Lika-liku keamanan data pribadi di Indonesia
Read in English
Pada Januari tahun lalu, jurnalis senior Ilham Bintang menyadari bahwa ponselnya tidak dapat menangkap sinyal saat ia mendarat di Australia, bahkan setelah ia mendaftarkan paket data roaming internasional untuk nomor tersebut. Dua hari kemudian, dia mengetahui bahwa rekening Commonwealth Bank-nya terkuras melalui transaksi yang dilakukan tanpa persetujuannya.
Sama seperti kita semua, Ilham menggunakan ponsel untuk memberi persetujuan transaksi, yang mengharuskannya untuk menghubungkan rekening banknya ke nomor ponselnya (SIM). Namun, dia kemudian mengetahui bahwa kartu SIM-nya dibajak dan digunakan untuk menyetujui transfer uang ke 98 rekening bank.
Ini hanya satu dari sekian banyak kasus pencurian identitas yang sampai ke media arus utama. Setiap hari kita mendengar orang-orang ditagih untuk pinjaman yang tidak mereka setujui atau setidaknya menjadi sasaran iklan yang tidak diinginkan dan tautan phishing di mana-mana. Ini telah menjadi bagian dari kehidupan kita sehari-hari sebagai orang Indonesia. Pertanyaannya adalah: kenapa?
Apa itu data pribadi?
Jika kita berbicara tentang data pribadi, sebagian dari kita mungkin akan membayangkan KTP atau bentuk identitas lainnya, nomor telepon, dan kata sandi/nomor identifikasi pribadi (PIN). Peraturan Perlindungan Data Umum (GDPR), sebuah peraturan dalam undang-undang Uni Eropa untuk perlindungan data, mendefinisikan data pribadi sebagai “setiap informasi terkait dengan seseorang yang diidentifikasi atau dapat diidentifikasi”.
Ini berarti bahwa data pribadi seseorang lebih dari sekadar kartu identitas atau kata sandi mereka. Meski Indonesia belum memiliki peraturan terkait keamanan data, namun RUU Perlindungan Data Pribadi (RUU-PDP) saat ini sedang digodok.
RUU-PDP mengklasifikasikan data pribadi menjadi data publik dan data khusus. Data pribadi publik mencakup nama lengkap, jenis kelamin, kebangsaan, agama, dan data yang perlu digabungkan untuk mengidentifikasi seorang individu.
Sementara, data spesifik (atau data sensitif menurut GDPR) meliputi rekam medis, data biometrik (pengenalan wajah, sidik jari, dll), data genetik, orientasi seksual, pandangan politik, catatan kriminal, data anak di bawah umur, dan catatan keuangan pribadi.
Namun, kebutuhan untuk membuka data ini seringkali tidak dapat dihindari, terutama selama pandemi, mengingat tes COVID-19 atau vaksin memerlukan beberapa data. “Ketika kita perlu membuka data, kita harus memberikannya sesuai dengan tujuan pengolahan data,” kata Direktur Eksekutif TIFA Foundation, Shita Laksmi.
Apa yang bisa terjadi jika data pribadi kita bocor?
Situasi saat ini mengungkapkan bahwa kerahasiaan data melampaui informasi tertulis tentang seorang individu. Seorang peneliti berusia 31 tahun, Lia, mengalami diskriminasi setelah memberi tahu tetangganya bahwa dia dan keluarganya dinyatakan positif COVID-19. Diskriminasi yang mereka alami bervariasi, dari dihindari oleh para tetangga meskipun berada dalam jarak yang aman hingga paket yang dilempar sembarangan ke halaman depan rumahnya oleh kurir yang menertawakannya.
Dalam kasus lain, @ecommurz, akun Instagram yang populer di kalangan buruh teknologi, juga berbicara tentang kerahasiaan data bagi pekerja yang seharusnya melaporkan tempat kerjanya di Jakarta melalui JAKI jika tempat kerja mereka bersikeras menerapkan sistem bekerja dari kantor di awal Penerapan Pembatasan Kegiatan Masyarakat (PPKM).
Diskusi mereka mengungkapkan bahwa beberapa pekerja diberhentikan atau dihukum karena melaporkan tempat kerja mereka. Hasilnya, orang-orang menemukan banyak cara untuk melindungi kerahasiaan identitas mereka jika mereka akan melaporkan pelanggaran tersebut. Trik yang dibagikan antara lain menghindari CCTV dan mengatur posisi aman di meja kerja mereka.
