Tentang KamiPedoman Media SiberKetentuan & Kebijakan PrivasiPanduan KomunitasPeringkat PenulisCara Menulis di kumparanInformasi Kerja SamaBantuanIklanKarir
2025 © PT Dynamo Media Network
Version 1.100.8
PerbesarADVERTISEMENT
Pengguna Tokopedia yang datanya bocor tak bisa berharap banyak perihal kompensasi, menurut para pengamat regulasi di internet. Kasus kebocoran data tersebut kemungkinan besar bakal selesai dan menguap begitu saja seperti kasus-kasus kebocoran data yang pernah terjadi sebelumnya di Indonesia.
ADVERTISEMENT
Menurut direktur Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Jafar, ketiadaan payung hukum perlindungan data pribadi menjadi penyebab lemahnya posisi pengguna dalam kasus ini. Hal tersebut membuat posisi konsumen menjadi lemah dan hanya bisa mengetahui saja bahwa datanya telah bocor.
“Mereka cuma bisa tahu. Tapi, lebih dari tahu itu, enggak ada,” kata Wahyudi saat dihubungi kumparanTECH, Senin (4/5).
Wahyudi menjelaskan, secara umum acuan hukum penanganan kebocoran data pribadi hanya merujuk kepada PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Dalam peraturan tersebut, pengendali data dan prosesor data hanya ditempatkan sebagai Penyelenggara Sistem Elektronik, dan belum secara tegas dikatakan sebagai pengendali dan prosesor data yang harus menjalankan sejumlah kewajiban sebagai pengendali data.
Adapun hak-hak pemilik data dalam Peraturan Menteri Kominfo (Permenkominfo) No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik masih sangat terbatas. Menurut Wahyudi, peraturan tersebut belum secara detail seperangkat hak-hak dari subjek data atau pemilik data, mulai dari hak informasi, akses, menolak, revisi, penghapusan, hingga pemulihan jika terjadi kegagalan perlindungan data pribadi.
ADVERTISEMENT
“Jadi, kekosongan aturan tadi mengakibatkan tidak adanya proses penyelesaian sengketa yang mumpuni dan cukup dari semua kasus, baik dalam penyalahgunaan yang personal maupun dalam konteks kebocoran data yang melibatkan jutaan data,” kata Wahyudi.
“Secara umum, kenapa kemudian kasusnya seringkali menguap begitu saja karena mekanisme investigasi yang dimungkinkan untuk dilakukan terhadap pengendali data atau prosesor data itu juga pengaturannya belum terlalu detail,” sambungnya.
Kasus hack yang dialami Tokopedia bukanlah kasus kebocoran data pengguna pertama di Indonesia.
Seperti yang dijelaskan Menteri Kominfo, Johnny G. Plate, salah satu startup unicorn di Indonesia pernah diretas sebelum Tokopedia.
ADVERTISEMENT
Tidak jelas unicorn mana yang dimaksud oleh Johnny. Namun, pada Maret 2019, Bukalapak sempat diterpa isu kebocoran 13 juta data penggunanya. Isu tersebut kemudian dibantah oleh perusahaan.
Dengan ketiadaan regulasi perlindungan data pribadi, korban kebocoran data hanya bisa pasif melihat datanya terbongkar. Menurut Wahyudi, sejauh ini Indonesia belum memiliki contoh kebocoran data yang berakhir dengan kompensasi ke pengguna.
“Mengacu ke PP maupun Permenkominfo, mekanisme (kompensasi) itu belum muncul. Sanksi itu bentuknya hanya pemberian surat pernyataan, kemudian diumumkan di media, kemudian diblokir sementara platform-nya,” kata Wahyudi.
“Mekanisme ganti kerugian itu kan diatur dalam UU ITE. Cuma persoalannya 'kan sulit untuk proses pembuktiannya. Menurut prosedur hukum perdata di Indonesia, siapa yang mendalilkan, dia yang harus membuktikan. Artinya, si konsumen sendiri yang harus membuktikan bahwa betul data pribadinya telah dipindahtangankan. Kasusnya itu memang belum ada di Indonesia,” sambungnya.
