Ancaman Utama yang Perlu Diatasi Lewat UU Perlindungan Data Pribadi
UU Perlindungan Data Pribadi akan membuat hak-hak digital masyarakat berada di bawah kendali kita sendiri secara penuh.
Dewan Perwakilan Rakyat (DPR) memiliki waktu sekitar satu bulan lagi untuk mencapai target menyelesaikan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP). RUU itu hingga kini sudah dibahas dalam tiga Rapat Dengar Pendapat Umum (RDPU) bersama berbagai pihak.
Regulasi ini begitu penting karena akan menjalankan fungsi perlindungan pada data pribadi bagi 175,4 juta pengguna internet di Indonesia dari potensi-potensi pelanggaran. Jelas, data pribadi kita, yang merupakan informasi khas dalam bentuk angka, karakter, simbol, gambar, sensor, gelombang elektromagnetik, dan suara, wajib untuk dipahami, dikelola secara bijak, dan dilindungi dari ancaman-ancaman.
Kita telah melihat kasus-kasus yang mengancam data warga negara Indonesia, misalnya jual beli data pengguna jasa e-commerce yang dibobol atau peretasan pada kelompok aktivis dan masyarakat sipil. Kasus-kasus itu adalah contoh-contoh dari dua jenis ancaman pelanggaran data pribadi yang menurut saya sangat penting, yaitu penggalian data pribadi tanpa kesepakatan dan pengawasan tanpa alasan yang jelas.
Penggalian data yang menerabas kedaulatan pribadi
Perusahaan penyedia layanan internet melakukan penggalian data (data mining) dengan motif ekonomi. Data-data yang diambil dari rekam jejak aktivitas pengguna internet ini mulanya hanya dianggap sebagai sampah digital, sampai akhirnya dieksploitasi saat diketahui nilai jualnya.
Misalnya, catatan-catatan pembelian belanja online (daring) kita memiliki nilai ekonomi, karena preferensi kita yang terekam mempermudah pengiklan dalam menjual produknya. Terlebih lagi, efektivitas iklan di media digital (misalnya diukur lewat berapa banyak pengguna yang melihat iklan) dapat lebih mudah dan rinci diukur, berbeda dari model pengiklanan di televisi dan media cetak. Namun, aktivitas penggalian tersebut sering dilaksanakan tanpa kesepakatan, bahkan juga tanpa pemberitahuan pada pemilik data.
Kamu pasti pernah menerima pesan yang tidak diinginkan, seperti iklan, di kotak masuk ponselmu. Itulah salah satu contoh hasil dari transaksi pihak-pihak yang melakukan pemindahgunaan data pribadi.
Baca juga: Serangan Digital Marak, Kebebasan Berpendapat di Ujung Tanduk
Ada berbagai gagasan berbeda dalam melihat persoalan kepemilikan data pribadi. Satu gagasan yang cukup baru adalah konsep yang melihat data sebagai aktivitas kerja (data as labor). Konsep ini memasukkan aktivitas berselancar kita sebagai kegiatan produksi. Ini masuk akal, sebab aktivitas kita di internet ikut berkontribusi dalam membuat machine learning milik penyedia layanan internet kian cerdas, akurat, dan relevan.
Algoritma platform YouTube adalah contoh paling sederhana terkait machine learning. YouTube akan menawarkan konten yang kian sesuai dengan selera pengguna saat pengguna makin sering menggunakannya.
Dengan melihat data sebagai aktivitas kerja, maka pengguna berhak mendapatkan insentif karena membuat machine learning semakin pintar dari asupan data perilaku yang terekam. Pemberian insentif akan menjadi tantangan karena alat ukur kontribusi pengguna pada machine learning harus dibuat terlebih dahulu. Jumlah pengguna platform, yang sering kali mencapai jutaan orang, juga menjadi tantangan terkait distribusi insentif tersebut.
Pandangan data as labor berbeda dengan konsep data as capital (data sebagai modal), yang mengartikan bahwa data secara otomatis dimiliki perusahaan penyedia layanan internet. Logika ini muncul karena penyedia layanan menganggap pertukaran yang adil sudah terjadi.
Pengguna internet mendapatkan akses di platform secara gratis. Maka, penyedia layanan berhak mendapatkan data-data yang dimasukkan pengguna internet pada platform mereka.
Terlepas dari perdebatan yang terjadi pada dua gagasan tersebut, praktik penggalian data pribadi ini senyatanya telah dan masih berlangsung di keseharian kita.
Pengawasan digital terhadap warga
Ancaman lain terhadap perlindungan data pribadi adalah pengawasan (surveillance) yang menekankan pada proses pemantauan suatu subjek secara khusus, yang rawan diikuti dengan aksi pembobolan data pribadi oleh pihak tertentu, termasuk institusi negara.
Pengawasan ini dilakukan oleh kelompok masyarakat (misalnya negara) atau institusi (misalnya militer atau perusahaan) untuk mengelola risiko dalam melakukan perencanaan atau menghadapi masa depan.
