Berita tentang kemungkinan kebocoran (atau tepatnya pembocoran) 25 juta data pelanggan telekomunikasi di Indonesia merupakan sebuah isu yang perlu dicermati lebih dalam. Kejadian serupa telah menghantui komunitas pengguna dan pelanggan jasa telekomunikasi (termasuk e-commerce) di berbagai belahan di dunia.
Dengan berbagai inovasi teknologi informasi, data pribadi tidak lagi dilihat sebagai kelengkapan transaksi, namun telah menjadi komoditas bisnis. Tidak salah jika muncul anggapan bahwa tambang data (data mining) tidak lama lagi akan menjadi primadona bisnis menggantikan tambang emas yang makin terkikis ketersediaannya.
Inti permasalahan tentang kebocoran data konsumen terletak pada beberapa kesalahan berpikir yang perlu segera dikoreksi. Pertama, bahwa DATA (termasuk data pribadi) tidak seperti harta/aset yang memiliki sifat dan hak-hak terkait perlindungan properti (property rights). Kedua, bahwa hak melindungi kepentingan dan kehidupan PRIBADI bukan merupakan bagian dari hak asasi manusia.
Kesalahan berpikir pada poin pertama akan mengakibatkan terjadinya penyalahgunaan data dan pengambilalihan (konversi) hak atas kepemilikan dan penggunaannya secara sewenang-wenang. Data yang diberikan oleh konsumen sebagai bagian dari proses penyediaan barang dan jasa akan dianggap hak milik penyedia jasa sehingga dapat diapa-apakan tanpa izin atau pengetahuan pemilik asal data tersebut.
Sementara itu, masalah turunan dari kesalahan berpikir yang kedua adalah bahwa pengguna data (data user) yang biasanya dari kalangan industri akan dengan leluasa menggunakan data pribadi itu tanpa mempertimbangkan aspek harga diri ('dignity'), kehormatan ('respect') dan juga integritas ('integrity') konsumen sebagai manusia.
Lindungi Data Konsumen
Untuk mengantisipasi isu besar ini, masyarakat Internasional dan pemerintah berbagai negara, baik maju mapun berkembang, sudah mengeluarkan berbagai kerangka (framework) regulasi demi melindungi integritas, kehormatan dan kerahasiaan data pribadi konsumen dan individu secara umum.
Contoh yang paling mengemuka adalah peraturan Uni Eropa ("EU Directive") tahun 1995 ataupun "APEC Privacy Framework" tahun 2004 yang telah disepakati oleh para anggotanya termasuk Indonesia. Sementara itu, pemerintah Inggris (dan negara Uni Eropa lainnya), Hongkong, Australia, Macau, Taiwan, Malaysia sudah memiliki UU khusus untuk melindungi data pribadi individu.
Belajar dari insiden yang dilaporkan oleh detikINET tentang kemungkinan kebocoran data pelanggan telekomunikasi ini. Ada baiknya pemerintah Indonesia kembali berintrospeksi sejauh mana kerangka regulasi dan perundangan telah disiapkan untuk melindungi hak konsumen terkait pengumpulan, penyimpanan, pemrosesan dan diseminasi data pribadi.
Yang pasti, UU ITE (Informasi dan Transaksi Elektronik) No 11 tahun 2008 masih sangat tidak signifikan dalam mengatur penggunaan data pribadi.
Hanya ada satu pasal dengan ketentuan sangat umum yaitu di pasal 26 UU ITE yang menyatakan bahwa penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan. Dan setiap orang yang dilanggar haknya sebagaimana dimaksud di atas dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang-Undang ITE ini. Namun pasal ini juga memuat klausa 'pengecualian' yaitu bahwa ketentuan tersebut berlaku "kecuali jika ditentukan lain oleh Peraturan Perundang-undangan."
UU ITE Masih Kurang
Ada beberapa poin yang perlu dikomentari terkait ketentuan di atas: Pasal itu hanya merupakan ketentuan umum dan tidak menjelaskan berbagai isu yang telah diperdebatkan di dunia internasional, misalnya:
* Apa yang dimaksud dengan "Penggunaan" data? Apakah termasuk "Pengumpulan" (collection), "Pemrosesan", "Penyimpanan", "Diseminasi" dan sebagainya? Bagaimana jika berbagai aktivitas diatas itu dilakukan oleh pihak2 yang berbeda-beda, dengan outsourcing misalnya? Bagaimana tanggungjawab masing-masing pihak?
