Penyalahgunaan data pribadi merupakan keniscayaan dalam arus informasi yang begitu cepat seperti sekarang. Celahnya ada di mana-mana. Sekali tak antisipasi, dampaknya bisa merembet ke mana saja.
Data pribadi merupakan jenis data yang meliputi identitas kependudukan seperti nama lengkap, NIK, tanggal lahir, hingga tempat tinggal. Pasal 6 ayat 3 RUU Perlindungan Data Pribadi menyebut apa yang dimaksud data pribadi mencakup keyakinan, data kesehatan, biometrik, genetika, kehidupan seksualitas, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, keterangan tentang kecacatan fisik dan mental. Meski masih belum disahkan, definisi tersebut memberi gambaran jelas tentang spektrum data pribadi.
Dalam era digital seperti sekarang, data adalah segalanya. Saat seseorang menikmati suatu layanan digital secara gratis, disadari atau tidak, dapat dipastikan mereka membayarnya dengan data.
Cara termudah mengetahui suatu perusahaan digital mengambil data sebagai “ongkos” layanannya adalah dengan mengintip izin aplikasi mereka. Ambil contoh Facebook. Di Google Play terlihat Facebook meminta hampir 40 jenis akses ke ponsel yang hendak mengunduhnya, mulai dari akses mengambil gambar dan video, merekam audio, lokasi akurat, hingga memanggil nomor telepon yang ada di kontak.
Nilai dari Data
Sebelumnya harus dipahami bahwa ada tiga jenis data kita yang dapat dipanen oleh pihak lain dari yakni: data sukarela diberikan, data yang diamati, dan data yang disimpulkan. Seperti namanya, data sukarela adalah data yang diberikan secara sukarela ke platform online, seperti yang kita lakukan saat registrasi ke suatu layanan. Sementara data hasil observasi adalah data yang diambil dari aktivitas online seseorang seperti riwayat peramban serta lokasi GPS. Terakhir, data yang disimpulkan merupakan gabungan dua jenis data sebelumnya.
Ketiga jenis data itu tentu berharga, terutama untuk perusahaan digital yang membutuhkan banyak sekali pasokan data untuk memoles produknya. Laporan The Atlantic menyebutkan data dari satu akun profil seseorang setara US$0,005. Sementara Google dan Facebook dilaporkan dapat memeras keuntungan masing-masing US$5 dan US$20 dari data tiap penggunannya.
Di Indonesia, data pribadi belum dianggap hal penting oleh masyarakat luas. Ini menjadi masalah ketika layanan digital sudah mengepung hampir semua sendi lapisan hidup masyarakat.
Literasi digital ini yang kemudian dimanfaatkan oleh beberapa pihak yang mencuri dan menyalahgunakan data pribadi yang bukan miliknya. Kasus yang ditemukan Hendra Hendrawan (23) dalam sebuah grup Facebook bernama Dream Market Official merupakan contoh bagaimana rentannya data pribadi disalahgunakan.
Hendra menemukan grup itu bebas memperjualbelikan jutaan data pribadi orang-orang dalam NIK dan KK pada 26 Juli lalu. Investigasi Kompas mendapati data pribadi yang diperjualbelikan di kalangan tenaga pemasaran kartu kredit merentang dari Rp300 hingga Rp50.000 per data. Data itu memuat sejumlah informasi dari nama lengkap, alamat, nomor telepon, nama ibu kandung, hingga kemampuan finansial seseorang. Ia lantas melaporkan kejadian ini ke publik dan mendapat respons dari Kementerian Dalam Negeri.
Pada kasus yang berbeda, ada banyak warga yang datanya diambil dan disalahgunakan. LBH Jakarta terakhir mengumumkan ada 5.000 lebih pengaduan terkait penyalahgunaan data pribadi. Kasus yang mereka tangani salah satunya berasal dari pinjaman uang online. Contoh imbas terburuk dari penyalahgunaan data ini adalah pelecehan seksual hingga perundungan.
Koordinator Regional SAFEnet (Southeast Asia Freedom of Expression Network) Damar Juniarto kepada DailySocial menjelaskan, banyaknya kasus penyalahgunaan data pribadi tak lepas dari tingkat literasi digital masyarakat yang masih rendah.
