Banyak Aplikasi Belajar Curi Data Pribadi Anak, Apa yang Harusnya Dilakukan?
Data pribadi anak rawan disalahgunakan platform teknologi pendidikan, apakah UU PDP yang baru mampu melindunginya?
Lebih dari dua tahun pandemi dan juga berkembangnya online learning di Indonesia membuat anak-anak dan pelajar berbondong-bondong memakai berbagai platform teknologi pendidikan (education technology atau edtech).
Hal ini membawa para siswa kepada berbagai peluang pembelajaran — sekaligus ancaman terhadap data pribadi.
Laporan pada Mei 2022 dari Narasi dan Human Rights Watch (HRW) bersama 14 media dari 23 negara yang berjudul “Data Anak Dijual oleh Aplikasi Pendidikan” membuktikan bagaimana banyak platform edtech di seluruh dunia mengambil data anak secara diam-diam dan menjualnya ke perusahaan iklan.
Anak merupakan pihak yang belum cakap secara hukum dan belum memahami konsekuensi dari pemrosesan data pribadi. Hal ini menempatkan mereka dalam posisi yang sangat rentan dieksploitasi oleh berbagai platform tersebut.
Baca juga: UU Perlindungan Data Pribadi Sah: Kesadaran Pemerintah atau Takut Bjorka?
Pengesahan Undang-Undang Perlindungan Data Pribadi (UU PDP) baru-baru ini tentu menjadi angin segar bagi pencegahan risiko-risiko tersebut. Dalam UU PDP, data anak masuk dalam kategori data pribadi yang bersifat spesifik, dan memerlukan ‘pemrosesan secara khusus’ oleh pemerintah maupun perusahaan.
Tapi, apakah ini cukup untuk melindungi anak dari pelanggaran privasi?
Melalui tulisan ini, saya ingin memberikan gambaran seperti apa risiko yang mengancam data anak di dunia digital, khususnya dalam layanan pendidikan daring dan mengapa regulasi yang ada saat ini belum cukup untuk mengatasinya.
Data Anak Rentan Dieksploitasi Platform Daring
Dalam laporan mereka, Narasi dan Human Rights Watch bersama 14 media internasional menginvestigasi 165 platform pendidikan daring di 49 negara. Hampir 90 persen di antaranya terlibat praktik penyalahgunaan data anak.
Semua perusahaan yang mereka wawancarai secara implisit maupun eksplisit menyatakan melakukan data mining (pengolahan dan pengamatan pola) atas data anak, bahkan ada yang secara gamblang menyatakan menjualnya kepada pihak ketiga.
Semuanya merupakan platform edtech dari perusahaan rekomendasi pemerintah di Indonesia misalnya Ruang Guru, Kelas Pintar, dan Zenius. Ini juga termasuk aplikasi yang dikembangkan oleh Kementerian Pendidikan (Kemdikbudristek) seperti Rumah Belajar.
Namun, yang menarik, laporan tersebut juga menemukan bahwa dari seluruh aplikasi pendidikan milik pemerintah di berbagai negara yang diteliti, hanya platform di Indonesia yang secara jujur mengaku menjual data anak ke perusahaan iklan.
Berdasarkan dokumen ini, ancaman privasi anak bisa muncul dari pengumpulan data oleh institusi publik, bisnis, dan organisasi lainnya. Beberapa praktik digital, misalnya seperti penyusunan profil pengguna, penargetan perilaku, hingga pengawasan massal, menjadi praktik rutin di antara berbagai institusi ini, termasuk di sektor edtech.
Baca juga: Menciptakan Ruang Online yang Aman bagi Anak Perempuan
Apalagi, sebagai kelompok yang belum memiliki kecapakan hukum, anak (dan data mereka) semakin berpotensi terjerat praktik tersebut, serta lebih rawan terkena dampak buruk jika data mereka bocor.
Apakah UU PDP yang baru akan mampu mengatasi ancaman ini?
UU PDP masih minimalis
Hak atas privasi, termasuk di ranah digital, merupakan salah satu hak anak yang dijamin dalam Konvensi Hak-Hak Anak PBB. Sebagai salah satu negara yang meratifikasi konvensi itu, Indonesia memiliki tanggung jawab untuk memenuhi hak-hak tersebut, serta wajib memiliki landasan hukum yang kuat untuk mendukungnya. Hadirnya UU PDP adalah langkah awal yang baik.
Kendati demikian, pengaturan mengenai data pribadi anak dalam UU PDP masih tergolong minimalis.
