e-Paper DPR RI

Kerugian akibat kebocoran dan pencurian data pribadi kini harus ditanggung warga. Data yang telanjur tersebar rawan dimanfaatkan pihak lain dan sulit diselamatkan. UU PDP yang diharapkan melindungi tak kunjung hadir.

JAKARTA, KOMPAS — Sudah tak terhitung jumlah warga yang data pribadinya bocor harus menanggung kerugian akibat alotnya pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi oleh pemerintah dan DPR. Kebocoran ataupun pencurian data ini tak sedikit yang terjadi akibat peretasan pada aplikasi belanja, percakapan, dan situs pelayanan publik milik pemerintah.

Warga pun tak bisa selamatkan data pribadi yang telanjur bocor karena sulit mengetahui rimbanya. Hak privasinya terganggu karena ada saja yang data pribadinya dipergunakan pihak lain untuk mendapatkan pinjaman dan jadi sasaran penawaran berbagai macam produk, termasuk penipuan.

Hingga kini, pembahasan RUU Perlindungan Data Pribadi (RUU PDP) masih alot karena pemerintah menginginkan otoritas pengawas PDP berada di Kementerian Komunikasi dan Informatika. Sementara itu, DPR menginginkan otoritas itu berdiri independen karena kebocoran data terjadi di institusi swasta dan pemerintah. Hingga Masa Persidangan IV 2021-2022 saat ini, pembahasan RUU PDP belum dilanjutkan.

Rachman (37), warga Bekasi, contohnya, nama dan nomor induk kependudukan (NIK) miliknya dipakai oleh pihak lain untuk transaksi di Traveloka Paylater dan di aplikasi itu identitasnya tercatat memiliki tunggakan Rp 8 juta. Akibatnya, ia tidak bisa mengajukan permohonan mendapatkan layanan kartu kredit. Pencatutan identitas itu baru teratasi setelah Rachman mengurus laporan transaksi yang ia lakukan di Sistem Layanan Informasi Keuangan (SLIK) Otoritas Jasa Keuangan atau yang biasa disebut BI Checking.

Berbekal laporan transaksi itu, ia mengurus persoalan yang dialaminya ke Traveloka Paylater dan meminta keterangan bebas tunggakan. Pihak platform memberikan keterangan itu dan surat itu digunakan Rachman sebagai dasar mengajukan kartu kredit ke bank.

Data pribadi tersebar

Rachman kemudian menemukan lagi NIK dan namanya dipakai pihak lain untuk bertransaksi di platform kredit, Kredivo. Ia hanya menduga data pribadinya telah menyebar ke mana-mana. Ia pun tak bisa menyelamatkan data itu karena sudah tidak diketahui rimbanya. ”Ke mana bisa dapatkan perlindungan atas data pribadi kami. Sampai sekarang belum ada aturan yang kuat,” katanya, Sabtu (2/4/2022).

Jumlah data pribadi yang diperjualbelikan di pasar daring dan dark web, pasar gelap internet, sudah tak terbilang jumlahnya. Pada 2019, Kompas bisa mendapatkan lebih dari 1.000 data pribadi dari pasar daring, yang memuat informasi nama, nomor ponsel, hingga alamat rumah.

Selama 2019 hingga 2020, sejumlah aplikasi belanja daring pun dilaporkan karena data pribadi penggunanya bocor dan dijual di forum peretas dan pasar gelap internet. Pada salah satu aplikasi itu ada yang dilaporkan alami kebocoran data sebanyak 91 juta pengguna.

Pada Mei 2021, ada 279 juta data pribadi peserta Badan Penyelenggara Jaminan Sosial Kesehatan (BPJS Kesehatan) dilaporkan bocor dan dijual di akun Kotz di Raid Forums. Di awal 2022, ditemukan lagi 6 juta data pasien dengan keterangan dokumen Centralized Server of Ministry of Health of Indonesia, yang berisi informasi terkait dengan nama, tanggal lahir, diagnosis, hingga pemeriksaan klinis, dijual di forum daring Raid Forums.

Peretasan dan pencurian data pribadi juga terjadi pada pengguna aplikasi transportasi dan percakapan. Octavia (25), warga Jakarta Selatan, mengalami penipuan oleh peretas. Dengan dalih sebagai tenaga administrasi dan menyebut Octavia menang hadiah, peretas meminta Octavia menyebutkan nomor sandi yang masuk ke SMS di nomor ponselnya. Nomor sandi itu tak lain adalah kode sekali pakai (one time password) untuk mengakses dompet elektronik pada akun aplikasi transportasi milik Octavia. ”Beruntung, dompet digital saya itu tidak ada saldonya,” ucapnya.