Situasi ini menunjukkan bahwa memang, informasi apa pun yang dapat digunakan untuk mengidentifikasi seorang individu dapat bersifat sensitif dan dapat menyebabkan individu tersebut mengalami penganiayaan dan diskriminasi. Pada situasi saat ini, apalagi ketika kita sekarang sangat bergantung pada layanan digital, menjaga keamanan data menjadi semakin sulit.
Faktor lain adalah tidak adanya undang-undang yang secara khusus melindungi data kita dan penyalahgunaannya serta persyaratan otorisasi akun di aplikasi yang kita gunakan setiap hari. Untuk menggunakan fitur-fitur terkait keuangan dalam sebuah aplikasi, biasanya diperlukan fotokopi KTP serta foto diri sedang memegang KTP. Jika data bank di aplikasi dibobol, jutaan pengguna akan dirugikan.
“Aplikasi fintech ilegal dilaporkan menggunakan data yang dibobol yang dijual di dark web,” kata Alia Yofira Karunian, Peneliti Junior di Institute for Policy Research and Advocacy (ELSAM). “Data yang bocor ini sangat detail dan terintegrasi dengan baik.” Kerugian pada tingkat pribadi sudah tidak diragukan lagi. Dia menambahkan bahwa pada skenario terburuk, kebocoran data juga berbahaya di tingkat negara.
Pada 2014, data sekitar 20 juta penduduk Korea Selatan yang meliputi antara lain nama, nomor jaminan sosial, dan data kartu kredit dicuri dan dijual ke perusahaan pemasaran. Di antara 20 juta penduduk tersebut adalah presiden Korea Selatan saat itu, Park Geun-hye.
Hal ini memaksa pemerintah untuk mengambil tindakan drastis dengan mengeluarkan identitas baru untuk warga Korea Selatan serta memperbaiki sistem yang menelan biaya 700 miliar won ($650 juta). Industri lokal mengeluarkan dana lebih besar lagi untuk mengikuti pembaruan keamanan.
“Kita sudah menjadi bom waktu yang akan meledak,” katanya. “Jika kita tidak mengatasi masalah, menata ulang, dan bekerja untuk meloloskan RUU-PDP, tidak akan ada lagi privasi.”
Bisakah kita mempercayai pemerintah dan badan usaha dengan data kita?
Pada Mei 2021, data 279 juta masyarakat Indonesia yang meliputi Nomor Induk Kependudukan (NIK), nomor telepon, alamat email, alamat rumah, dan sekitar lima juta foto bocor dari BPJS. Kumpulan data tersebut diunggah ke forum Raid oleh seorang pengguna, kotz. Investigasi pun digulirkan.
Tim Periksa Data dikabarkan akan menggugat BPJS secara hukum dalam masalah ini, dan Tim Independen Keamanan Siber Indonesia (CISRT) menghitung kerugian negara mencapai Rp600 triliun. Namun, masih belum ada tindakan nyata yang diambil untuk menyelesaikan masalah.
“Kita masih perlu mencari cara untuk mengusut kasus ini lebih lanjut, bagaimana kita akan menerapkan perlindungan hukum, dan bagaimana meminta pertanggungjawaban atas kejadian tersebut,” ujar Shita. “Indonesia belum memiliki sistem untuk ini.”
Negara-negara Uni Eropa pernah berada di posisi yang sama. Perlindungan data pribadi tidak ada sampai mereka memutuskan untuk menarget entitas bisnis yang meraih laba di wilayah mereka sambil menambang data pribadi yang tak terhitung jumlahnya. Baru pada tahun 2016 Undang-Undang GDPR disahkan di UE bersama dengan hukuman untuk entitas bisnis yang menyalahgunakan data pribadi apa pun atau menambang lebih banyak data daripada yang dibutuhkan.
Mereka perlahan-lahan menciptakan lingkungan yang lebih aman dengan sistem hukum yang memungkinkan perlindungan data, bahkan diterapkan pada perusahaan teknologi multinasional.
