Penantian Panjang Beleid Baru Penambal Kebocoran Data Pribadi

123rf
Ilustrasi digital
Penulis: Pingit Aria
7/7/2020, 20.11 WIB

Kasus kebocoran data pribadi marak terjadi dalam beberapa waktu terakhir ini. Mulai dari kebocoran data pengguna sejumlah e-commerce besar hingga data pribadi influencer politik Denny Siregar yang disebarkan melalui sebuah akun anonim di Twitter. Alhasil, desakan terhadap pemberlakuan undang-undang perlindungan data pribadi semakin menguat.

Bocornya data pribadi Denny awalnya diungkap oleh akun Twitter @Opposite6891 pada 5 Juli 2020 lalu. Akun tersebut menunjukkan tangkapan layar berisi informasi seperti nama lengkap, alamat, NIK, KK, hingga nomor IMEI dan jenis perangkat yang digunakan Denny. Tampak juga nomor ponsel dan operatornya, Telkomsel.

Saat tweet ini muncul, Denny Siregar sempat membantah kebenaran data-data tersebut. Namun, belakangan ia berbalik mempermasalahkan bagaimana data tersebut bisa didapat oleh publik dan disebarluaskan. Ia menuntut penjelasan dari Telkomsel serta Kementerian Komunikasi dan Informatika (Kominfo).

Telkomsel kemudian membantah adanya kebocoran data pribadi pelanggannya. Vice President Corporate Communications Telkomsel, Denny Abidin, mengatakan perlindungan data pelanggan selalu menjadi prioritas.   

(Baca: Data Pelanggan Terindikasi Bocor, Kominfo Minta Operator Investigasi)

Sedangkan pakar keamanan siber dari Vaksincom, Alfons Tanujaya justru melihat kemungkinan data pelanggan operator telekomunikasi dimiliki juga oleh pihak lain. "Operator memang benar pemilik data, tetapi yang bisa mengakses datanya bukan hanya operator saja. Ada banyak layanan tambahan yang kemungkinan memiliki akses terhadap data operator,” ujarnya.

Telkomsel pun siap membantu serta berkoordinasi dengan aparat penegak hukum dalam kasus ini. Namun, Denny Siregar belum melaporkan kasus kebocoran datanya ke polisi.

Yang tak kalah ramai adalah kasus kebocoran 91 juta data pengguna Tokopedia. Kebocoran data ini sebenarnya telah terjadi sejak Mei 2020 lalu. Namun, hingga awal Juli ini, data-data ini di forum peretas (hacker) dan bisa diunduh secara gratis.

 (Baca: 91 Juta Data Pengguna Beredar di Forum Peretas, Tokopedia Lapor Polisi)

Kebocoran Terus Berulang

Selain Tokopedia, Bukalapak dan Bhinneka pun pernah mengalami kebocoran data pengguna. Tak hanya e-commerce, instansi pemerintah pun pernah diterpa isu kebocoran data.

Pada 2019 lalu, peretas asal Pakistan mengklaim telah mencuri data sekitar ratusan juta akun dari 32 situs, yang di antaranya adalah 31 juta akun pengguna Bukalapak.  Peretas yang bersembunyi di balik nama Gnosticplayers mengaku menjual data curiannya ke dark web Dream Markets dengan harga mencapai 1,2431 Bitcoin.

Kemudian, pada awal tahun ini, Bhinneka juga mengalami kebocoran data. Kelompok ShinyHunters yang juga menyerang Tokopedia, diduga mendalangi pencurian 1,2 juta data pengguna Bhinneka yang dijual sebesar US$ 1.200 atau Rp 17,9 juta.

(Baca: E-Commerce Indonesia Jadi Incaran, Peretasan Naik 6.000% saat Pandemi)

Riset perusahaan asal Amerika Serikat (AS) International Business Machines (IBM) menunjukkan, serangan siber secara global melonjak 6.000% selama kuartal I 2020. Di Indonesia, e-commerce memang jadi incaran peretas (hacker).

"Semakin banyak data yang diakses perusahaan, itu yang menjadi target peretas. Contohnya, e-commerce," ujar President Director IBM Indonesia Tan Wijaya saat konferensi pers secara virtual, Kamis (18/6).

Tapi itu bukan berarti entitas lain kebal dari peretasan. Selain e-commerce dan individu, data milik pemerintah pun bisa dicuri. Misalnya, data 230 ribu pasien yang terkait dengan wabah Covid-19 sempat dikabarkan bocor.

Kementerian Komunikasi dan Informatika (Kominfo) dan Badan Siber dan Sandi Negara (BSSN) memang membantah adanya kebocoran data. Namun, Komisi I DPR menilai bahwa potensi kebocoran tetap ada dan harus diantisipasi.

(Baca: Kominfo Pastikan Data Penanganan Covid-19 dan Pasien Aman)

"Ancaman kebocoran data nyata adanya saat ini," kata anggota Komisi I DPR RI dari Fraksi Partai Demokrat Rizky Aulia Rahman Natakusumah saat mengikuti rapat kerja antara Kementerian Kominfo dengan Komisi I DPR, Senin (22/6). 

