UU Perlindungan Data Pribadi Sah: Kesadaran Pemerintah atau Takut Bjorka?
Sebelum ada Bjorka, DPR dan pemerintah terkesan berlama-lama dan enggan mengebut pembahasan UU Perlindungan Data Pribadi.
Nama hacker ‘Bjorka’ mendadak jadi buah bibir sebulan terakhir. Ia disebut-sebut membocorkan data-data pribadi individu, termasuk 1,3 miliar data registrasi kartu SIM dan 105 data penduduk milik Komisi Pemilihan Umum (KPU).
Dalam perspektif kebijakan publik, maraknya peretasan data publik dan aksi mengolok-olok yang dilakukan Bjorka ini adalah focusing event atau kejadian penting yang membuat agenda keamanan siber kembali menjadi prioritas.
Meski perbuatannya tak layak dibenarkan, rentetan aksi peretasan Bjorka pada akhirnya membuat pemerintah dan parlemen cepat-cepat mengesahkan UU Perlindungan Data Pribadi (PDP) yang pembahasannya sempat mangkrak di Dewan Perwakilan Rakyat (DPR) selama 8 tahun.
Padahal, sebelum ada Bjorka, DPR dan pemerintah terkesan berlama-lama dan enggan mengebut pembahasan UU tersebut. Bandingkan misalnya dengan UU Nomor 3 Tahun 2022 tentang Ibu Kota Negara (IKN) atau UU Nomor 11 Tahun 2020 tentang Cipta Kerja.
Fenomena ini pun telah mendorong DPR untuk menyetujui penambahan pagu anggaran Badan Siber dan Sandi Negara (BSSN) tahun 2023 menjadi sebesar Rp624 miliar, dari Rp508 miliar pada tahun ini.
UU PDP ini memang jadi satu langkah awal yang baik untuk memperbaiki keamanan siber di Indonesia dan menutup kekosongan hukum selama ini. Aturan ini akan berdampak besar pada lembaga negara yang sejauh ini abai dalam hal perlindungan data dan keamanan siber. Misalnya, kini warga dapat menuntut jika datanya bocor, dipindahtangankan tanpa ijin, atau digunakan di luar keperluan yang mereka setujui.
Namun demikian, masih ada kekurangan dan kelemahan dalam aturan UU PDP. Beberapa regulasinya berpotensi menjadi pasal karet, dan implementasinya pun akan disertai beragam tantangan besar.
Melihat tergesa-gesanya pemerintah dalam mengesahkan UU PDP, regulasi ini layak dipertanyakan. Apakah memang para pemangku kepentingan benar-benar sadar atas pentingnya data pribadi dan keamanan siber, atau tiba-tiba bergerak cepat hanya karena takut pada teror peretasan Bjorka?
Baca juga: ‘Hacker’ Bjorka di Antara Puja dan Cela
Sikap Abai Pemerintah
Jumlah serangan siber di Indonesia terbilang tinggi, bahkan mencapai 1,6 miliar serangan selama 2021. Sementara tahun ini, sampai pertengahan tahun saja sudah tercatat 700 juta serangan. Ditambah lagi, dalam setahun terakhir setidaknya telah ada tujuh kasus kebocoran data, baik yang dikumpulkan, disimpan, dan dikelola pihak swasta maupun pemerintah.
Di satu sisi, pemerintah pusat maupun daerah sedang sangat semangat melakukan transformasi digital yang mengharuskan mereka mengumpulkan data-data warga dalam jumlah besar.
Di sisi lain, sayangnya, pemerintah justru menunjukkan kegagapan dan ketidaksiapan mereka untuk memitigasi peretasan.
Para pemegang kebijakan kita justru meremehkan masalah ini. Misalnya, mereka kerap mengatakan bahwa data yang diretas adalah data lama yang belum diperbarui, meremehkan pentingnya data pribadi, menyangkal, dan malah sekadar mengajak untuk tidak meretas data.
Sikap santai dan ketidakpedulian pemerintah yang ditunjukkan ke publik ini sangat berbahaya. Ini tidak saja menunjukkan ketidakmampuan pemerintah dalam melindungi keamanan data, tapi juga dapat melanggengkan persepsi di masyarakat bahwa data kita tidaklah penting dan bernilai.
Pada tahun 2019, saya mengkritik rencana Pemerintah Kota Surabaya untuk memasang CCTV dengan pemindai wajah yang datanya akan terhubung dengan data kependudukan. Data ini dapat diakses oleh kepolisian, tepatnya oleh divisi antiterorisme, Detasemen Khusus (Densus) 88. Pemerintah daerah tersebut terlihat tak menyadari, atau mungkin memang gagal paham, bahwa data yang besar juga perlu perlindungan dan sistem keamanan yang juga tak kalah besarnya.
