Lagi-lagi permasalahan kebocoran data terjadi. Kali ini, kebocoran terjadi pada data registrasi SIM Card. Publik mempertanyakan tanggung jawab Kementerian Komunikasi dan Informasi (Kominfo) selaku pembuat kebijakan.
Pengguna SIM Card di Indonesia dikejutkan dengan munculnya berita mengenai kebocoran data registrasi SIM Card berupa nama operator, nomor ponsel, dan Nomor Induk Kependudukan (NIK). Hal ini diperparah dengan adanya jual beli data pribadi tersebut di Black Market atau pasar gelap.
Kebocoran data diketahui publik melalui cuitan berupa tangkapan layar atau screenshot yang menunjukkan adanya informasi penawaran penjualan data sejumlah 1,3 miliar pengguna SIM Card. Data ini dijual oleh akun bernama Bjorka. Ia menjual data sebesar 87 GB senilai US$ 50.000 atau setara dengan Rp 745 juta (asumsi US$ 1 = Rp 14.900).
Data dengan nilai yang fantastis ini didapatkan Bjorka atas hasil kebijakan Kominfo mengenai kewajiban registrasi SIM Card prabayar menggunakan NIK dan KK pada 31 Oktober 2017. Ia bahkan menuliskan kebijakan tersebut secara lengkap terkait kebijakan yang dimaksud bahwa jika melewati tenggat waktu yang ditentukan, maka nomor ponsel yang bersangkutan dapat ditangguhkan.
Pengamat keamanan siber dari Vaksin.com, Alfons Tanujaya mencoba untuk mengecek apakah data berupa nomor ponsel dan NIK valid. Ternyata, ia menyimpulkan bahwa data nomor ponsel yang disebutkan dapat dikatakan valid setelah dilakukan pengecekan pada beberapa nomor.
Publik tentunya merasa sangat kecewa atas terjadinya kebocoran data ini. Mengapa kebocoran data terus terjadi?
Mengapa Kebocoran Data Terus Terjadi?
Kasus kebocoran data bukan lah hal baru yang dihadapi oleh masyarakat Indonesia. Pada tahun 2020 terjadi kasus kebocoran data oleh Tokopedia. Kasus kebocoran data juga pernah dialami oleh Kementerian Kesehatan (Kemenkes), Perusahaan Listrik Negara (PLN), dan Komisi Pemilihan Umum (KPU).
Lantas, kenapa kebocoran kerap terjadi?
Disertasi Dr. Wim Tangkilisan dengan judul Jaminan Kepastian Hukum Atas Keamanan Penyimpanan Data KTP Elektronik Pada Cloud Storage dan Ancaman Penyalahgunaannya dalam Konstelasi Pemilu di Indonesia memberi salah satu jawabannya.
Di dalamnya, Wim menyatakan bahwa Kementerian Dalam Negeri (Kemendagri) merupakan institusi yang memiliki kewajiban untuk memberi hak akses data kepada sejumlah institusi pelayanan publik.
Hal tersebut dinyatakan pada Pasal 58 Ayat 4 Undang-Undang (UU) Nomor 24 Tahun 2013 tentang Administrasi Kependudukan, yang menjelaskan, pemerintah harus memberikan hak akses untuk institusi yang bergerak di Pelayanan Publik, Perencanaan Pembangunan, Alokasi Anggaran, Pembangunan Demokrasi, dan Penegakan Hukum.
Secara de jure, aturan ini menyatakan bahwa syarat untuk memperoleh hak akses data tersebut memerlukan rincian mengenai kegunaan data yang diminta, elemen data yang ingin diakses, serta metode apa yang ingin digunakan. Lalu, semua akses tersebut hanya dapat diberikan dengan tujuan verifikasi data.
Namun kenyataannya data yang diminta oleh institusi publik maupun perusahaan kerap kali disalahgunakan. Ada beberapa kasus di mana data bisa tersebar akibat ulah para oknum, baik dari Dukcapil, ataupun institusi yang meminta data.
Adapun kebocoran ini dapat terjadi karena penyimpanan data masih mengacu pada teknologi yang mudah diretas, contohnya teknologi 2.0 seperti flashdisk, hard disk, dan server daratan lainnya. Seharusnya institusi yang terkait, khususnya institusi publik dapat menyimpan datanya pada teknologi cloud data yang memiliki sistem enkripsi teknologi 4.0.
Potensi adanya kebocoran data merupakan hal yang tidak dapat dihindari dari era digitalisasi sehingga banyak data yang disimpan secara digital. Nilai data pribadi juga semakin tinggi sehingga memunculkan insentif finansial bagi pelaku kejahatan digital.
Menurut catatan Badan Siber dan Sandi Negara (BSSN), anomali traffic di Indonesia pada tahun 2020 mengalami peningkatan sebanyak lebih dari 800 juta menjadi 1,6 miliar pada 2021. Hal ini lah yang menjadikan data pribadi sebagai sasaran potensial untuk diperjual-belikan terlebih mengingat masih kurangnya keamanan siber pada sebagian besar lembaga.
Kebocoran data juga dapat menjadi kelalaian PSE dalam menyimpan data pribadi. Tata kelola yang baik diperlukan untuk melindungi data pribadi secara maksimal. Mereka perlu mengoptimalisasi platform digital dari sisi teknologi. Maka dari itu, dibutuhkan sumber daya manusia (SDM) yang berkualitas agar mampu untuk meminimalisir kasus kebocoran data.
Hal yang sama juga berlaku bagi pemerintah. Pemerintah memiliki fungsi sebagai pembinaan dan pengawasan.
