Bagaimana sistem hukum Indonesia menangani kebocoran data

Seorang hacker yang menyebut dirinya sebagai ‘Bjorka’ mengklaim telah menguasai 1,3 miliar data registrasi kartu SIM yang berisi nomor KTP penduduk Indonesia dan nomor Kartu Keluarga. Ia membocorkannya di sebuah forum internet, Breached.to pada 31 Agustus 2022.
 

Setelah membobol data kartu SIM, Bjorka mengolok-olok pemerintah dengan membocorkan data pribadi sejumlah pejabat negara, di antaranya data vaksinasi covid-19 Menteri Koordinator Bidang Kemaritiman dan Investasi Luhut Pandjaitan dan data pribadi Menteri Komunikasi dan Informatika Johnny Plate. Bjorka juga mengklaim memiliki dokumen surat Presiden dengan Badan Intelijen Negara.
 

Berbagai klaim Bjorka langsung ditepis oleh Istana. Menteri Koordinator Bidang Politik, Hukum dan Keamanan Mahfud MD menyebut data-data yang tersebar itu hanya informasi yang bersifat umum dan tidak ada rahasia negara yang bocor.
 

Dua puluh hari setelah munculnya Bjorka, pemerintah dan DPR sepakat untuk mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) menjadi Undang-Undang. “Pengesahan RUU PDP menjadi Undang-Undang merupakan bukti kehadiran negara untuk melindungi data pribadi warganya,” kata Menkominfo Johnny Plate di hadapan Sidang Paripurna DPR.
 

Pengesahan UU Data Pribadi bukan karena Bjorka

UU PDP yang disahkan tidak lama setelah kasus pembocoran data pribadi oleh Bjorka membuat riuh akademisi dan ahli keamanan siber. Setelah UU diketok, kasus kebocoran data perlahan menghilang dan tiba-tiba pemerintah menyepakati pencairan anggaran Badan Siber dan Sandi Negara (BSSN) sebesar Rp 624 miliar.
 

Sebagian mengatakan pengesahan ini sangat terlambat karena kebocoran data sudah begitu masif ketika penyusun legislasi sibuk berdebat soal aspek legal-formal sebuah peraturan.
 

Staf Khusus Menkominfo yang juga Anggota Tim Perumus RUU PDP, Ahmad Ramli, menjelaskan kepada GovInsider bahwa hingar bingar Bjorka atau kasus-kasus kebocoran data lainnya bukanlah alasan pemerintah dan DPR mempercepat kesepakatan pengesahan UU PDP.
 

“Rancangan tersebut sudah mangkrak selama dua tahun lamanya dan sudah melalui enam kali perpanjangan masa sidang di DPR, walaupun pemerintah telah mengirimkan draft ini pada tahun 2019. Maka penting bagi kami untuk segera mengesahkan RUU PDP,” ungkap dia.
 

Ramli menjelaskan, dengan atau tidak adanya Bjorka, UU PDP tetap akan disahkan demi terciptanya kepastian hukum dan melindungi warga negara dari segala bentuk ancaman di ruang digital.
 

UU PDP mengisi kekosongan hukum keamanan data

Kasus kebocoran 1,3 miliar data SIM card begitu mencengangkan. Angka ini jauh di atas Malaysia yang mengalami kebocoran 46 juta data pelanggan seluler lima tahun lalu. Ini menjadikan Indonesia sebagai negara Asia yang paling banyak mengalami kebocoran data dengan total 429 juta pengguna jadi korban menurut hasil riset Surfshark.
 

Jauh sebelum Bjorka, kebocoran data menjadi problem yang tak terselesaikan di Indonesia. Pada 2021, data 279 juta penduduk Indonesia yang berada di server Badan Pengelola Jaminan Sosial Kesehatan dibocorkan dan dijualbelikan di forum internet. Pada 2020, masalah ini juga dialami oleh super-app Tokopedia yang mengalami kebocoran data 15 juta penggunanya.
 

Ramli mengatakan, saat ini data sudah menjelma sebagai the new oil di era informasi. Apalagi Indonesia sedang menjalani proses transformasi digital yang masif sehingga menjadi incaran para pelaku kejahatan siber.
 

Dia mengakui kepada GovInsider bahwa Indonesia belum memiliki sistem hukum yang memadai untuk menjamin keamanan data pribadi. Maka pemerintah membuat legislasi primer untuk mengisi kekosongan hukum terkait keamanan data, dengan mengacu pada regulasi pada GDPR di Eropa.
 