Sejak itu, nomor ponsel Octavia jadi semakin sering terima SMS yang isinya ia menang undian. ”Tapi, saya tidak percaya lagi,” ujarnya.

Ketua Umum Aliansi Jurnalis Independen (AJI) Sasmito Madrim yang dikenal sebagai aktivis kebebasan berpendapat juga mengalami akun percakapan Whatsapp (WA) miliknya diretas. Ia mengetahuinya setelah menerima notifikasi di ponselnya bahwa nomornya didaftarkan di perangkat lain. Akun Instagram dan Facebook miliknya juga diretas, dan di akun itu nomor ponsel pribadinya disebarluaskan oleh peretas.

Peretas juga sebarkan narasi disinformasi dengan mencantumkan nama dan foto Sasmito di akun-akun medsosnya yang diretas, di antaranya Sasmito mendukung pemerintah membangun Bendungan Bener, Purworejo, Jawa Tengah.

Sasmito mempertanyakan komitmen pemerintah dan DPR melindungi data pribadi warga. Bahkan, data pribadi Presiden sempat tersebar luas di media sosial.

Menurut dia, jika pemerintah dan DPR pada pembahasan RUU PDP belum mencapai kata sepakat terkait dengan lembaga untuk otoritas pengawas perlindungan data pribadi, perlu segera dicarikan jalan keluarnya. ”Seharusnya negara, kan, membuktikan dan tidak melakukan pembiaran,” tutur Sasmito.

RUU PDP diusulkan pemerintah sejak 2014, dan pada 2020 memperoleh kesempatan dibahas di DPR. Pada Juni 2021, kebuntuan terkait dengan otoritas perlindungan data pribadi mulai muncul dan menghambat tiap pembahasan RUU itu di DPR. Terakhir, anggota Komisi I DPR dari Fraksi Nasdem Muhammad Farhan menyebut, pimpinan Komisi I DPR belum mendaftarkan RUU itu untuk dibahas di Masa Persidangan IV saat ini.

Ketua Komisi I DPR Meutya Hafid membantah bahwa pihaknya tidak mendaftarkan pembahasan RUU PDP di masa sidang kali ini. Ia mengatakan, pekan lalu agenda rapat Komisi I cukup padat. Menurut rencana, rapat Panitia Kerja RUU PDP dijadwalkan pekan ini.

Polemik otoritas

Adapun kebuntuan terkait dengan otoritas pengawas perlindungan data pribadi, Meutya mengatakan, Komisi I DPR menginginkan badan otoritas itu dibentuk atau ditunjuk oleh Presiden. Sebaliknya, pemerintah yang diwakili Kementerian Komunikasi dan Informatika menginginkan otoritas itu di bawah kementerian atau setingkat direktorat jenderal.

DPR menilai tidak logis dan relevan jika lembaga itu setingkat dirjen. Sebab, lembaga pengawas itu nantinya tidak hanya mengawasi praktik potensi kebocoran data di lingkup swasta, tetapi juga pengelola data dari pemerintah. ”Karena itu, agak sulit secara logika jika dijalankan oleh setingkat dirjen di bawah Kominfo,” kata Meutya yang juga anggota Fraksi Partai Golkar.

Sementara itu, Direktur Jenderal Aplikasi Informatika Kominfo Semuel A Pangerapan mengatakan, pemerintah pada prinsipnya setuju agar lembaga itu di bawah presiden. Ia pun menyebut bahwa Kementerian Kominfo juga lembaga di bawah presiden. ”Secara ketatanegaraan, menteri ada di bawah presiden. Supaya lebih jelas pertanggungjawaban atas perlindungan data ini, sebaiknya pemerintah yang diberikan kewenangan itu,” ucapnya.

Direktur Eksekutif SAFEnet Damar Juniarto mengatakan, saat ini peretasan dan pencurian data tak hanya dialami oleh warga umum, tetapi juga kelompok aktivis. Keberadaan payung hukum yang mengatur perlindungan data pribadi warga menjadi sangat penting.

”Jika tidak (tersedia), hak asasi warga negara dan kedaulatan data negara akan menghadapi ancaman. Dampak jika RUU PDP tidak segera disahkan keamanan digital warga semakin rentan. Tak ada jaminan hukum yang bisa menguatkan jika mereka terkena serangan digital,” ucapnya.