Riset tahun 2019 dari Amerika Serikat (AS) menunjukkan bahwa pada organisasi yang menekankan pentingnya keamanan siber, anggotanya lebih peka terhadap potensi serangan siber dan lebih patuh terhadap sistem keamanan yang dibangun.
Abainya pemerintah terkait masalah keamanan siber ini sebenarnya telah lama terlihat dari maraknya praktik korupsi dalam pengadaan sistem informasi, mulai dari kasus korupsi sistem informasi kependudukan (KTP elektronik/e-KTP), hingga korupsi di sistem informasi desa dan informasi kesehatan.
Dengan kata lain, semangat transformasi digital dari pemerintah tidak disertai dengan semangat membangun sistem yang aman.
Selain peretasan Bjorka, mungkin tidak banyak yang tahu, pada akhir Agustus, akun Twitter resmi TNI Angkatan Darat (@TNI_AD) juga mengalami peretasan. Bahkan, unggahannya dipenuhi gambar-gambar penguin dari ‘Puudgy Penguins’, suatu koleksi produk token digital (NFT).
TNI AD membutuhkan waktu cukup lama – sekitar tiga minggu – untuk memulihkan akunnya. Alasannya sederhana, yaitu karena akun tersebut menggunakan email pribadi.
Penggunaan email pribadi untuk mendaftarkan akun media sosial lembaga telah menjadi praktik umum di kalangan institusi publik Indonesia. Konsekuensinya, saat pemilik akun dimutasi ke bagian lain, pengelola media sosial tak lagi punya akses ke email tersebut. Saat lembaga perlu memulihkan akun karena berbagai alasan, platform media sosial tidak bisa cepat memprosesnya karena ada tahap pembuktian kepemilikan mengingat akun tersebut tidak terdaftar dengan email lembaga.
Hal ini saja sudah menunjukkan betapa abai dan kurangnya pemahaman lembaga publik terhadap keamanan di dunia siber.
Kontribusi terbesar Bjorka pada negara adalah ‘mengekspos’ lemahnya sistem pertahanan dan keamanan siber kita, serta menunjukkan rentannya sistem informasi kita terhadap pembobolan. Bjorka membuat kita (utamanya pemerintah) terdesak untuk belajar membenahinya, baik dengan membuat kebijakan, aturan, maupun pedoman. Secara tidak langsung, tergesa-gesanya pemerintah dalam mengesahkan UU PDP merupakan kontribusi sang peretas.
Baca juga: Magdalene Primer: Kebocoran Data Pribadi dan Hak Warga yang Harus Dilindungi
Bukan Hanya di Indonesia
Perlindungan dan keamanan data pribadi sebenarnya bukan masalah Indonesia saja. Di seluruh dunia, data telah menjadi semacam mata uang yang dapat berpindah tangan tanpa batas. Namun, beberapa negara telah menerapkan kebijakan inovatif.
Di Eropa, misalnya, sejak 2018 sudah menerapkan EU General Data Protection Regulation (GDPR) yang sangat komprehensif.
Platform yang mengelola data individu wajib mempertimbangkan keamanan data sejak awal perancangan sistem (by design), serta memastikan standar perlindungan data yang tinggi bahkan tanpa diminta pengguna (by default). Ini beriringan dengan semakin populernya konsep “data trust”, yakni instansi resmi dan independen yang menjaga privasi data individu sekaligus mengelola akses untuk penelitian penting secara teratur – misalnya untuk pengembangan program kecerdasan buatan dan kota pintar.
Bukan kebetulan jika Eropa terbilang paling maju dan lengkap dalam hal kebijakan data. Ini karena mereka sendiri rawan mendapatkan serangan dari dua sisi – dari perusahan big tech AS dan juga negara besar seperti Rusia yang punya kemampuan siber yang cukup canggih.
Indonesia saat ini sebenarnya berada dalam posisi geopolitik yang mirip dengan Eropa, apalagi dengan meningkatnya kemampuan siber Cina dan negara lain. Pada tahun 2018, misalnya, Singapura mengalami peretasan paling serius sepanjang sejarahnya dengan bocornya data kesehatan 1.5 juta orang, termasuk Perdana Menteri Lee Hsien Loong.
Jika Indonesia mau menjaga kedaulatan datanya di dunia yang semakin rawan dengan kompetisi pertahanan strategis, selain membuat kebijakan dan hukum siber yang lebih ketat dan memenuhi standar internasional, pemerintah juga perlu membangun sistem. Di atas semua itu, yang paling penting adalah kemauan (political will) untuk melakukan pembenahan secara serius dan terus-menerus – bukan hanya saat terdesak atau sudah terancam.
Artikel ini pertama kali diterbitkan oleh The Conversation, sumber berita dan analisis yang independen dari akademisi dan komunitas peneliti yang disalurkan langsung pada masyarakat.
Opini yang dinyatakan di artikel tidak mewakili pandangan Magdalene.co dan adalah sepenuhnya tanggung jawab penulis.