Baca juga: Pencurian Data Makin Marak, UU Perlindungan Data Diri Kian Mendesak
Dalam melakukan ini, kelompok atau institusi mengumpulkan informasi tentang kelompok lain atau suatu individu, menelaah apakah individu tersebut “baik” atau “buruk” bagi mereka, dan akhirnya menentukan langkah-langkah yang akan dilakukan dalam menghadapi individu itu.
Akses ke dalam bandara adalah contoh sederhana dari konsep ini. Di pintu masuk bandara, petugas keamanan akan memeriksa apakah kita membawa barang-barang yang membahayakan. Sebelum melewati pemeriksaan dan dianggap “aman”, kita tidak akan boleh masuk.
Richard V. Ericson dan Kevin D. Haggerty, keduanya profesor Sosiologi dan Kriminologi di Kanada, berargumen bahwa dalam masyarakat risiko, “semua orang diduga ‘bersalah’” sebelum informasi tentang mereka menyatakan sebaliknya.
Pengelolaan risiko ini menjadi legitimasi untuk melakukan pengawasan, sebagaimana pengalaman sehari-hari yang dirasakan pengguna internet. Misalnya saat menggunakan ponsel, lokasi kita bahkan tetap terpantau walau aksesnya sudah diputus. Ini juga turut berperan dalam membangun budaya curiga terhadap negara dan satu sama lain di tengah masyarakat.
Memang ada sisi positif dari sistem pengawasan berbasis teknologi komunikasi terhadap penyusunan kebijakan pemerintah yang responsif pada situasi mutakhir. Namun, peningkatan kualitas institusi keamanan, pertahanan, dan intelijen negaraꟷmisalnya melalui penambahan jumlah anggaranꟷakan berdampak pula pada peningkatan kekuatan institusi tersebut dalam melangsungkan aksi pengawasan.
Di Indonesia, alokasi terbesar Anggaran Pendapatan dan Belanja Negara (APBN) saat ini diberikan pada Kementerian Pertahanan, dan Kepolisian berada di peringkat ketiga. Dalam konteks ini, pengawasan yang semakin ketat oleh negara membawa ancaman bawaan berupa peretasan terhadap individu dan kelompok yang kritis terhadap pemerintah.
Beberapa waktu lalu, Amnesty Internasional Indonesia mencatat peretasan akun media sosial pribadi epidemiolog Pandu Riono dan aktivis Ravio Patra. Mereka kerap mengkritisi secara terbuka kebijakan pemerintah dalam menangani wabah.
Baca juga: Kasus Ravio Patra dan Pentingnya Regulasi Perlindungan Data Pribadi
Catatan Amnesty Internasional Indonesia dari Februari hingga Agustus 2020 juga memperlihatkan adanya 39 kasus dugaan intimidasi dan serangan digital terhadap mereka yang aktif mengkritik pemerintah. Sementara Perkumpulan Southeast Asia Freedom of Expression Network (SAFEnet) bahkan menyebut kondisi kemerdekaan berekspresi di Indonesia sudah masuk dalam “siaga satu”.
Jaminan kontrol penuh
Harapan apa yang harus kita sematkan pada RUU PDP dalam upaya menghindari dominasi raksasa teknologi dan pengawasan tak terbatas?
Demi kepentingan kedaulatan pengguna internet, kita perlu mengawasi dan menjaga klausul-klausul yang mendukung kedaulatan pemilik data pribadi hingga pengundangan RUU PDP nanti.
Terkait ancaman pengawasan, misalnya, RUU PDP memiliki prinsip yang bisa melindungi kita, yaitu hak untuk dilupakan. Hak ini memberi kewenangan pada pemilik data pribadi untuk mengajukan penghapusan dan pemusnahan rekam jejak digital miliknya. Instrumen ini tentu bisa menekan potensi pengawasan terhadap data pribadi kita, asalkan diterapkan secara penuh dan transparan.
Terkait ancaman penggalian data pribadi, draf RUU PDP terakhir menjatuhkan pidana maksimal tujuh tahun penjara dan denda Rp 70 miliar bagi pihak yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya.
Dalam draf RUU PDP versi Januari 2019, denda maksimal yang ditetapkan mencapai Rp 100 miliar. Namun setidaknya, draf RUU PDP terakhir masih memberikan denda sebesar tiga kali lipat besaran denda perseorangan pada perusahaan yang melanggar ketentuan-ketentuan pidana.
Oleh karena itu, kita perlu mengawal pembahasan RUU PDP hingga waktu penetapannya, agar hak-hak digital kita sebagai pengguna berada di bawah kendali kita sendiri secara penuh.
Artikel ini pertama kali diterbitkan oleh The Conversation, sumber berita dan analisis yang independen dari akademisi dan komunitas peneliti yang disalurkan langsung pada masyarakat.