Kasus Ravio Patra dan Pentingnya Regulasi Perlindungan Data Pribadi
Perlindungan data privasi adalah pekerjaan rumah yang sulit dan panjang, namun tetap harus terus dikampanyekan karena privasi adalah fondasi dari demokrasi.
Kasus peretasan WhatsApp aktivis dan peneliti kebijakan publik Ravio Patra yang berujung pada penahanan oleh polisi (22/4) membuat publik semakin sadar akan rentannya manipulasi data digital.
Ravio ditahan atas tuduhan menyiarkan berita onar atau menghasut untuk berbuat kerusuhan setelah ada pihak yang meretas aplikasi WhatsApp miliknya dan menyebarkan pesan berantai berisi ajakan untuk menjarah pada 30 April nanti.
Dikutip majalah Tempo, Ravio melihat saat diperiksa polisi bahwa berkas yang menjadi dasar penangkapannya berkode A, yang berarti pelaporan dilakukan oleh salah satu anggota polisi. Anehnya, laporan tersebut dibuat pukul 12.30 WIB di hari ia ditangkap, padahal, pesan autentikasi dari WhatApp saat akunnya diretas terkirim pada 12.11. Sangat mustahil laporan polisi dibuat hanya dalam rentan waktu 19 menit.
Alasan itu pula yang menjadikan publik berasumsi bahwa peretasan tersebut sengaja dibuat oleh pihak tertentu agar ada alasan untuk menahan Ravio. Selama ini Ravio memang dikenal sebagai orang yang sering mengkritik pemerintah terkait data penanganan COVID-19 dan polemik staf khusus presiden.
Di sisi lain, kasus ini juga meningkatkan kesadaran publik akan beberapa hal. Pertama, lembaga negara berpotensi menjadi pihak yang memanipulasi data, alih-alih menjadi lembaga yang menjamin perlindungan keamanan data pribadi kita. Kedua, sebagai perusahaan digital raksasa, WhatsApp belum bisa melindungi data privasi pengguna sepenuhnya, sehingga sudah sepaututnya publik waswas. Ketiga belum adanya regulasi yang mengatur tentang perlindungan data privasi di Indonesia menjadikan kasus yang menimpa Ravio bisa menimpa kita kapan saja.
Seberapa penting regulasi perlindungan data?
Di Indonesia kesadaran akan pentingnya hak privasi data digital belum seperti di Singapura, Malaysia, dan Filipina yang sudah punya payung hukum serta alur regulasi yang jelas. Undang-undang tentang perlindungan data pribadi baru sekedar rancangan di sini. Selama ini alur regulasi penyalahgunaan data hanya berpaku pada UU No. 23/2006 tetang Administrasi Kependudukan yang masih bersifat konvensional bukan ranah digital. Padahal di zaman serba internet seperti sekarang ini, berbagai perusahaan teknologi menjalankan bisnisnya dengan terus-menerus mengoleksi data pribadi kita setiap saat.
Baca juga: Pencurian Data Makin Marak, UU Perlindungan Data Diri Kian Mendesak
Mulai dari data pribadi untuk kepentingan registrasi sampai dengan data prilaku kita selama berselancar di berbagai aplikasi platform digital semuanya terekam dengan jelas. Dari berbagai data yang perusahaan punya tersebut kemudian muncul istilah Artificial Inteligence (AI) atau kemampuan sistem untuk menganalisis data dan menentukan arah tindakan (decision making) yang mencari peluang untuk mencapai tujuan tertentu. Dari sinilah algoritma yang nantinya dipakai untuk menawarkan produk atau jasa akan muncul berdasarkan apa yang kita klik dan cari di markeplace maupun media sosial atau disebut clickstreming.
Peneliti independen soal kebijakan dan hak asasi manusia asal Malaysia, Jun-E Tan mengatakan, penggunaan sistem AI tidak hanya berpengaruh pada ekonomi dan budaya digital di masyarakat tapi juga pada hak privasi yang jadi bagian dari hak asasi manusia. Siklus pengoleksian data berdasarkan clickstream pengguna yang dilakukan secara terus-menerus menjadikan pihak yang punya kuasa akan data pribadi kita bisa saja melakukan manipulasi data tanpa kita sadari. Risikonya bisa berujung pada cybercrime.
“Bayangkan ketika perusahaan dan pemerintah punya akses pada data apa saja bisa terjadi. Semuanya jadi gampang dimanipulasi, sehingga penting bagi kita untuk tahu hak atas privasi data, hak untuk memiliki kontrol data kita sendiri, juga hak untuk mendapat keamanan dan perlindungan baik dari perusahaan maupun pemerintah sebagai pembuat kebijakan,” ujar Jun dalam webinar yang diadakan Gothe Institute Jakarta bertema Digital Discourses: Privacy in the Age of Data Capitalism (25/4).
