Tak ada privasi data di dunia maya
Pencurian data pengguna Facebook secara ilegal yang dilakukan konsultan politik asal Inggris Cambridge Analytica untuk keperluan memenangkan Donald Trump di Amerika Serikat pada 2016 lalu, menimbulkan perdebatan tentang keamanan database (basis data) di internet. Skandal tersebut menunjukkan data digital menjadi sesuatu yang penting hari ini.
David Ingram pernah menulis artikel berjudul “Factbox: Who is Cambridge Analytica and what did it do?” di Reuters pada 20 Maret 2018. Menurut Ingram, Cambridge Analytica memasarkan diri sebagai penyedia penelitian konsumen, iklan, dan layanan terkait data lainnya, baik untuk klien politik maupun perusahaan.
Setelah Trump memenangkan pertarungan politik Amerika Serikat, sebagian dengan bantuan Cambridge Analytica, lantas CEO Cambridge Analytica Alexander Nix pergi ke lebih banyak klien untuk mempromosikan layanannya.
Cambridge Analytica bangga mereka bisa mengembangkan profil psikologis konsumen dan pemilih, yang merupakan "saus rahasia" mereka—yang lebih efektif daripada periklanan tradisional.
Pada 2014 Cambridge Analytica mulai memperoleh data dari 50 juta pengguna Facebook melalui aplikasi yang menipu pengguna Facebook. Data itu dipanen berkat aplikasi yang dikembangkan seorang akademisi Inggris bernama Aleksandr Kogan.
Sebanyak 270.000 orang mengunduh aplikasi yang dibuat Kogan tersebut, dan masuk dengan akun Facebook mereka. Aplikasi itu mengumpulkan data teman-teman mereka.
Sementara itu, di Indonesia masalah keamanan database sempat memantik kontroversi pada Maret 2018. Kala itu, Kementerian Komunikasi dan Informatika (Kominfo) mewajibkan pengguna kartu prabayar untuk mendaftarkan ulang kartu telepon seluler mereka.
Operator seluler kemudian menjadi pihak yang menghimpun, mengolah, dan melakukan proses database pribadi, yang diserahkan publik atas perintah dari kementerian. Dugaan mengenai kebocoran database pribadi, seperti kartu keluarga (KK) dan kartu tanda penduduk (KTP) mewarnai kontroversi tersebut.
Saat ini, era internet seolah-olah menghancurkan sekat privasi. Bahkan, orang dengan mudah memperoleh database pribadi kita, semisal nomor telepon seluler.
Bila menulis “jual database nomor telepon” di mesin pencarian, maka dengan cepat akan keluar banyak laman yang menawarkan jual beli nomor telepon di aneka media, mulai dari situs, media sosial, hingga blog.
Datasakti.com merupakan salah satu situs yang menawarkan menjual data pengguna kartu telepon seluler. Di dalam situs tersebut, tertulis keterangan, mereka memiliki 333.550.000 nomor telepon seluler.
Situs itu juga menyebutkan, memiliki paket database yang bisa dibeli berdasarkan target pasar, seperti database pemilik deposito, pemilik kartu kredit, dan pengusaha atau investor. Saya mencoba menghubungi nomor telepon seluler yang tertera di situs tersebut. Namun, nomor telepon itu sudah tak aktif lagi.
Bila membuka situs jual beli daring dan media sosial, tak sedikit pula yang menjual database secara terang-terangan.
Regulasi lemah
Menurut Asosiasi Penyelenggara Jasa Internet Indonesia (APJII), jumlah penetrasi pengguna internet di Indonesia pada 2017 sebesar 143,26 juta jiwa. Angka itu meningkat dari tahun sebelumnya, sebesar 132,7 juta jiwa.
APJII juga mencatat, pengguna media sosial media sosial yang menyaratkan penggunanya menyerahkan database pribadi menjadi salah satu layanan yang paling banyak diakses masyarakat Indonesia, dengan persentase 87,13%.
Sebanyak 65,98% pengguna internet Indonesia menyadari database mereka dapat diambil, sementara 61,38% menganggap menjaga kerahasiaan database di internet adalah hal penting.
Menanggapi database yang diobral, Ketua Cyber Law Center Fakultas Hukum Universitas Padjadjaran Sinta Dewi Rosadi mengatakan, di Indonesia belum ada regulasi yang jelas mengatur perlindungan data pribadi. Menurut Sinta, saat ini yang ada hanya Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan peraturan menteri.
Sinta menambahkan, selain peraturan tadi, ada Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) Pasal 30 tentang Akses Ilegal dan Pasal 32 tentang Perubahan Data, sebagai regulasi keamanan data pribadi.
“Tapi, hanya sebatas itu saja. Tidak spesifik. Itu belum cukup,” kata Sinta saat dihubungi, Rabu (28/11).
