Facebook dan Urgensi Perisai Data Pribadi
PerbesarADVERTISEMENT
Minggu, 25 Maret 2018, Facebook membayar satu halaman penuh di tujuh surat kabar Inggris dan tiga surat kabar AS. Isinya sebuah pernyataan yang kalimat pembukanya berbunyi: “Kami memiliki tanggung jawab untuk melindungi informasi Anda. Jika kami tidak bisa, kami tidak pantas mendapatkannya.”
ADVERTISEMENT
Bagian akhir pernyataan itu ditutup dengan nama Mark Zuckerberg yang dibubuhi tanda tangannya. Melalui pernyataan itu, sang pemilik Facebook mengakui kelalaiannya sekaligus meminta maaf setelah skandal penyalahgunaan 50 juta data pengguna Facebook oleh perusahaan Cambridge Analytica (CA) terungkap.
Skandal itu cukup ramai dibicarakan publik internasional selama satu pekan lalu. Seruan menghapus akun Facebook mengudara melalui tren #DeleteFacebook.
Keriuhan itu juga sampai ke Indonesia, negara pengguna Facebook terbesar ketiga di dunia yang dihuni 130 juta pengguna Facebook atau enam persen dari total pengguna Facebook secara global.
Pula di Indonesia, skandal itu turut menyebut nama presiden keempat RI, Abdurrahman Wahid (Gus Dur), sebagai pengguna jasa Cambridge Analytica saat menjabat presiden 18 tahun lalu. Gus Dur disebut bekerja sama dengan perusahaan yang menjadi cikal bakal CA, yakni Strategic Communication Laboratories (SCL).
ADVERTISEMENT
Tudingan tersebut kemudian dibantah oleh Wahyu Muryadi yang pernah menjadi juru bicara Gus Dur. Terlepas dari soal itu, skandal CA kembali mengingatkan pentingnya perlindungan data pribadi di Indonesia. Terlebih, tak lama sebelumnya, Indonesia diramaikan oleh isu soal kebocoran data registrasi SIM Card berupa Nomor Induk Kependudukan (NIK) dan nomor Kartu Keluarga (KK).
Kasus-kasus itu membuat keseriusan negara dalam melindungi data pribadi penduduknya dipertanyakan, pun soal kesadaran publik dalam melindungi data pribadinya sendiri.
PerbesarData Pribadi dan Lapangan Sepak Bola
Penyalahgunaan data pribadi sebenarnya bukan hal baru. Ia telah dan masih terjadi. Contoh sederhana, Anda pasti kerap menerima pesan singkat (SMS)--entah dari mana--yang menawarkan kredit, asuransi, pinjaman tunai, atau sederet penawaran lain, padahal Anda tak pernah memberikan nomor telepon Anda kepada yang bersangkutan.
ADVERTISEMENT
Selain itu, Anda juga tidak pernah dimintai izin oleh penyedia jasa telekomunikasi yang Anda gunakan, untuk menggunakan data pribadi Anda.
Contoh lain adalah surat elektronik atau email yang kita anggap berisi data pribadi, padahal nyatanya ia bukannya benar-benar tak dapat diakses oleh pihak lain. Buktinya, muncul berbagai macam iklan di tampilan email kita.
Fenomena kebocoran data pribadi ini, menurut Deputi Direktur Riset ELSAM Wahyudi Djafar, merupakan bagian dari “big data era” ketika data-data pribadi menjadi sebuah komoditas yang diperebutkan karena memiliki kekuatan untuk dapat mempengaruhi suatu hal. Alhasil, semua pihak, baik pemerintah maupun swasta, berlomba untuk menambang data pribadi dalam skala besar atau massal.
“Caranya macam-macam. Kalau melihat praktik-praktik yang terjadi di dunia maupun di Indonesia, antara lain misalnya menggunakan registrasi SIM Card, financial technology, transaksi e-commerce, data pemilu, jejaring media sosial seperti Facebook, Twitter, dan sebagainya, juga misalnya melalui data kesehatan, data transportasi dari penyedia layanan transportasi online,” kata Wahyudi kepada kumparan.
PerbesarData-data tersebut dapat menghasilkan berbagai macam agregat yang kemudian bisa digunakan untuk berbagai tujuan. Salah satunya adalah rekayasa sosial atau kehidupan keseharian manusia.
ADVERTISEMENT
Kasus “pencurian” dan penyalahgunaan data pribadi 50 juta orang melalui Facebook dalam skandal CA hanya satu kasus yang mencuat. Sesungguhnya, kemampuan untuk menambang data dimiliki pula oleh berbagai macam perusahaan seperti Google, Amazon, Alibaba, Twitter, dan sebagainya.
