliknya, ia menjadi penjerat kebebasan berekspresi yang tidak lahir dari partisipasi akar rumput.
Memetakan Tantangan
Tantangan-tantangan lain dalam pemenuhan hak digital warga juga disampaikan oleh para peserta. Dalam sesi diskusi kelompok, mereka tak hanya memetakan tantangan yang dihadapi, tetapi juga pengalamannya secara personal maupun kelembagaan dalam upaya pemenuhan hak digital.
Dari sisi akses, para peserta menyoroti tentang terjadinya sabotase jaringan, koneksi Internet yang cukup lambat dan tidak sebanding dengan harga layanannya yang mahal. Tak hanya itu, bahkan di banyak wilayah Sulawesi Selatan, belum ditemui jaringan internet. Tidak meratanya infrastruktur ini semakin terasa tantangannya ketika pemerintah memberlakukan kebijakan belajar daring saat masa COVID-19.
Sementara dari sisi keamanan, disampaikan pula bahwa kesadaran masyarakat akan pentingnya literasi digital juga masih kurang. Di antara banyaknya kasus pelanggaran keamanan digital, salah satu penyebabnya adalah adanya kebocoran data pribadi. Kebocoran ini dapat terjadi akibat kebiasaan mengunggah hal-hal personal ke Internet maupun pencurian atau penyalahgunaan data oleh pihak ketiga.
Tantangan keamanan ini sering kali dirasakan oleh aktivis dan pegiat HAM. Namun, tidak terbatas pada kalangan itu saja. Para pelaku berusaha untuk membungkam suara mereka dengan melakukan doxing, teror, serta peretasan akun.
Untuk lebih memahami privasi dan upaya pelindungan data pribadi, SAFEnet turut mengundang Prof. Dr. Maskun, SH.,LL.M, guru besar Fakultas Hukum Universitas Hasanuddin. Ia memaparkan bahwa pengumpulan dan penyebarluasan data pribadi seseorang tanpa izin merupakan pelanggaran privasi. “Setiap orang berhak untuk menentukan siapa yang memegang informasi tentang mereka dan bagaimana informasi itu digunakan,” lanjutnya.
Debora Irene Christine, Manajer Program Kebijakan dan Tata Kelola Data Yayasan Tifa, menyebutkan bahwa berbagai upaya harus ditempuh untuk mendorong penerapan UU PDP yang lebih baik. Misalnya, harmonisasi UU PDP dengan perundang-undangan lain, advokasi RPP UU PDP dan kelembagaan PDP, serta penguatan kapasitas berbagai pemangku kepentingan.
Meminimalkan Risiko Bersama
Poin-poin penting tersebut juga disampaikan pada diskusi publik yang berlangsung pada 24 April 2024. Selain Debora dan Maskun, hadir pula Muhammad Rizky Eka Arlin (pendiri Chieftech.id) sebagai perwakilan sektor swasta, dan Sandiman Ahli Pertama Dinas Komunikasi, Informatika, Statistika, dan Persandian (Diskominfo-SP) Sulawesi Selatan, Ahmad Tasyrif Arief ST, MT.
Tasyrif menyebut bahwa semua penyelenggara sistem elektronik wajib menjaga kerahasiaan data pribadi. Penerapannya dapat dilihat dari upaya Diskominfo-SP dalam menjaga data pribadi pegawai negeri sipil dari aktivitas penyalahgunaan data. Dalam memastikan pelindungan data pribadi, Diskominfo-SP melakukan monitoring dan pemblokiran apabila ada aktivitas mencurigakan atau penyalahgunaan data pribadi.
Dari sektor bisnis, Rizky menjelaskan bahwa penerapan pelindungan data pribadi dalam pengembangan media elektronik tidak hanya pada aplikasinya, tetapi juga perangkat keras dan jaringannya. Pernah terjadi beberapa aplikasi ditolak karena tidak memenuhi standar pelindungan data pribadi penggunanya.
“Jangan terlena dengan keamanan level aplikasi. Kita harus memastikan penerapan pelindungan data pribadi secara menyeluruh,” imbaunya.
Tantangan dalam penerapan UU PDP ini nyata adanya. Meminimalkan risiko memang tanggung jawab bersama. Namun pemerintah punya tanggung jawab lebih besar karena data personal penduduk banyak dikelola pemerintah untuk kebutuhan pelayanan publik.
Urgensi lahirnya UU PDP sangat ideal sebagai bentuk pertanggungjawaban negara dalam melindungi data pribadi warga negara. Warga perlu pihak yang bertanggung jawab dan dalam hal inilah pemerintah berperan. Sehingga instrumen pendukung sebagai bentuk pertanggungjawaban negara terhadap penegakan pelindungan data pribadi sangat penting. Hal ini dapat diwujudkan salah satunya melalui pembentukan aturan-aturan turunan dari UU PDP.