ADVERTISEMENT
Perlindungan Data Pribadi dan tanggung jawab platform digital
Kebocoran data pengguna Tokopedia bisa menjadi titik kesadaran pentingnya perlindungan data pribadi. Menurut Pratama Persadha, chairman Lembaga Riset Siber Indonesia CISSReC (Communication & Information System Security Research Center), pemerintah perlu segera menyelesaikan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP).
Pratama menjelaskan, tanpa UU PDP tersebut, data masyarakat Indonesia seperti “dibiarkan di hutan belantara tanpa perlindungan.” Ketiadaan regulasi perlindungan data tersebut, kata dia, membuat data pribadi masyarakat rentan disalahgunakan dan tidak dilindungi.
Adapun dalam kasus Tokopedia, menurut Pratama, perusahaan e-commerce itu harus dimintai pertanggungjawaban. Masalahnya ketiadaan regulasi dan UU perlindungan data pribadi membuat payung hukum tanggungjawab tersebut tidak ada.
“Coba kita lihat data yang diretas, praktis hanya password saja yang dienkripsi, padahal data lainnya juga sangat krusial. Ada user ID, email, nama lengkap, tanggal lahir, jenis kelamin dan nomor seluler,” kata Pratama, dalam keterangan pers kepada kumparanTECH, Senin (4/5). “Pengguna Tokopedia saat ini menjadi sasaran empuk tindak kejahatan, salah satunya phising dengan memanfaatkan data tadi.”
ADVERTISEMENT
Tokopedia sendiri menyebut bahwa informasi krusial pengguna, seperti password, masih dapat terlindungi. Perusahaan juga menyebut bahwa kartu kredit dan Ovo pengguna masih berada dalam keadaan yang aman.
Meski demikian, sejumlah ahli keamanan siber menyebut bahwa perlindungan password saja tak cukup. Hal ini karena data yang bocor juga menyangkut nama, alamat email, nomor telepon, jenis kelamin, dan lokasi pengguna.
Ruby Alamsyah, CEO dan Chief Digital Forensic Indonesia, menyayangkan mengapa informasi selain password tidak dienkripsi oleh Tokopedia. Ketika dihubungi kumparanTECH pada Minggu (3/5), Ruby menyebut bahwa Tokopedia mestinya juga melindungi jenis data pribadi lain yang mereka himpun.
“Para pihak e-commerce ini masih mengutamakan keamanan password yang paling penting. Jadi, hanya password-nya yang di-hashing atau tingkat keamanan yang lebih. Sedangkan, kan yang bocor enggak hanya password. 'Kan data pribadi lainnya bocor,” kata Ruby.
ADVERTISEMENT
Senada dengan Pratama dan Ruby, menurut Teguh Aprianto, ahli keamanan siber sekaligus founder platform komunitas Ethical Hacker Indonesia, data pengguna yang bocor bisa dimanfaatkan hacker untuk memprofil (profiling) korban dalam melancarkan aksi peretasan, misalnya seperti pencurian akun bank.
kumparanTECH telah meminta tanggapan Tokopedia terkait kritik sistem keamanan mereka sejak Minggu (3/5). Namun, perusahaan e-commerce itu belum memberikan tanggapan.
Meski demikian, Tokopedia menyebut bahwa keamanan data pengguna adalah prioritas mereka.
"Tokopedia terus bekerja sama erat dengan para mitra strategis, antara lain Kemenkominfo dan Badan Siber dan Sandi Negara (BSSN), dalam rangka melakukan investigasi menyeluruh, sekaligus meningkatkan sistem keamanan, untuk menjaga kepercayaan pengguna," kata Nuraini, dalam sebuah siaran pers kepada kumparanTECH, Senin (4/5). "Sekali lagi kami tekankan, keamanan data pengguna adalah prioritas Tokopedia karena bisnis kami adalah bisnis kepercayaan."
ADVERTISEMENT
(Simak panduan lengkap corona di Pusat Informasi Corona)
****
Yuk! bantu donasi atasi dampak corona.