Menurut Direktur Indonesia New Media Watch, Agus Sudibyo, perusahaan-perusahaan itu mengoperasikan sistem algoritma dan artificial intelligence yang dapat mengolah data-data pribadi setiap penggunanya. Setiap aktivitas pengguna di media sosial direkam dengan sistem tersebut.
Datanya bisa berupa semacam data administrasi seperti nama lengkap dan riwayat hidup yang biasanya diisi oleh pengguna ketika pertama kali mendaftarkan diri, hingga data-data yang cenderung berupa aktivitas dan preferensi tentang berbagai hal dari si pengguna.
ADVERTISEMENT
“Jadi kalau Facebook hari ini dipakai oleh 1,9 miliar orang, berarti Facebook itu punya data perilaku 1,9 miliar orang itu. Ada yang lengkap sekali, ada yang enggak lengkap, karena keaktifan pengguna di medsos beda-beda. Itu kemudian ketika disistematisasikan menjadi surplus behavior. Artinya, data perilaku sudah bisa diperjualbelikan. Jadi surplus di situ,” kata Agus kepada kumparan.
Sialnya, kesadaran masyarakat di Indonesia masih begitu rendah. Masyarakat, menurut Agus, saat ini sedang “euforia dengan medsos”. Semua yang terpikir dalam kepala ditumpahkan ke media sosial, sering kali tanpa khawatir aktivitas itu akan menjadi jejak yang direkam oleh pihak tertentu untuk tujuan tertentu pula.
PerbesarMedia sosial adalah sebuah hibridasi antara ruang privat sekaligus ruang publik. Namun, orang-orang yang tidak setuju dengan kewajiban Facebook untuk bertanggung jawab kerap menggunakan analogi sebuah lapangan sepak bola.
ADVERTISEMENT
Agus mengatakan, lapangan sepak bola tersedia gratis sehingga siapa pun boleh melakukan apa saja di situ. Maka ketika terjadi suatu masalah yang menimpa orang-orang di lapangan sepak bola tersebut, Facebook tidak memiliki kewajiban untuk bertanggung jawab.
Namun, analogi tersebut tidak selesai sampai di situ.
“Karena lapangan sepak bola itu di sekelilingnya dipasangi CCTV, seluruh kelakukan kita di lapangan itu direkam sama dia. Dan rekamannya itu dijual ke pengiklan, ke agen intelijen, dan lain-lain. Dan di sekeliling lapangan itu dipasang baliho-baliho, reklame-reklame. Jadi perumpamaan sepak bola yang gratis itu belum lengkap,” kata Agus.
ADVERTISEMENT
Barangkali, ada saja yang menganggap pengambilan data pribadi oleh penyedia media sosial itu suatu kewajaran, karena ia telah menyediakan ruang interaksi global tanpa sekat negara dan tanpa dipungut biaya sepeser pun.
Tetapi bagaimana jika data pribadi itu digunakan untuk tujuan jahat? Bahkan, bukankah mengambil data pribadi tanpa konsensus dari si pemilik pun sudah merupakan kejahatan? Sialnya lagi, tidak ada hukum yang mengatur soal itu.
Kekosongan Hukum
Menurut Agus, baik di level internasional maupun nasional di Indonesia, belum ada hukum yang mengatur hubungan antara perusahaan penyedia jasa layanan internet dengan pengguna. Soal hak dan kewajiban dalam hubungan kedua pihak tersebut hingga kini pun belum jelas.
Sehingga yang terjadi, seakan-akan mumpung belum ada aturannya, perusahaan-perusahaan memanfaatkan celah tersebut. Dan itu jelas bukan perkara sepele, sebab bukan pada pengiklan saja data-data pribadi itu dapat diperjualbelikan, melainkan juga pada agen-agen intelijen dan politik.
ADVERTISEMENT
“Saya punya kesan Facebook, Gmail, Amazon itu berpikir, ‘Ya mumpung belum ada aturannya, ya saya manfaatkan sebanyak-banyaknya untuk kepentingan partikular perusahaan’,” ujar Agus.
“Kalau dalam teori komunikasi dikatakan bahwa perkembangan teknologi itu melompat jauh lebih kencang daripada kemampuan kita untuk meregulasi.”
Persoalan ini telah diangkat dalam Sidang Umum PBB 2013. Negara-negara anggota menyepakati adanya hak untuk privasi. Mereka diminta untuk transparan dan bertanggung jawab ketika mengumpulkan data pribadi warga negaranya.
Negara anggota juga ingin soal internet ini diatur oleh lembaga di bawah PBB, yakni Internet Telecommunication Union (ITU). Namun AS menolak keinginan agar internet diatur secara multilateral, tetapi unilateral atau dilakukan oleh satu pihak saja.