Dalam UU PDP, seluruh data pribadi anak masuk sebagai kategori data yang bersifat ‘spesifik’. Ini berarti data yang sensitif dan punya risiko tinggi terhadap subyek (pemilik) data pribadi setara dengan data finansial, data medis, atau catatan kejahatan.
Oleh karena itu, UU PDP pun mengatur bahwa platform yang memegang data anak harus ‘menyelenggarakannya secara khusus’ dan wajib mendapat persetujuan orang tua dan/atau wali. Sayangnya, selain terkait persetujuan orang tua, UU PDP belum secara tegas mengatur ‘penyelenggaraan khusus’ ini harus seperti apa.
Ini membuat para penyelenggara dan platform kurang memiliki standar perlindungan hukum yang jelas dalam memproses data anak.
UU PDP pun belum mengatur standar usia yang masuk kategori data anak.
Padahal, standar ‘usia anak’ bervariasi dalam hukum Indonesia dari UU Perlindungan Anak hingga Kitab Undang-Undang Hukum (KUH) Perdata. Perbedaan ini dapat menimbulkan interpretasi ganda mengenai batas usia anak yang berpotensi besar disalahgunakan platform.
Ketentuan perlindungan data anak yang minimalis ini menjadi dilematis, terutama di sektor pendidikan.
Dunia digital yang menawarkan peluang bagi anak-anak untuk belajar dan bersosialisasi, saat ini justru makin mengalami komersialisasi. Platform pendidikan pun telah terbukti menjual data anak untuk mengembangkan bisnisnya – ini tercermin dengan jelas dalam laporan Narasi dan Human Rights Watch.
Dengan memperhatikan perkembangan teknologi pendidikan yang ada saat ini, bisa saja ke depannya seorang anak, yang berdasarkan hukum diharuskan menerima pendidikan, mau tidak mau harus pasrah menerima praktik data yang invasif dari platform teknologi pendidikan, yang saat ini ironisnya dianggap lumrah.
Peran Pemerintah, Platform, dan Orang Tua
Melihat berbagai ancaman pelanggaran privasi ini, kita perlu langkah bersama untuk melindungi privasi anak di dunia digital, utamanya di sektor pendidikan.
Bagi pemerintah (dan DPR), pengesahan UU PDP adalah langkah yang patut diapresiasi karena akhirnya Indonesia memiliki landasan hukum yang lebih kuat dalam melindungi data masyarakat, meski ketentuan pelindungan data anak masih minimal.
Namun demikian, mengamini salah satu poin dalam Komentar Umum No. 25 (2021) dari Konvensi Hak-Hak Anak, UU PDP dan aturan turunannya nantinya perlu memberikan perlindungan yang lebih kuat dan transparan, disertai pengawasan yang independen, serta menjamin akses upaya pemulihan (hukum).
Lebih lanjut, pemerintah juga harus menjamin bahwa bisnis dan perusahaan edtech yang memproses data anak tidak menargetkan mereka secara khusus menggunakan berbagai mekanisme yang memprioritaskan kepentingan komersial dibandingkan kepentingan anak.
Baca juga: Magdalene Primer: Kebocoran Data Pribadi dan Hak Warga yang Harus Dilindungi
Bagi platform edtech, pelaksanaan bisnis yang melibatkan data anak harus menerapkan standar keamanan siber dan privasi yang tinggi, termasuk konsep ‘privacy-by-design’ dan ‘safety-by-design’ (sejak awal mempertimbangkan privasi dan keamanan data) dalam segala layanan mereka. Ini sebagai bentuk kepatuhan terhadap UU PDP dan standar perlindungan data internasional lain, sekaligus meminimalisir pelanggaran privasi anak.
Pemerintah pun perlu terus menggalakkan program literasi digital bagi orang tua dan anak tentang ancaman privasi ini.
Ini penting agar orang tua juga bisa memberi pengertian dan pemahaman mengenai privasi ketika anak memanfaatkan platform edtech. Orang tua juga bisa mendorong sekolah untuk tidak menggunakan platform edtech yang terindikasi tidak menghormati dan melindungi privasi anak.
Artikel ini pertama kali diterbitkan oleh The Conversation, sumber berita dan analisis yang independen dari akademisi dan komunitas peneliti yang disalurkan langsung pada masyarakat.
Opini yang dinyatakan di artikel tidak mewakili pandangan Magdalene.co dan adalah sepenuhnya tanggung jawab penulis.