Sebelumnya, seorang pengguna Twitter Teguh Aprianto dengan nama akun @secgron menyampaikan, 1,3 juta data pegawai Kementerian Pendidikan dan Kebudayaan (Kemendikbud) bocor. Kementerian menindaklanjuti unggahan Teguh tersebut, namun segera membantahnya.

“Pengelola data pokok pendidikan (dapodik) dan pangkalan data pendidikan tinggi (PD Dikti) menegaskan bahwa data yang dimaksud bukan berasal dari dapodik ataupun Pangkalan Data Dikti,” ujar Kepala Biro Kerja Sama dan Hubungan Masyarakat (BKHM) Kemendikbud Evy Mulyani dalam keterangan resminya, Rabu (27/5).

Masih pada bulan Mei, data 2,3 juta pemilih tetap milik Komisi Pemilihan Umum juga sempat tersebar di sejumlah forum internet. Adapun data yang tersebar itu mencakup nama, jenis kelamin, alamat, nomor KTP dan KK, tempat tanggal lahir, usia, dan status perkawinan.

Data yang disebar pelaku adalah data 2013, setahun sebelum pemilu 2014, sebagian besar data pemilih asal Yogyakarta.

Menunggu Aturan Disahkan

Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran (Unpad) Sinta Dewi Rosadi menilai, salah satu penyebab maraknya pelanggaran-pelanggaran seperti ini yakni tidak adanya aturan ketat terkait perlindungan data pribadi.

Padahal, 132 negara sudah memiliki regulasi terkait perlindungan data pribadi. Beberapa negara di ASEAN pun sudah mempunyai aturan ini, sementara Indonesia belum.

Jika Undang-undang Perlindungan Data Pribadi (UU PDP) diterbitkan, perusahaan yang data penggunanya bocor bisa didenda. “Kalau di RUU PDP ada denda dan pidana kalau itu sampai ada indikasi pidananya,” kata dia kepada Katadata.co.id.

(Baca: Bila UU PDP Dirilis, Tokopedia-Bhinneka Bisa Didenda jika Data Bocor)

Pada pasal 42 dalam draf RUU PDP, pelaku yang melakukan pencurian dan pemalsuan data pribadi dengan tujuan kejahatan, terancam pidana paling lama satu tahun atau denda maksimal Rp 300 juta.

Kemudian, pasal 43 disebutkan bahwa pidana pokok ditingkatkan dendanya menjadi maksimal Rp 1 miliar jika pelanggaran dilakukan suatu badan usaha. Pada pasal 12 juga disebutkan bahwa pemilik data pribadi berhak menuntut dan menerima ganti rugi atas pelanggaran tersebut.

Selain itu, perusahaan yang data penggunanya bocor harus bertanggung jawab. “Kalau di luar negeri harus ada pertanggungjawabannya. Tindakan pencegahannya harus dinilai. Tidak bisa hanya bilang aman,” ujar dia.

Rencananya, RUU PDP dibahas setelah omnibus law dan ditarget selesai pada akhir tahun ini. Namun, karena pandemi corona, pembahasan regulasi ini mundur. “Dengan adanya Covid-19, awal tahun depan semoga selesai,” katanya.

Saat ini, memang ada beberapa regulasi menyinggung olah data elektronik. Di antaranya, Undang-undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) dan Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE).

Peretasan data pengguna Tokopedia (ANTARA FOTO/Puspa Perwitasari/pras.)

Namun, itu saja tak cukup. "Regulasi yang ada tetap kurang satu, yaitu UU PDP,” kata Staf Ahli Menteri Komunikasi dan Informatika Henry Subiakto. Menurutnya, Kementerian Kominfo terus mendorong pembahasan Rancangan Undang-undang (RUU) Perlindungan Data Pribadi (PDP).

Sedangkan, anggota Komisi I DPR dari Fraksi Partai Golkar Bobby Adhityo Rizaldi, pembahasan RUU PDP baru pada tahap penyusunan Daftar Inventarisasi Masalah (DIM). "Karena masuk Prolegnas 2020, estimasi sebelum mulai masa sidang tahun kedua, maksimal (selesai) sebelum 1 Oktober 2020," katanya kepada Katadata.co.id, Senin (6/7). 

Ia mengatakan, DPR telah mengundang beberapa narasumber. Seperti juga kemarin (6/7), Komisi I mengundang pihak Asosiasi E- commerce Indonesia (idEA), Asosiasi Fintech Indonesia (Aftech) dan Perhimpunan Rumah Sakit Seluruh Indonesia (Persi) meminta masukan terkait kelengkapan draf RUU PDP.

Bobby mengatakan, regulasi itu harus segera diselesaikan, sebab ancaman kebocoran data pribadi di Indonesia masih tinggi. "Inilah sebab perlunya RUU PDP diselesaikan, supaya ada kejelasan tanggung jawab pengelolaan data," katanya. 

(Baca: RUU Perlindungan Data Perlu Memuat Sanksi Tegas untuk Fintech Ilegal)

Reporter: Cindy Mutia Annur, Fahmi Ahmad Burhan