“Jadi Amerika itu kurang lebih bilang begini, ‘Saya yang menciptakan internet, saya yang mengembangkan. Wajar dong kalau saya mengambil keuntungan paling banyak?’ Jadi mereka menolak perkara internet ini--dari aspek teknologi, ekonomi-politik maupun kontennya--diatur secara multilateral,” jelas Agus.
PerbesarMaka kekosongan hukum internasional itu pun tetap bertahan. Bahkan AS sendiri kini tengah menjadi ‘korban’ atas sikapnya itu, yakni dengan terkuaknya skandal CA yang disebut-sebut telah berperan memenangkan Donald Trump sebagai Presiden AS pada 2016. Atas perkara hukum itu, tidak ada regulasi internasional dan lembaga yang dapat memprosesnya.
ADVERTISEMENT
“Saya yakin itu AS kena batunya dalam dua hal. Pertama, dikerjain Rusia dan tidak ada payung hukum internasional yang bisa menangani itu. Kedua, selama ini kalau Facebook, Google, dan Amazon (ketiganya perusahaan asal AS) dianggap monopoli di Eropa dan di China, itu AS yang belain,” kata Agus.
Di Uni Eropa terdapat General Data Protection Regulation (GDPR) sebagai payung hukum perlindungan data pribadi yang akan mulai diberlakukan pada Mei 2018. Sementara menurut laporan kajian ELSAM, beberapa negara di Asia Tenggara juga sudah memiliki regulasi dengan napas yang serupa.
Di antaranya, Singapura yang menetapkan Personal Data Protecting Act pada 2012. Malaysia dengan Personal Data Protection Act yang disahkan parlemen pada 2 Juni 2010 dan mulai diterapkan pada 15 November 2013. Filipina dengan Data Privacy Act 2012 atau Republic Act Nomor 10173 yang berlaku mulai 8 September 2012.
ADVERTISEMENT
Sementara Indonesia belum memiliki regulasi perlindungan data pribadi. Sehingga belum ada kejelasan, misalnya, soal definisi data pribadi, kewajiban pihak yang melakukan pengumpulan, pemrosesan, penyimpanan, penggunaan, hingga pemusnahan data pribadi. Juga mengenai lembaga yang mengawasi dan mengendalikan perlindungan data pribadi.
“Sehingga ketika terjadi persoalan, pemerintah juga sulit untuk bersikap. Misalnya, sekarang ada skandal Cambridge Analytica, ada dugaan pengumpulan data/penambangan data skala besar yang dilakukan oleh Facebook tanpa suatu inform consent dari si pemilik data,” ujar Wahyudi.
“Pemerintah Indonesia juga kemudian menjadi sulit untuk bersikap seperti apa seharusnya, karena basis hukum yang seharusnya menjadi sandaran pemerintah Indonesia dalam mengambil sikap itu belum disediakan.”
Saat ini, menurut Wahyudi, perlindungan yang ada semata dalam Pasal 26 ayat 1 dan 2, UU Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik. Kedua pasal itu berbunyi:
ADVERTISEMENT
(1) Kecuali ditentukan lain oleh Peraturan Perundang-undangan, penggunaan, setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan.
(2) Setiap orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang-Undang ini.
“Itu pun hanya mekanisme gugatan melalui peradilan ketika ada dugaan penyalahgunaan data pribadi seseorang. Tetapi kemudian pembuktiannya susah. Bagaimana seseorang misalnya membuktikan bahwa data yang dimiliki telah disalahgunakan atau dipindahtangankan dengan semena-mena tanpa persetujuan orang tersebut. Itu kan sulit pembuktiannya,” ujar Wahyudi.
Regulasi yang kedua adalah Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Namun, cakupan regulasi tersebut terbatas dan tidak mengikat seluruh penyedia layanan informasi.
ADVERTISEMENT
Selain itu, sulit untuk menjadikan Permenkominfo tersebut sebagai rujukan perlindungan karena kompleksnya persoalan terkait pengumpulan, pemrosesan, penyimpanan, dan penggunaan data pribadi yang ada.
PerbesarJalan satu-satunya adalah dengan mengesahkan RUU Perlindungan Data Pribadi. Untuk itu, Wahyudi menilai adanya isu kebocoran data pribadi registrasi SIM Card dan skandal CA dapat menjadi momentum untuk mempercepat pengesahaan RUU tersebut.
Anehnya, berdasarkan kajian ELSAM, saat ini justru telah ada 32 UU yang materinya mengandung konten terkait pengaturan data pribadi warga negara.