Organisasi negara-negara kaya di dunia (OECD) telah membuat sebuah pedoman regulasi, yang disarankan kepada seluruh negara secara global, tentang batas dispensasi negara yang hendak mengakses data privasi dengan alasan keamanan nasional dan pembuatan kebijakan publik. Pengoleksian data harus dilakukan sesedikit mungkin dan diberitahukan kepada publik.
Sutawan Chanprasert, pendiri organisasi hak asasi manusia DigitalReach di Bangkok yang meneliti tentang data privacy di Asia Tenggara mengatakan, ketika data pribadi diambil alih oleh negara meski dengan alasan keamanan nasional tetap berisiko tinggi untuk dimanipulasi.
“Potensi data dipindahtangankan kepada agensi pengolah data pun lebih mudah apalagi jika berurusan dengan kepentingan politik,” ujar Sutawan.
Ketika data pribadi diambil alih oleh negara meski dengan alasan keamanan nasional tetap berisiko tinggi untuk dimanipulasi.
Contoh konkret manipulasi data untuk kepentingan politik adalah kasus Cambridge Analytica. Perusahaan konsultan politik asal Inggris itu membantu kliennya di 68 negara, termasuk di wilayah Asia Tenggara, dengan mengombinasikan penyalahgunaan data, pengembangan data, dan analisis data dengan komunikasi strategis lewat media sosial dengan cara menyebarkan hoaks, menggunakan isu SARA (suku, agama, ras, antargolongan), maupun black campaign.
Pada Maret 2018, investigasi banyak media mengungkapkan monopoli data yang dilakukan oleh Cambridge Analytica, yang secara ilegal mengumpulkan lebih dari 50 juta data pengguna Facebook untuk memenangkan kliennya.
Menurut Alia Karunian, peneliti dari Lembaga Studi dan Advokasi Masyarakat (ELSAM) di Indonesia, pemakaian jasa konsultasi politik yang berafiliasi dengan Cambridge Analytica juga pernah terjadi. Mereka mengklaim turut andil dalam kampanye pemilihan Presiden Abdurrahman Wahid setelah lengsernya Soeharto pada 1998.
Namun pada saat itu, media sosial dan digital platform belum seperti sekarang ini. Proses kampanye yang dilakukan melalui target iklan di televisi, media cetak, dan radio, yang semuanya sudah diatur regulasinya dalam UU Pers dan Penyiaran. Sementara itu, kampanye dengan iklan di media sosial belum seperti sekarang ini belum teregulasi.
“Kiriman pesan propaganda kalau di digital langsung mengarah pada akun pribadi, mereka bisa menargetkan kampanye sampai ke tahap individual level. Sedangkan kita enggak tahu berapa banyak data kita yang sudah diakses mereka kecuali perusahaan ngasih izin akses, nah di Indonesia belum ada yang begitu” ujar Alia.
Selain Indonesia, Cambridge Analytica juga mengklaim sebagai pihak yang memenangkan Rodrigo Duterte saat pemilihan presiden di Filipina pada 2016. Mereka memanfaatkan kelemahan regulasi perlindungan data untuk memanipulasi berbebagai kampanyenya.
Baca juga: Satu Lagi RUU Bermasalah: RUU Keamanan dan Ketahanan Siber
Berkaca pada Eropa
Eropa merupakan salah satu contoh serikat negara yang sudah menerapkan regulasi hukum perlindungan data pribadi yang cukup ketat. Semuanya diatur dalam General Data Protection Regulation (GDPR) yang mengatur beberapa hak pengguna, antara lain hak untuk mendapatkan informasi; hak untuk mengakses; hak atas penghapusan data; hak pembatasan data; hak portabilitas seperti penggandaan data; dan hak untuk menghindari pengambilan keputusan secara otomatis. Menurut hasil penelitian Sutawan Chanprasert dengan DigitalReach, belum ada negara di Asia Tenggara yang menerapkan alur regulasi perlindungan data pribadi seketat GDPR Eropa.
Katherina Nocun, pejuang hak sipil, aktivis internet, dan ahli ekonomi dari Jerman, mengatakan ia merasa semakin bebas untuk meminta koleksi data pribadinya ke pemerintah maupun perusahaan swasta sejak diberlakukannya aturan regulasi tersebut.