Di dalam UU ITE Pasal 32 ayat 1 tertulis, setiap orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apapun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu informasi elektronik dan/atau dokumen elektronik milik orang lain atau milik pribadi.
Sedangkan ayat 2 berbunyi, setiap orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apapun memindahkan atau mentransfer informasi elektronik dan/atau dokumen elektronik kepada sistem elektronik orang lain yang tidak berhak.
Ancaman pidananya, ada di Pasal 48 ayat 1 tertulis, setiap orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat 1 dipidana dengan pidana penjara paling lama delapan tahun dan/atau denda paling banyak Rp2 miliar. Sementara ayat 2 tertulis, setiap orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 32 ayat 2 dipidana dengan pidana penjara paling lama sembilan tahun dan/atau denda paling banyak Rp3 miliar.
Ahli digital forensik dari PT Jaringan Nusantara Ruby Zukri Alamsyah sependapat dengan Sinta, yang menyatakan belum ada aturan khusus yang mengatur tentang keamanan data pribadi di internet. Menurutnya, UU ITE pun tak spesifik mengatur keamanan data pribadi seseorang.
“Rancangan Undang-Undang (RUU) tentang keamanan data pribadi memang sedang dalam penggodokan saat ini,” kata Ruby, ketika dihubungi, Rabu (28/11).
Hal yang sama juga dikatakan Sinta yang menjadi salah satu ahli dalam penyusunan RUU perlindungan data pribadi. RUU ini, menurutnya, menjadi program legislasi nasional prioritas di tahun 2019.
Di sisi lain, Sinta mengatakan, visi pemerintah “2020 Go Digital Vision” untuk mendorong ekonomi digital, tak masuk akal tanpa adanya peraturan ekonomi digital dan pengaturan data pribadi. “2020 Go Digital Vision” merupakan rencana pemerintah Joko Widodo, yang bertujuan memiliki 8 juta usaha kecil dan menengah (UKM) mengadopsi teknologi digital pada 2020.
“Itu non-sense,” ujar Sinta.
Lebih lanjut, Sinta mengemukakan, regulasi dan perlindungan privasi tersebut mutlak diperlukan, karena merupakan faktor penentu kepercayaan daring yang penting dalam transaksi digital.
“Indonesia pasar besar dalam pertumbuhan ekonomi digital. Ekonomi digital sendiri pilarnya adalah kepercayaan. Sementara kepercayaan pilarnya adalah keamanan dan perlindungan data pribadi,” ujarnya.
Menyoal tentang jual beli database nomor telepon seluler yang meliputi data pribadi, seperti nomor KK dan KTP, menurut Ruby belum tentu masuk dalam kategori kejahatan siber.
“Bisa dilihat dulu dugaannya apa, cybercrime atau tidak? Cara mendapatkannya seperti apa? Apakah lewat peretasan atau tidak? Setelah itu baru bisa ditentukan apakah itu kejahatan siber atau tidak? Dan, kena undang-undang yang mana?” katanya.
Indonesia tertinggal
Menyinggung masalah regulasi perlindungan data pribadi, menurut Sinta, Indonesia masih terbilang tertinggal dari negara lain. Hingga kini, lanjut Sinta, sudah ada 105 negara yang mengatur secara spesifik keamanan data pribadi. Ironisnya, kita tertinggal dari negara tetangga di ASEAN, seperti Singapura, Filipina, Malaysia, dan Thailand.
Sinta mencontohkan, di Uni Eropa ada regulasi The General Data Protection Regulation (GDPR). Regulasi ini dengan tegas mengatur soal keamanan database pribadi. Regulasi tersebut dikeluarkan untuk meminimalisir pencurian database, seperti yang terjadi dalam skandal Facebook-Cambridge Analytica.
GDPR sendiri mulai berlaku pada 25 Mei 2018. Peraturan ini menetapkan denda sebesar 2% dari keuntungan perusahaan pertahun atau maksimal €10 juta (sekitar Rp164 miliar).
Ruby mengatakan, GDPR tersebut merupakan peraturan terbaik tentang perlindungan data pribadi pengguna internet yang ada saat ini.
“Aturan GDPR sangat melindungi privasi seseorang, walaupun datanya dikelola oleh pihak ketiga,” kata Ruby.
Sinta mengingatkan, masalah keamanan data pribadi termasuk salah satu isu hak asasi manusia, yaitu hak privasi.
“Keamanan data pribadi sekarang bergeser hanya dilihat sebagai masalah ekonomi digital dan perdagangan,” katanya.
Privasi sendiri merupakan salah satu hak asasi yang tercatat dalam deklarasi HAM Perserikatan Bangsa-Bangsa (PBB). Samuel D. Warren dan Louis D. Brandeis dalam Harvard Law Review pada 1890 mengatakan, privasi adalah hak untuk menikmati kehidupan dan hak untuk menyendiri.