Di Indonesia, kebocoran data bahkan tidak lagi dianggap sebagai krisis. Tak hanya BPJS, aplikasi e-commerce Tokopedia juga sempat mengalami kebocoran data sekitar 91 juta penggunanya. Sementata, Bukalapak mengalami kebocoran data sekitar 13 juta pengguna. Kasus kebocoran data terus terjadi, namun tidak ada pertanggungjawaban dari siapa pun atas ketidaknyamanan yang ditimbulkan oleh insiden tersebut.
Dalam skala yang lebih kecil, ada juga kebocoran data yang mungkin tidak disebabkan oleh niat jahat, tetapi sama berbahayanya. Pemerintah kabupaten Magelang, Jawa Tengah, mengunggah data kependudukan beserta detail identitas warga di situs webnya. Ini adalah contoh bagus dari kurangnya literasi dan kesadaran digital, bahkan di lembaga pemerintahan, entitas yang seharusnya kita percayai untuk menjaga keamanan data kita.
Hanya ketika masyarakat menyuarakan pendapat mereka dengan cukup keras, barulah pemerintah akan merespons. Namun, tanggapan mereka tidak pernah jauh dari bagaimana literasi digital adalah kunci untuk menghindari pinjaman tekfin ilegal dan tidak pernah tentang bagaimana pemerintah dapat memperketat keamanan digital dengan mengoptimalkan semua sumber daya yang mereka miliki.
“Kita harus menggerakkan pemerintah agar mereka dapat mengambil lebih banyak tanggung jawab dalam menyediakan keamanan data,” tambah Sherly Haristya, Peneliti Utama TIFA Foundation.
Tanggung jawab untuk melek digital selalu dibebankan kepada masyarakat. Program Nasional Literasi Digital merupakan salah satu strategi yang baik untuk mengatasi permasalahan literasi digital, namun jika ekosistem digital hanya dibangun oleh masyarakat, program tersebut tidak akan banyak membawa perubahan.
“Pemerintah harus memiliki tanggung jawab untuk mendidik diri sendiri, mengatur RUU-PDP dengan ketat, dan melalui RUU ini, memberikan lebih banyak tanggung jawab pada entitas pengolah data di masa depan,” pungkasnya.
Bagaimana kita dapat melindungi data pribadi kita?
“Secara teknis,” kata Alia, “bukanlah tanggung jawab kita untuk memerhatikan keamanan data kita 24/7.”
Secara alami, pemerintah adalah pihak yang bertanggung jawab untuk mengatur perlindungan data pribadi kita di semua tingkatan, terutama ketika data tersebut dibuka kepada entitas pemrosesan data, termasuk lembaga pemerintah. Namun, karena RUU-PDP belum disahkan, dari sisi masyarakat, ada beberapa hal yang masih bisa kita lakukan untuk menegakkan perlindungan yang lebih baik bagi diri kita sendiri.
Menyebarkan kesadaran di antara kita adalah satu hal yang bisa membuat perubahan besar dalam masyarakat. Ketika kita melihat rekan kita mengunggah sertifikat vaksin mereka di media sosial dengan semua informasi ditampilkan, kita bisa memperingatkan mereka.
Kurangnya kesadaran tentang betapa sensitifnya beberapa data pribadi sangat lazim di antara masyarakat kita. Langkah kecil dalam memperkenalkan literasi digital lebih baik daripada tidak sama sekali.
Penduduk yang lebih melek digital juga dapat menerapkan metode keamanan dasar, seperti memperkuat kata sandi dengan menggabungkan huruf kecil dan huruf besar, angka, dan simbol sambil menghindari nama lengkap dan tanggal lahir dengan minimal delapan karakter. Semakin banyak semakin baik. Jika memungkinkan, selalu gunakan autentikasi dua langkah untuk setiap akun.
Menonaktifkan fitur penandaan geografis pada aplikasi yang kita gunakan juga akan mendukung keamanan data kita dengan lebih baik. Sangat disarankan untuk mengunjungi panel pengaturan akun di platform apa pun untuk meninjau kerahasiaan data kita.
Terakhir, jika menyangkut data fisik seperti fotokopi KTP, dan paspor, paling tidak yang bisa kita lakukan adalah memastikan bahwa kita tahu ke mana perginya data itu setelah diserahkan. Hanya kirimkan salinan data jika sangat diperlukan, misalnya untuk vaksin, pemeriksaan COVID-19, atau situasi lain di mana kita terikat oleh hukum untuk mematuhinya.
