Pencurian data pribadi telah menyebabkan kekhawatiran warga. Sebagian dari mereka telah mengalami dampaknya, mulai dari fotonya digunakan untuk menipu pihak lain hingga tiba-tiba ditagih utang. UU PDP kini dibutuhkan.

 

Faiz (32) tersentak saat kawannya menghubungi dan menanyakan kabar orangtuanya. Dari hubungan telepon, kawannya memberitahukan bahwa ia baru memperoleh pesan dari nomor Whatsapp dengan foto profil Faiz. Pesan itu berisi permintaan bantuan uang Rp 2 juta untuk pengobatan orangtua.

Padahal, Faiz tidak pernah meminta bantuan tersebut. Terlebih lagi, beberapa waktu sebelumnya, Faiz dan kawannya tersebut saling berkomunikasi. ”Karena tidak yakin, dia menghubungi saya untuk menanyakan apakah saya punya nomor lain?” kata Faiz, seorang jurnalis di sebuah media arus utama.

Berkat mengonfirmasi ulang pesan yang diterima, kawan Faiz dapat terlepas dari jebakan penipu. Namun tidak demikian dengan Faiz karena fotonya dapat dimanfaatkan penipu untuk melancarkan kejahatan serupa selanjutnya.

Modus kejahatan seperti ini disebut dengan impersonisasi atau membuat akun palsu atas nama korban.Belakangan, modus ini kerap ditemukan. Di media sosial, contohnya, ada saja teman yang berada dalam jaringan pertemanan membagikan pemberitahuan bahwa fotonya telah dipergunakan pihak lain untuk menipu. Biasanya pelaku akan meminta sejumlah uang dengan dalih untuk pengobatan orangtua atau modal usaha.

Pencurian foto diri yang digunakan untuk membuat akun Whatsapp (WA) palsu ini, diakui Faiz, cukup membuat ia khawatir. Sebab, belakangan ini marak kejadian peretasan, pencurian data untuk membunuh karakter seseorang (doxing), impersonisasi, dan lain sebagainya. Kekhawatiran semakin memuncak karena Faiz tahu bahwa di Indonesia belum ada undang-undang yang komprehensif melindungi data pribadi warga negara.

Dia berharap, pemerintah dan DPR selaku pembentuk UU dapat segera menghadirkan UU Perlindungan Data Pribadi (PDP) untuk melindungi identitas dirinya. ”Saya berharap pemerintah dan DPR dapat lebih serius lagi menuntaskan RUU PDP ini. Karena sebenarnya sudah banyak data pribadi warga negara yang bocor. Saya sempat mengecek di aplikasi khusus, ternyata e-mail saya juga sudah bocor. Kalau ini dibiarkan, rakyat yang akan terus dirugikan bisa jadi korban penipuan dan sebagainya,” ujar Faiz, Sabtu (2/4/2022), di Jakarta.

Pencurian data lebih serius dialami Rachman (37). Mulai dari nama hingga nomor induk kependudukan (NIK) miliknya dipakai pihak lain untuk bertransaksi di Traveloka Paylater. Hal itu terungkap saat ia ditolak oleh pihak bank untuk memperoleh layanan kartu kredit. Sebab, di aplikasi Traveloka Paylater itu terdapat identitas dirinya tercatat masih menunggak utang Rp 8 juta.

Membagikan pengalaman

Berangkat dari pengalamannya itu, kini Rachman membantu banyak orang yang mengalami kejahatan serupa, yang sama-sama data pribadinya dipergunakan pihak lain untuk memperoleh pinjaman uang ataupun kredit barang dan akomodasi. Rachman mengungkapkan, langkah pertama yang dilakukan adalah meminta laporan transaksi ke Sistem Layanan Informasi Keuangan Otoritas Jasa Keuangan (SLIK OJK) atau biasa disebut BI Checking.

Dengan laporan dari SLIK OJK, Rachman mengatakan, itu bisa dipergunakan untuk membuktikan bahwa ia tak pernah melakukan transaksi sehingga menimbulkan utang hingga Rp 8 juta tersebut kepada pengelola Traveloka Paylater. Berkat laporan itu, Rachman memperoleh pemberitahuan bahwa ia bebas tunggakan.

Cara itu kemudian Rachman tularkan kepada sejumlah orang yang mengalami kemalangan serupa dengannya. Rachman mengaku, sudah seratusan orang menghubunginya meminta bantuan untuk melindungi diri dari jeratan tagihan membayar utang yang tiba-tiba saja muncul.

”Kalau korban tinggal di Jakarta, saya dorong mereka minta dokumen BI Checking dan mengurus langsung ke perusahaan platform. Namun, kalau korban dari luar Jakarta dan tidak mendapatkan akses untuk itu, saya minta mereka lapor saja ke Direktorat Tindak Pidana Siber kepolisian setempat karena ini masuk pencurian data,” ujarnya.

Rachman menduga ada lebih banyak lagi orang yang identitas pribadinya telah bocor dan dipergunakan pihak lain untuk mencari keuntungan. Ia pun mempertanyakan, ke mana ia dan orang-orang yang menjadi korban pencurian data itu bisa mendapatkan perlindungan atas data pribadinya. ”Sampai sekarang, kan, belum ada aturannya yang kuat,” ujarnya.

Tak berlebihan kekhawatiran yang disampaikan Faiz dan Rachman karena aktivitas masyarakat saat ini pun telah berlangsung di daring. Baik itu aktivitas transaksi, percakapan, hingga pertemuan untuk rapat dan diskusi. Bahkan, kecanggihan teknologi saat ini bisa membuat transaksi dapat berlangsung tanpa tatap muka, seperti pengajuan pinjaman uang di aplikasi kredit. Rachman pun kembali menemukan data pribadinya dipergunakan lagi oleh pihak lain di aplikasi kredit, Kredivo.