Pemerintah pun masih ketinggalan dalam adaptasi pengelolaan data. Di samping itu, pemerintah juga tidak kunjung mengesahkan Undang-Undang Perlindungan Data Pribadi (UU PDP), padahal sudah masuk prolegnas dan sadar akan pentingnya aturan tersebut.
Proses RUU PDP diyakini mengalami hambatan karena persoalan perbedaan sikap mengenai apakah lembaga pengawas akan bersifat independen atau di bawah pemerintah. Selain itu, sejak tahun 2020 kebocoran sudah marak terjadi, khususnya kasus di institusi pemerintahan.
Nah, terkait kasus kebocoran SIM Card ini pertanyaannya adalah, apakah Kominfo dapat digugat?
Kominfo Tak Bisa Digugat?
Kriminalisasi muncul saat seseorang dihadapkan pada suatu perbuatan yang dapat merugikan orang lain maupun masyarakat. Kriminalisasi juga dapat dihubungkan dengan tindak pidana cybercrime.
Adanya kriminalisasi seharusnya dapat digugat kepada pengadilan. Hal ini pernah dilakukan oleh Perhimpunan Bantuan Hukum dan HAM Indonesia (PBHI). Mereka mengajukan gugatan PTUN kepada Kemenkes terkait kasus kebocoran data aplikasi PeduliLindungi.
Meskipun ada bukti-bukti yang jelas, namun sampai saat ini belum ada kabar yang jelas terkait kasus ini. Adapun jika mereka memenangkan kasus ini, maka fenomena ini dapat menjadi evaluasi dan pendorong bagi pemerintah agar bersikap lebih bertanggung jawab.
Pada tahun 2020 Menteri Kominfo dan Tokopedia bahkan pernah digugat secara perdata oleh Komunitas Indonesia (KKI). Sayangnya, gugatan ditolak oleh Pengadilan negeri Jakarta Pusat.
Hal ini dinilai sangat tidak efisien karena KKI harus menunggu gugatan terlebih dahulu baru Kominfo memberikan sanksi. Padahal jika ada aturan terkait pidana dalam UU, Kominfo bisa saja langsung memberikan sanksi pada Tokopedia. Sanksi ini tentunya bukan hanya sebuah himbauan, namun lebih kepada sanksi tegas yang dapat mendorong PSE untuk lebih bertanggung jawab.
Aturan yang berkaitan dengan kebocoran data dalam Pasal 26 UU ITE juga masih belum spesifik sehingga tidak komprehensif dalam mengatur kewajiban dan sanksi bagi PSE. Adapun, masyarakat pasti merasa kesulitan karena jika berhadapan dengan hukum, maka mereka perlu bukti yang kuat untuk membuktikan bahwa ada kebocoran data di suatu perusahaan.
Lalu, apakah ini artinya pemerintah bisa lepas tangan begitu saja?
Pemerintah Tetap Harus Melindungi?
Publik ramai-ramai meminta pihak Kominfo untuk bertanggung jawab dan lebih waspada. Pihak Kominfo justru menyangkal bahwa data-data tersebut berasal dari institusinya. Hal ini dinyatakan melalui hasil penelusuran internal Kominfo.
Mereka juga mengaku bahwa pihaknya tidak memiliki aplikasi untuk menampung data-data registrasi SIM Card baik prabayar maupun pascabayar. Penelusuran masih berlanjut terkait kebocoran data registrasi SIM Card ini serta hal-hal lainnya yang berkaitan dengan kasus ini.
Pengamat Keamanan Siber, Pratama Persadha juga mengatakan kemungkinan data berasal dari perusahaan operator seluler. Ia juga bahwa seharusnya yang memiliki data-data tersebut adalah Kominfo, namun disangkal oleh Kominfo.
Baik itu berasal dari Kominfo atau bukan, pemerintah seharusnya dapat memberikan pengawasan dan keamanan bagi PSE yang membocorkan data. Ini sejalan dengan pendapat Allan R. Coffey bahwa strategi pencegahan kejahatan dapat dilakukan melalui dua fokus utama yaitu usaha mencegah pelanggaran yang pertama dan mencegah penanggulangan pelanggaran dan kejahatan.
Pembahasan mengenai perlindungan data pribadi akan selalu berhubungan dengan konsep privasi. Salah satu rumusan privasi menurut Solove (2002) yaitu hak untuk mengendalikan informasi pribadi. Akan menjadi suatu dilema bagi pemerintah ketika harus menyimpan data pribadi publik, namun di saat yang bersamaan mereka perlu melindungi hak asasi manusia, termasuk hak untuk mengendalikan informasi publik.
Pernyataan tersebut diperkuat dari sumber hukum tertinggi kedua yaitu Undang-Undang Dasar (UUD) 1945. Pasal 28G Ayat 1 UUD 1945 menyatakan bahwa “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.” Aturan ini bahkan dijadikan sebagai dasar pembuatan UU PDP dan sudah tercantum dalam RUU.
Berdasarkan kasus kebocoran data pribadi akibat kebijakan registrasi SIM Card, hal ini tidak jauh-jauh pada permasalahan mengenai tidak adanya regulasi yang kuat mengenai perlindungan data diri sehingga sulit mengenakan pidana.
Perlindungan data pribadi merupakan bagian dari sektor keamanan siber. Dengan demikian, upaya perlindungan tidak lepas dari kewenangan instansi lainnya seperti Polri, BSSN, BIN dan Kementerian Pertahanan.
Pemerintah dalam hal ini Kominfo sudah seharusnya bertanggung jawab dan mengusut tuntas kasus ini. Hal ini sesuai dengan amanat Pasal 28G Ayat 1 UUD 1945. (Z81)
