Kita adalah Data Pribadi yang Diperjualbelikan
Selamat datang kembali di Tulisan Seri khas VOI. Artikel perdana ini akan menjawab beberapa pertanyaan mengenai apa saja data pribadi, siapa kita jika kita adalah data, hingga kenyataan bahwa hampir tak mungkin kita melepaskan diri dari aktivitas digital. Banyak risiko dari penyalahgunaan data pribadi kita. Apalagi di Indonesia yang tak memiliki dasar hukum kuat untuk menjamin perlindungan data pribadi. Hingga Jumat, 7 Agustus mendatang, kita akan dalami isu ini. Selamat mengikuti, "Tiada Privasi untuk Data Pribadi".
Bahkan Ben Cash (Viggo Mortensen) dan istrinya, Leslie (Trin Miller) terpaksa kembali ke peradaban dunia modern meski telah bertahun-tahun hidup di hutan, mengisolasi diri dari modernisasi. Film Captain Fantastic (2016) berbicara mengenai dimensi luas hubungan manusia dengan kehidupan modern.
Begitu banyak nilai positif yang didapat Ben bersama anak-anaknya di alam bebas. Mereka terlepas dari paparan junkfood yang merusak kesehatan, membebaskan diri dari cengkeraman kapitalisme yang menggoda lewat ragam produk bernilai tinggi, bahkan berhasil menghidupkan peran buku, alih-alih menggunakan internet sebagai sumber informasi dan landasan pikiran.
Amat lengkap Matt Ross membeberkan kehidupan yang nampak begitu baik dengan berbagai kemurnian itu. Sangat kompleks juga sang sutradara menggambarkan pergulatan manusiawi dalam hubungan setiap anggota keluarga Ben dengan kehidupan modern yang tengah berputar di luar lingkar kehidupan yang mereka jalani.
Kita berada dalam kondisi yang kurang lebih sama dalam dimensi kehidupan digital hari ini. Dilematis, jelas. Begitu banyak kekhawatiran mengenai risiko-risiko yang mungkin muncul dari aktivitas digital yang sehari-hari kita lakukan. Bahayanya nyata. Itu yang harus kita tahu. Namun, berhenti dari aktivitas digital adalah mustahil. Itu yang perlu kita sadari.
Pakar keamanan siber, Alfons Tanujaya mengamini kenyataan ini. Kita semua tahu prinsip dasarnya, tak ada makan siang gratis di dunia ini. Maka, aplikasi dan layanan gratis jadi sorotan pertama. Katanya, pikirkanlah konsekuensi yang mungkin kita bayar ketika menggunakan aplikasi dan layanan yang dapat digunakan secara gratis.
"There is a price to pay. Kalau produk gratis, kita harus hati-hati," kata Alfons, dihubungi VOI, Senin, 3 Agustus.
Dalam perspektif data pribadi sebagai komoditi, kita harus tahu bahwa kita adalah produk yang amat mungkin jadi sumber uang bagi perusahaan-perusahaan pengembang aplikasi atau layanan digital lainnya. "Ya, kita produknya. User itu produknya. Jadi, kamu harus hitung-hitung sendiri," Alfons.
Kita sebagai data pribadi
Sebuah kerugian besar ketika data pribadi kita dimonetisasi atau diuangkan oleh pihak-pihak tertentu. Sebelum mendalami skema monetisasi data pribadi, kita perlu terlebih dulu melihat diri kita sebagai data. Siapa kita jika kita adalah data. Setidaknya, ada tiga klasifikasi yang dapat menggambarkan diri kita sebagai data.
Pertama, kita adalah "data dasar". Ada sejumlah hal yang termasuk dalam data dasar, yaitu Nomor Induk Kependudukan (NIK), informasi Kartu Keluarga (KK), "nama, tanggal lahir, nama ibu kandung, dan seterusnya. Itu di Dukcapil," tutur pakar keamanan siber, Alfons Tanujaya.
Kedua, kita sebagai "data kredensial" yang meliputi akun digital surel, media sosial, hingga akses ke aplikasi dan layanan digital yang kita gunakan sehari-hari. Dalam konteks aktivitas digital, data kredensial inilah yang jadi komoditi utamanya.
Perspektif ketiga adalah kita sama dengan "data finansial", yang meliputi data rekening, autentikasi pin, dan informasi pribadi lain yang terkait dengan akses keuangan kita, baik online maupun offline. Setiap klasifikasi data pribadi ini memiliki skema monetisasi tertentu, dapat berjalan sendiri-sendiri ataupun saling berkaitan antara satu dengan lainnya.