Sementara, peretasan pada aplikasi belanja daring, situs layanan sosial, hingga situs milik pemerintah dengan target menambang data pribadi sudah kerap terjadi. Jutaan data pribadi yang bocor itu pun diperjualbelikan di pasar daring dan pasar gelap daring.

Dari semua kasus pencurian ataupun peretasan data pribadi, hampir tidak ada yang dapat dilakukan untuk memulihkan data pribadi yang telanjur dicuri dan bocor. Hingga kini belum tersediasanksi pidanabagi platform digital dan pengelola data digital, baik dari swasta maupun pemerintah, yang tak mampu menjaga keamanan data pribadi warga.

Peraturan Menteri Komunikasi dan Informatika Nomor 20 tahun 2016, seperti pada Pasal 36, baru memberikan sanksi administratif. Pasal itu menyebutkan, setiap orang yang memperoleh, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, dan/atau menyebarluaskan data pribadi tanpa hak atau tidak sesuai dengan ketentuan dalam peraturan menteri ini atau peraturan perundang-undangan lainnya dikenai sanksi administratif berupa peringatan lisan, peringatan tertulis, penghentian sementara kegiatan, dan pengumuman situs daring.

Oleh karena itu, keberadaan UU PDP diharapkan dapat mengisi kekosongan itu.Di dalam RUU disebutkan adanya kewajiban bagi setiap pengelola data pribadi untuk menyediakan petugas yang melaksanakan fungsi perlindungan data pribadi (data protection officer/DPO). Petugas iniharus memastikan keamanan bagi data pribadi yang dikelola.

Di dalam RUU itu juga diatur, setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 51 Ayat (3) dipidana dengan pidana penjara paling lama 7 tahun atau pidana denda paling banyak Rp 70 miliar.

Pada masa awal pembahasannya, di 2020, RUU ini menuai harapan besar dari masyarakat. Apalagi, Indonesia sudah ketinggalan jauh dari negara-negara lain. Sebagai salah satu anggota G20, hanya Indonesia dan India yang belum memiliki UU yang mengatur data pribadi.

”Kita sebenarnya ketinggalan jauh karena dorongan untuk merumuskan UU PDP ini sudah ada sejak 20 tahun lalu. Sekarang sudah masuk ke dalam pembahasan. Tentunya ini kesempatan baik yang harus dimanfaatkan,” kata pendiri Indonesia Cyber Security Forum (ICSF), Ardi K Sutedja.

Upaya titik temu

Namun, pembahasan RUU ini kini menghadapi kendala karena belum adanya titik temu antara pemerintah dan DPR mengenai kelembagaan otoritas pengawas data pribadi. DPR menginginkan agar lembaga itu ada di bawah presiden, sedangkan pemerintah menginginkan agar lembaga ada di bawah Kementerian Komunikasi dan Informatika.

Untuk mencapai titik temu, anggota Komisi I DPR dari Fraksi Golkar, Christina Aryani, mengatakan, Komisi I tengah melakukan simulasi kemungkinan memberikan kewenangan kepada Badan Siber dan Sandi Negara (BSSN) untuk menjalankan peranan sebagai otoritas pengawas perlindungan data pribadi ini. ”Ke depannya, tentu rencana ini perlu dikomunikasikan kepada pemerintah,” katanya.

Pemberian kewenangan kepada BSSN ini dinilai dapat menjadi jalan tengah bagi kebuntuan yang terjadi. Kendati demikian, idealnya bentuk kelembagaan lembaga ini sifatnya independen. Menurut Christina, praktik mayoritas negara lain, otoritas bersifat independen untuk pengawas data pribadi, dan tidak merangkap tugas lain.

Exercise(simulasi) pendayagunaan BSSN lebih kepada itikad baik kami di DPR untuk mencari solusi agar RUU PDP bisa diundangkan jika presiden tidak menginginkan pembentukan lembaga baru. Pertimbangn lainnya, tugas pokok dan fungsi BSSN di bidang keamanan siber. Selama ini, ketika terjadi permasalahan kebocoran data, BSSN juga memberikan keterangan dalam penyelidikan yang dilakukan kepolisian,” katanya.

Direktur Jenderal Aplikasi Informatika Kemenkominfo Semuel A Pangerapan mengatakan, soal usulan pemberian kewenangan pengawasan perlindungan data kepada BSSN itu belum pernah didengarnya secara formal. Oleh karena itu, usulan tersebut tentu harus disampaikan dalam rapat panitia kerja resmi yang dihadiri pemerintah dan DPR. Baru setelah itu pemerintah dapat menyampaikan argumentasi.

”Kami belum pernah membahas itu atau mendengar DPR menyampaikan itu. Apa pun usulannya tentu penting untuk bisa duduk dan membahas solusi terbaik buat masyarakat karena UU ini sangat dibutuhkan,” ujarnya.

Ketua Komisi I DPR Meutya Hafid mengatakan, DPR merencanakan untuk menggelar rapat panja, pekan ini. Namun, ia berharap pemerintah juga menimbang kembali posisi kelembagaan pengawas data pribadi.

Kini para korban, warga, dan pihak pengelola data menanti kepastian kelanjutan pembahasan RUU PDP. RUU ini menjadi satu-satunya harapan untuk setidaknya memberikan perlindungan terhadap data mereka. Kepastian payung hukum juga menjadi jaminan bagi berjalannya pengolahan data secara digital yang bermartabat dan sesuai konstitusi.