Damar mengatakan, terlepas dari motivasi para pelaku, masyarakat masih kesulitan membedakan mana data yang bisa disebar ke publik dan mana yang tidak. Bahkan hingga saat ini, cukup dengan menelusuri mesin pencari, seseorang bisa menemukan data pribadi seperti NIK dan KK.
Kesulitan serupa juga muncul ketika mengunduh suatu aplikasi tanpa menengok izin akses yang mereka berikan ke pihak aplikasi. Masalahnya, sebanyak dan semengganggu apa pun suatu aplikasi meminta akses ke data penggunanya, permintaan itu bersifat legal jika pengguna menyetujui permintaan saat memasang aplikasi tersebut.
“Misal saat memasang aplikasi, kita wajib mempertimbangkan saat apps minta permission. Saat minta permission untuk akses kamera misalnya, harus dipikir itu perlu atau tidak,” ujar Damar.
Damar menyarankan pengguna media sosial tidak memperlihatkan data-data yang bersifat sensitif baik di bio maupun profil mereka.
Namun potensi penyalahgunaan data tak hanya berasal dari aktivitas online seseorang. Tak sedikit aktivitas offline dapat berakibat pada penyebaran data pribadi kita.
Contoh paling mudah adalah fotokopi KTP yang tercecer. Kerawanan yang sama juga ada ketika permintaan meninggalkan KTP dan nomor telepon ketika hendak memasuki suatu gedung.
“Kalau untuk masuk akses gedung harus wajib kasih KTP enggak masalah. Yang jadi persoalan kalau dia minta data lebih dari itu seperti nomor telepon. Padahal kan enggak ada hubungannya. Itu bisa disiasati dengan mengganti tiga nomor terakhir,” saran Damar.
Menolak Data Digunakan
Ketika data pribadi sudah tersebar ke banyak tangan, tak banyak yang bisa dilakukan. Namun dalam konteks telepon telemarketing yang kerap mengganggu, pengguna bisa meminta. Ini memungkinkan karena ada aturan hukum yang mendukungnya.
Aturan pertama adalah Peraturan Otoritas Jasa Keuangan (POJK) Nomor 1/POJK.7/2013. Aturan itu melarang telepon atau SMS penawaran produk dari bank, lembaga keuangan lain, dan telemarketing freelance yang memakai telepon seluler. Masyarakat dapat mengadu ke OJK di nomor telepon (021) 5006555 jika mendapat telepon atau SMS penawaran produk.
Pasal 17 Undang-undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik juga melarang secara tidak langsung marketing. Beleid itu menyatakan informasi pribadi, termasuk nomor telepon, sebagai informasi yang bersifat rahasia. Terakhir, negara sendiri sudah mengakui privasi dalam Pasal 5 ayat (1), Pasal 20, Pasal 28 G ayat (1), Pasal 28 H ayat (4), dan Pasal 28 J UUD 1945.
Pentingnya UU Perlindungan Data Pribadi
Kendati sudah ada beberapa aturan yang mengatur mengenai data, Damar menilai publik tetap membutuhkan aturan khusus yang fokus menangani data yakni UU Perlindungan Data Pribadi (PDP).
Keberadaan UU PDP, menurut Damar, akan memayungi aturan mengenai data yang tersebar di berbagai sektor. Pada akhirnya beleid ini akan memudahkan negara dan masyarakat dalam menangani kasus penyalahgunaan data yang kerap kali dilakukan secara terpisah dan memakan waktu karena butuh koordinasi antarsektor.
“Kalau UU PDP ini muncul, dia akan jadi omnibus law yang memayungi semuanya menjadi lebih kuat,” pungkas Damar.
Sayangnya kebutuhan akan UU PDP ini masih terganjal dalam proses legislasi. Setelah beberapa tahun berbentuk draf, Rancangan UU PDP berhasil masuk daftar prioritas program legislasi nasional di DPR. Namun hingga sekarang ketika masa kerja DPR berakhir, rancangan itu tak kunjung disahkan.