"Jadi sekarang yang paling berharga itu di dunia e-commerce itu ya credential. Kedua, data finansial. Duit, rekening, otentifikasi pin, dan sejenisnya ... Ada faktor ekonomi. Motivasi ekonomi di belakangnya yang melatarbelakangi kenapa data seperti ini diincar," Alfons.
Kasus kebocoran data pribadi Direktorat Jenderal Kependudukan dan Catatan Sipil Kementerian Dalam Negeri (Dukcapil) dapat jadi gambaran soal bagaimana kita sebagai data pribadi dimonetisasi oleh pihak-pihak tertentu. Dalam kasus itu polisi menangkap seorang tersangka.
Dikutip Tempo.co, pelaku mengaku menjual data pribadi itu di situs temanmarketing.com. Data-data pribadi itu dijual dengan berbagai harga, termasuk dalam paket-paket yang disesuaikan dengan kebutuhan pembeli. Dari penangkapan itu diketahui pelaku memiliki 50.854 KK, 1.162.864 NIK, 761.435 nomor handphone, serta 129.421 nomor kartu kredit dan 64.164 nomor rekening.
"Bisa macam-macam (tujuan jual-beli). Kalau lihat yang paling banyak itu sekarang nomor handphone. Penipuannya lewat WhatsApp. Tujuannya, mayoritas itu (keuntungan finansial). Caranya macam-macam. Biasanya dibajak (WA) dan meminta uang ke kawan-kawannya, misalnya," kata Alfons.
Kasus lain baru saja terjadi. Melibatkan perusahaan fintech KreditPlus. Senin, 3 Agustus, kasus ini ramai diperbincangkan setelah pegiat keamanan siber, Teguh Aprianto membagikan temuannya di Twitter. Dalam unggahan Teguh, diketahui 896 data pribadi pengguna KreditPlus diperjualbelikan di forum hacker.
Data pribadi yang bocor meliputi nama, KTP, surel, password, alamat, nomor HP, data pekerjaan, hingga data keluarga penjamin. KreditPlus sendiri adalah layanan pembiayaan produk multiguna sepeda motor, mobil, dan peralatan berat yang dimiliki PT Finansial Multi Finance. Perusahaan finansial yang berdiri sejak 1994 ini juga telah terdaftar dan diawasi langsung oleh Otoritas Jasa Keuangan (OJK).
Pengamat keamanan siber dari CISSRec, Pratama Husada menyebut kebocoran data pribadi KreditPlus sejatinya telah dibagikan sejak tanggal 16 Juli lalu. Seluruh data pribadi itu terbungkus dalam data unduhan sebesar 78 MB. Unduhan itu masih harus diekstrak untuk mendapatkan data pelanggan KreditPlus sebesar 430MB. Data-data tersebut berisi 819.976 informasi nasabah, lengkap dengan beberapa data sensitif lain yang amat berbahaya jika dimanfaatkan untuk penipuan dan tindak kejahatan lainnya.
Kasus kebocoran data pribadi KreditPlus jadi penting untuk disoroti karena menyangkut setidaknya tiga jenis data pribadi, baik itu data dasar, data kredensial, hingga data finansial. Dan soal bahaya, jelas. Menurut Alfons, dalam konteks kriminalitas, data dasar merupakan unsur yang amat penting. Selain sebagai 'bekal' menjalankan operasi, para kriminal juga memanfaatkan data pribadi untuk membuka rekening-rekening baru yang mereka butuhkan untuk menampung uang hasil kejahatan.
"Ini kaitannya sangat erat dengan kebocoran data kependudukan. Karena penipu ini perlu sarana untuk menampung uang yang ditransfer. Nah bocornya data KTP ini sangat dibutuhkan untuk membuka rekening baru. Kalau dijaga baik (data) akan sangat mendukung untuk mencegah penipuan," Alfons.
Bergantung namun tak terlindungi
Potensi Indonesia sebagai tambang data pribadi begitu besar. Dalam ranah digital, terutama. Riset yang dilakukan HootSuite dan We Are Social bertajuk Global Digital Reports 2020 menunjukkan angka pengguna internet di Indonesia telah mencapai 175,4 juta atau 64 persen dari 272,1 juta penduduk Indonesia. Angka itu menunjukkan penetrasi cukup signifikan dibanding data tahun sebelumnya, di mana angka pengguna internet hanya 25 juta atau 17 persen dari total penduduk Indonesia.
Potensi sebagai tambang data pribadi semakin besar jika melihat pola hidup manusia modern dengan internet. Sebuah riset dengan penggambaran komprehensif pernah dirilis oleh Pew Research Center dan Nielsen. Laporan itu mengungkap 24 persen remaja di dunia selalu terhubung dengan internet. Sementara, sebagian besar orang dewasa menghabiskan rata-rata sepuluh jam per hari untuk mengakses media elektronik, termasuk media digital.