“UU PDP mengatur batasan jenis data pribadi, subyek data, dan kewajiban pengendali data. Para pengendali data diwajibkan untuk melindungi data pribadi dari pemrosesan yang tidak sah secara hukum, dan memproses data pribadi mengunakan sistem elektronik yang andal, aman dan bertanggung jawab,” Ramli menambahkan.
 

Sebuah norma hukum dapat dikatakan kuat apabila diimbangi dengan sanksi yang memberikan efek jera bagi pelanggar. UU menyebutkan, sanksi akan diberikan kepada individu atau pengendali data yang membocorkan data pribadi tersebut secara tidak sah.
 

Sanksi tahap pertama ialah sanksi administrasi berupa denda hingga 2 persen dari pendapatan tahunan. Sanksi ini dikenakan kepada pengendali data baik badan publik maupun swasta yang mengalami kebocoran. Sanksi administrasi akan diberikan oleh Lembaga Pelaksana Perlindungan Data Pribadi (LPPDP) yang akan dibentuk kemudian.
 

LPPDP juga akan memfasilitasi sengketa antara dua pihak apabila terjadi gugatan hukum atau arbitrase. Sementara untuk ketentuan pidana, para pelanggar PDP dapat dijatuhi hukuman maksimal enam tahun penjara dan/atau denda Rp 6 miliar.
 

“Pembocoran data oleh Bjorka beberapa waktu lalu, jelas masuk ranah pidana. Aparat penegak hukum baik polisi maupun jaksa tidak perlu ragu untuk mengambil tindakan,” kata Ramli menambahkan.
 

Meski demikian, UU ini tidak hanya mengatur soal kebocoran data pribadi yang dilakukan oleh pihak ketiga, tetapi mencakup penggunaan data pribadi tanpa izin, hingga pencatutan data pribadi di platform sistem elektronik untuk melakukan penipuan (phising).
 

Berdasarkan data Direktorat Tindak Pidana Siber Bareskrim Polri, terdapat 5.579 serangan phising yang terjadi di Indonesia sepanjang kuartal II-2022. Jumlah serangan phising ini meningkat sekitar 41,52 persen dari kuartal sebelumnya. Dari jumlah laporan itu, mayoritas penipuan menyasar lembaga keuangan dan pengguna e-commerce.
 

“Hal-hal seperti memanipulasi informasi dan foto profil di akun Whatsapp untuk melakukan penipuan dapat terjadi pada siapa saja dan di mana saja, tapi belum ada aturan yang solid untuk mencegahnya,” Ramli menambahkan.
 

Membentuk Lembaga Pelaksana PDP yang independen

UU PDP mengamanatkan pembentukan LPPDP sebagai pelaksana aturan Undang-Undang. Berbeda dengan lembaga kuasi negara lainnya yang memerlukan campur tangan parlemen, UU PDP menegaskan bahwa lembaga ini berada langsung di bawah Presiden.
 

LPPDP memiliki tugas sebagai pembuat aturan, fasilitator penyelesaian sengketa, sekaligus sebagai penegak hukum untuk setiap pelanggaran administrasi PDP. LPDP berwenang memanggil dan menghadirkan setiap orang dan/atau badan publik untuk meminta keterangan, data, Informasi, dan dokumen terkait dugaan pelanggaran PDP.
 

Peneliti dari Center for Digital Society Gadjah Mada University, Faiz Rahman, meragukan LPPDP menjadi lembaga independen karena berada di bawah presiden. “Sulit bagi lembaga ini untuk meminta pertanggung jawaban dan memberikan sanksi tegas jika kebocoran data terjadi di lembaga negara yang kedudukannya setara atau lebih besar.”
 

LPPDP juga baru dapat bertindak apabila sudah ada laporan resmi mengenai dugaan kebocoran data pribadi. Padahal informasi mengenai kebocoran data bisa berasal dari pemilik data dan individu secara umum. Lembaga ini diharapkan bisa proaktif menerima pengaduan dari masyarakat.
 

Menurut Faiz, hadirnya UU PDP tidak menjamin 100 persen kebocoran data akan hilang karena kemampuan pemerintah mengatasi peretasan atau ancaman siber lainnya sangat lemah. Laporan BSSN menyatakan hingga Juli 2022 Indonesia telah mendapatkan lebih dari 700 juta serangan siber. “Pemerintah dan parlemen harus segera meneruskan pembahasan Rancangan Undang-Undang Keamanan dan Ketahanan Siber untuk melengkapi UU PDP,” tutup Faiz.