* Bagaimana mendapatkan "Persetujuan" yang dimaksud? apakah cukup persetujuan implisit ('implied consent')? atau perlu ada persetujuan eksplisit? Apakah perlu dibedakan jenis persetujuan ini jika data yang dimaksud adalah terkategori sebagai data sensitif sebagaimana yang dilakukan oleh banyak pemerintah internasional?
* Pasal tersebut hanya menyatakan "gugatan atas kerugian", apakah ini berarti hanya merupakan gugatan perdata? Tidakkah perlu ada gugatan "Pidana" untuk malpraktik yang bersifat serius?
* Pasal di atas hanya mengatur "penggunaan setiap informasi melalui media elektronik". Sementara banyak cara utk mengakses data tersebut termasuk melalui media lain atau dari arsip non-elektronik misalnya. Apakah ada pengaturannya secara komprehensif?
* Bagaimana dengan isu atau modus operandi pembocoran data lainnya, seperti phishing, spamming dan juga direct marketing? Tampaknya hal ini masih belum terjawab oleh UU ITE khususnya ataupun peraturan perundangan lain pada umumnya.
Tindakan Tegas
Berdasarkan observasi singkat di atas, saya berpendapat bahwa pemerintah perlu segera menyikapinya dengan mengambil tindakan tegas terhadap mereka yang menyalahgunakan data pribadi pelanggan dan konsumen secara umum dan juga menyiapkan kerangka regulasi yang lebih komprehensif termasuk dalam bidang Cyberlaw, perlindungan konsumen maupun UU pidana terkait.
Kerangka pengaturan tersebut perlu sejajar dengan standar pengaturan internasional. Ini perlu karena pasar perdagangan data tidak terbatas pada pasar lokal, tapi merupakan jaringan internasional dan diperdagangkan di pasar antarbangsa.
Berdasarkan perkembangan yang ada, tidak lama lagi isu perlindungan data pribadi akan berpotensi menjadi satu lagi "trade barrier" (penghalang perdagangan) dalam interaksi perdagangan internasional, seperti halnya isu lingkungan, kesehatan dan juga keseimbangan alam.
Dengan berbagai inovasi teknologi informasi, data pribadi tidak lagi dilihat sebagai kelengkapan transaksi, namun telah menjadi komoditas bisnis. Tidak salah jika muncul anggapan bahwa tambang data (data mining) tidak lama lagi akan menjadi primadona bisnis menggantikan tambang emas yang makin terkikis ketersediaannya.
Inti permasalahan tentang kebocoran data konsumen terletak pada beberapa kesalahan berpikir yang perlu segera dikoreksi. Pertama, bahwa DATA (termasuk data pribadi) tidak seperti harta/aset yang memiliki sifat dan hak-hak terkait perlindungan properti (property rights). Kedua, bahwa hak melindungi kepentingan dan kehidupan PRIBADI bukan merupakan bagian dari hak asasi manusia.
Kesalahan berpikir pada poin pertama akan mengakibatkan terjadinya penyalahgunaan data dan pengambilalihan (konversi) hak atas kepemilikan dan penggunaannya secara sewenang-wenang. Data yang diberikan oleh konsumen sebagai bagian dari proses penyediaan barang dan jasa akan dianggap hak milik penyedia jasa sehingga dapat diapa-apakan tanpa izin atau pengetahuan pemilik asal data tersebut.
Sementara itu, masalah turunan dari kesalahan berpikir yang kedua adalah bahwa pengguna data (data user) yang biasanya dari kalangan industri akan dengan leluasa menggunakan data pribadi itu tanpa mempertimbangkan aspek harga diri ('dignity'), kehormatan ('respect') dan juga integritas ('integrity') konsumen sebagai manusia.