Penelitian lain pernah dilakukan Kantor Pos Inggris Raya. Observasi hasil kerja sama dengan lembaga penelitian YouGov itu menunjukkan bahwa 53 persen pengguna ponsel di Inggris mengalami cemas ketika ponsel mereka tidak ada, kehabisan pulsa, mengalami gangguan jaringan, bahkan ketika baterai ponsel mereka menipis. Dari 2.163 responden, 55 persen di antaranya beralasan kecemasan itu terjadi karena mereka kehilangan koneksi dengan dunia luar, terutama keluarga dan teman.
Kondisi itu dialami hampir sebagian warga dunia, tak terkecuali masyarakat di Tanah Air. Bagi Indonesia, tahun ini jadi momentum penting untuk melanjutkan upaya-upaya perlindungan dan pengelolaan data pribadi. Berkaca pada kasus, di semester pertama 2020 saja setidaknya ada lima kasus kebocoran data pribadi yang tergolong besar.
Kebocoran-kebocoran data pribadi itu diperkirakan merugikan ratusan juta penduduk Indonesia. Tiga kasus di antaranya melibatkan tiga e-commerce raksasa: Tokopedia, Bukalapak, serta Bhinneka.com. Sementara, dua kasus lainnya melibatkan lembaga pemerintahan, yakni soal kebocoran data pasien COVID-19 dan bocornya data Komisi Pemilihan Umum (KPU).
Di Indonesia, jaminan keamanan data pribadi masih jauh dari ideal. Dalam kasus-kasus di atas, misalnya. Kita sebagai pemilik sejatinya bisa saja menggugat para pengelola data pribadi. Namun, tak ada regulasi yang komprehensif yang mampu menyelesaikan persoalan semacam ini secara tuntas.
Secara teknis, dasar hukum yang dapat digunakan dalam kasus data pribadi adalah Kitab Undang-Undang Hukum Perdata (KUHPer). Pasal 1365 menjelaskan setiap perbuatan yang merugikan orang lain mewajibkan pihak yang menyebabkan kerugian untuk mengganti rugi.
Kerugian dan pelanggaran dalam konteks data pribadi diatur lewat Undang-Undang Informasi dan Transaksi Elektronik (ITE). Pemilik data pribadi bisa mengupayakan tindakan hukum ketika kebocoran data pribadi terjadi. Pertama, dengan menuntut pihak peretas sistem elektronik yang melakukan pencurian data pribadi.
UU ITE juga mengatur penggunaan data pribadi dalam media elektronik harus didasari persetujuan dengan pihak yang bersangkutan, dalam hal ini pemilik data. Syarat persetujuan itu diatur dalam aturan turunan UU ITE, yakni Peraturan Pemerintah (PP) Nomor 71 tahun 2019 serta Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016. Masih dalam UU ITE, gugatan kerugian dapat diajukan oleh pemilik data pribadi jika syarat persetujuan tak dipenuhi.
Dalam sudut pandang itu, maka pencuri data pribadi ditempatkan sebagai pelawan hukum. Sementara, dari sisi pidana, peretas atau pihak yang memperjualbelikan data pribadi juga dapat diancam sanksi pidana penjara. UU ITE mengatur sanksi pidana penjara maksimal delapan tahun dan denda Rp800 juta untuk peretasan dan penjara maksimal sepuluh tahun dan denda Rp1 miliar untuk kejahatan penjualan data pribadi.
Namun, segala aturan itu dinilai tidak cukup karena tak mengatur secara spesifik dimensi perlindungan data pribadi yang begitu kompleks. Soal persetujuan yang disebut UU ITE, misalnya. Dalam praktiknya, pengembang aplikasi kerap memberikan syarat dan ketentuan yang tak dapat ditolak. Ketika pengguna tak menyetujui sejumlah poin, misalnya, aplikasi justru tak dapat digunakan sama sekali.
Selain itu, banyak kondisi lapangan lain yang membutuhkan kejelasan prosedur legal. Karenanya, Alfons mengatakan, dibutuhkan aturan yang lebih rinci untuk meregulasi perlindungan dan pengelolaan data pribadi masyarakat Indonesia.
"Nah itu (perlindungan data pribadi) berkaitan dengan penegakan hukum. Jadi harus kompak. DPR juga harus cepat UU-nya. Jadi tiap orang yang eksploitasi itu harus dihukum seberat-beratnya. Jadi orang takut. Harus ada efek jera," tutur Alfons.
Ikuti Tulisan Seri edisi ini: Kita adalah Data yang Diperjualbelikan