Dalam beberapa tahun terakhir, Nocun meminta salinan data pribadinya ke berbagai perusahaan tempat ia biasanya melakukan transaksi, termasuk pasar swalayan di mana ia biasa berbelanja kebutuhan pangan. Awalnya, ia mengirimkan surat meminta data pribadinya, kemudian pihak manajemen pasar swalayan memberikannya data nominal uang yang ia sudah habiskan selama beberapa bulan terakhir.
Merasa tidak cukup, ia pun menyurati kembali pihak manajemen, lalu akhirnya ia diberi data yang lebih detail tentang apa saja produk yang sudah dibelinya. Dari data itu perusahaan bisa tahu berapa poin bonus yang didapat Nocun.
“Saya ada cerita juga tentang bapak-bapak yang marah ke apotek karena menawarkan anaknya perlengkapan bayi padahal anaknya baru berusia 18 tahun. Iklan dan penawaran itu ternyata didapat perusahaan dari data riwayat pembelian si anak, beberapa bulan kemudian ternyata si anak kedapatan memang sedang hamil,” ujar Nocun.
Meski banyak orang yang menilai apa yang dilakukan oleh Nocun itu berlebihan karena meminta data dari perusahaan kecil seperti pasar swalayan, tapi tindakannya tersebut membuktikan bahwa data bisa membaca tingkah laku kita hanya lewat apa saja barang yang kita beli. Menurutnya, permasalahan data privasi sering kali diasosiasikan dengan perusahaan teknologi besar seperti Facebook atau Google, padahal sebenarnya di level kecil sekalipun data pribadi tetaplah penting.
Selain pasar swalayan, Nocun juga meminta transparansi data pribadinya ke perusahaan digital besar seperti Amazon dan Netflix. Dari pasar terbesar tempat hampir setiap kebutuhannya selalu dibeli, Nocun ingin tahu seberapa banyak data pribadinya yang telah diperoleh Amazon. Perlu waktu sembilan bulan bagi Nocun sampai akhirnya ia mendapat semua data pribadinya sejak pertama kali ia mengakses Amazon.
Permasalahan data privasi sering kali diasosiasikan dengan perusahaan teknologi besar seperti Facebook atau Google, padahal sebenarnya di level kecil sekalipun data pribadi tetaplah penting.
“Laptop saya langsung error karena ada sekitar 14.000 kolom yang memuat berbagai hal yang pernah saya klik, berbagai hal yang pernah saya klik itu disebut clickstream. Dari sana saya berpikir, orang yang enggak tahu saya bisa tahu kebiasaan saya hanya dari clickstream. Pertanyaannya adalah bagaimana jika data pribadi kita itu jatuh ke tangan orang yang jahat?” ujarnya.
Menghindari kolonialisasi data
Gagasan kolonisasi data di sini adalah ketika entitas asing mencoba mengambil data untuk keuntungan mereka sendiri. Dalam hal ini kolonialisasi data dapat dibagi menjadi dua, yaitu Amerika Serikat sebagai negara tempat perusahaan besar seperti Apple, Amazon, Facebook, dan Microsoft yang memiliki pengguna di hampir semua negara berada. Kedua adalah China sebagai negara yang memproduksi banyak alat telekomunikasi yang sudah tersebar secara menggelobal, ditambah lagi dengan adanya perusahaan raksasa Alibaba.
Sutawan Chanprasert mengatakan, perusahaan raksasa seperti Facebook dan Google selama ini mengambil keuntungan dari iklan di internet yang diambil berdasarkan data pribadi yang sudah dimonetisasi sesuai dengan mekanisme yang mereka buat. Karenanya, data pribadi pengguna akan terus menerus dikapitalisasi agar lebih banyak orang yang terpengaruh dan mau bertransaksi, ujarnya. Selain mengancam hak asasi individu, adanya akses data global sebesar itu bisa mempengaruhi demokrasi, kata Chanprasert.
“Jika monetisasi data pribadi terus-menerus dinormalisasi, maka aktivis, pengkritik pemerintah dan komunitas marginal lainnya akan jadi yang paling kena dampaknya,” ujarnya.
“Media sosial dan model yang dibikin oleh perusahaan dengan algoritmanya terbukti bisa mempengaruhi demokrasi karena konten dan data bisa dimanipulasi pihak tertentu yang punya kuasa untuk membuka akses big data tersebut,” jelas Chanprasert.
Menurut Nocun kesadaran akan semua orang akan pentingnya perlindungan data privasi memang menjadi pekerjaan rumah yang sulit dan panjang, namun tetap harus terus dikampanyekan karena privasi adalah fondasi dari demokrasi.