Mayoritas materi dari ke-32 UU itu di antaranya adalah pemberian kewenangan baik bagi otoritas publik (pemerintah) maupun privat (swasta) untuk mengumpulkan dan mengelola data pribadi warga negara, termasuk wewenang untuk melakukan intrusi dengan beberapa pengecualian.
ADVERTISEMENT
Sektornya pun beragam, mulai dari telekomunikasi, keuangan dan perbankan, perpajakan, kependudukan, kearsipan, penegakan hukum, keamanan, hingga sektor kesehatan.
ELSAM menemukan adanya tumpang tindih di antara 32 UU tersebut, yaitu terkait dengan:
Pertama, tujuan pengolahan data pribadi; kedua, notifikasi atau persetujuan dari pemilik data pribadi; ketiga, rentang waktu retensi data pribadi; keempat, penghancuran, penghapusan atau pengubahan data pribadi; kelima, tujuan pembukaan data pribadi kepada pihak ketiga; keenam, pemberi izin untuk membuka data pribadi kepada pihak ketiga; ketujuh, jangka waktu data pribadi dapat dibuka kepada pihak ketiga; kedelapan, sanksi bagi pelanggar perlindungan data pribadi; dan kesembilan, mekanisme pemulihan bagi korban yang hak privasinya dilanggar.
“Jadi dari 32 UU yang kami sebut itu memang lebih banyak materinya adalah kewenangan bagi institusi tertentu, terutama pemerintah atau institusi publik, untuk melakukan pengumpulan data-data pribadi warga negara. Sementara yang secara spesifik mengatur perlindungan itu masih sangat terbatas,” kata Wahyudi.
ADVERTISEMENT
Temuan ELSAM itu tentu bikin kening berkerut. Mengherankan bahwa selama ini Indonesia belum memiliki UU yang mengatur soal perlindungan data pribadi. Apalagi dengan adanya kewajiban registrasi SIM Card.
Dari 88 negara yang diteliti ELSAM, baru 23 di antaranya yang memiliki kewajiban registrasi SIM Card. Bahkan, dari 57 negara yang memiliki UU Perlindungan Data Pribadi secara spesifik, hanya ada 6 negara yang memiliki kewajiban registrasi SIM Card.
Sedangkan dari 31 negara yang belum memiliki UU Perlindungan Data Pribadi, 8 negara di antaranya memiliki kewajiban registrasi SIM Card, salah satunya Indonesia.
PerbesarMenurut Staf Ahli Kemkominfo, Donny Budi Utoyo, saat ini draf RUU Perlindungan Data Pribadi tengah dalam proses harmonisasi di antara kementerian. Tujuannya, agar nantinya tidak ada tumpang tindih antara satu regulasi dengan lainnya.
ADVERTISEMENT
“Lagi dilihat pasal per pasalnya oleh Kemkumham. Lagi dilihat dan dibandingkan dengan UU yang lain. Diharmonisasi dengan kementerian yang lain. Yang memfasilitasi Kemenkumham,” kata Donny kepada kumparan.
Kemkominfo sendiri menganggap RUU tersebut sudah mendesak untuk disahkan. Sebab ada kepentingan negara dalam berhubungan dengan, misalnya, forum G20 dan Uni Eropa. Di samping, tentu pada dasarnya untuk memberi perlindungan atas data pribadi masyarakat.
Draf RUU itu sebenarnya sudah dibuat sejak 2016. Menurut Donny, sejak saat itu Kemkominfo terus melakukan pembaharuan mengenai isi materi draf tersebut sebelum diserahkan ke DPR untuk dibahas dan disahkan.
“Jadi bukan artinya terus menganggur gitu saja dari dulu. Sudah rapat pembahasan, disempurnakan, rapat pembahasan, disempurnakan, terus seperti itu sampai yang diharmonisasi itu,” ujar Donny.
ADVERTISEMENT
Ia menegaskan, pemerintah berkomitmen untuk segera membawa draf itu ke DPR agar bisa disahkan sebelum pemerintahan berakhir pada 2019.
Wakil Ketua Komisi I DPR Meutya Hafid menyatakan, sampai saat ini draf tersebut memang masih dalam pembahasan di pemerintah.
“Rapat terakhir dengan Kemkominfo, kami kembali meminta supaya (draf) segera dimasukkan dari pemerintah. Jadi ini disepakati akan menjadi inisiasi pemerintah yang kemudian dibahas di DPR,” kata Meutya kepada kumparan.
Bercermin pada isu kebocoran data registrasi SIM Card, Meutya menilai regulasi untuk melindungi data pribadi memang sudah mendesak.
===============
Simak ulasan mendalam lainnya dengan mengikuti topik Outline !