Lindungi Data Konsumen
Untuk mengantisipasi isu besar ini, masyarakat Internasional dan pemerintah berbagai negara, baik maju mapun berkembang, sudah mengeluarkan berbagai kerangka (framework) regulasi demi melindungi integritas, kehormatan dan kerahasiaan data pribadi konsumen dan individu secara umum.
Contoh yang paling mengemuka adalah peraturan Uni Eropa ("EU Directive") tahun 1995 ataupun "APEC Privacy Framework" tahun 2004 yang telah disepakati oleh para anggotanya termasuk Indonesia. Sementara itu, pemerintah Inggris (dan negara Uni Eropa lainnya), Hongkong, Australia, Macau, Taiwan, Malaysia sudah memiliki UU khusus untuk melindungi data pribadi individu.
Belajar dari insiden yang dilaporkan oleh detikINET tentang kemungkinan kebocoran data pelanggan telekomunikasi ini. Ada baiknya pemerintah Indonesia kembali berintrospeksi sejauh mana kerangka regulasi dan perundangan telah disiapkan untuk melindungi hak konsumen terkait pengumpulan, penyimpanan, pemrosesan dan diseminasi data pribadi.
Yang pasti, UU ITE (Informasi dan Transaksi Elektronik) No 11 tahun 2008 masih sangat tidak signifikan dalam mengatur penggunaan data pribadi.
Hanya ada satu pasal dengan ketentuan sangat umum yaitu di pasal 26 UU ITE yang menyatakan bahwa penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan. Dan setiap orang yang dilanggar haknya sebagaimana dimaksud di atas dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang-Undang ITE ini. Namun pasal ini juga memuat klausa 'pengecualian' yaitu bahwa ketentuan tersebut berlaku "kecuali jika ditentukan lain oleh Peraturan Perundang-undangan."
UU ITE Masih Kurang
Ada beberapa poin yang perlu dikomentari terkait ketentuan di atas: Pasal itu hanya merupakan ketentuan umum dan tidak menjelaskan berbagai isu yang telah diperdebatkan di dunia internasional, misalnya:
* Apa yang dimaksud dengan "Penggunaan" data? Apakah termasuk "Pengumpulan" (collection), "Pemrosesan", "Penyimpanan", "Diseminasi" dan sebagainya? Bagaimana jika berbagai aktivitas diatas itu dilakukan oleh pihak2 yang berbeda-beda, dengan outsourcing misalnya? Bagaimana tanggungjawab masing-masing pihak?
* Bagaimana mendapatkan "Persetujuan" yang dimaksud? apakah cukup persetujuan implisit ('implied consent')? atau perlu ada persetujuan eksplisit? Apakah perlu dibedakan jenis persetujuan ini jika data yang dimaksud adalah terkategori sebagai data sensitif sebagaimana yang dilakukan oleh banyak pemerintah internasional?
* Pasal tersebut hanya menyatakan "gugatan atas kerugian", apakah ini berarti hanya merupakan gugatan perdata? Tidakkah perlu ada gugatan "Pidana" untuk malpraktik yang bersifat serius?
* Pasal di atas hanya mengatur "penggunaan setiap informasi melalui media elektronik". Sementara banyak cara utk mengakses data tersebut termasuk melalui media lain atau dari arsip non-elektronik misalnya. Apakah ada pengaturannya secara komprehensif?
* Bagaimana dengan isu atau modus operandi pembocoran data lainnya, seperti phishing, spamming dan juga direct marketing? Tampaknya hal ini masih belum terjawab oleh UU ITE khususnya ataupun peraturan perundangan lain pada umumnya.
Tindakan Tegas
Berdasarkan observasi singkat di atas, saya berpendapat bahwa pemerintah perlu segera menyikapinya dengan mengambil tindakan tegas terhadap mereka yang menyalahgunakan data pribadi pelanggan dan konsumen secara umum dan juga menyiapkan kerangka regulasi yang lebih komprehensif termasuk dalam bidang Cyberlaw, perlindungan konsumen maupun UU pidana terkait.
Kerangka pengaturan tersebut perlu sejajar dengan standar pengaturan internasional. Ini perlu karena pasar perdagangan data tidak terbatas pada pasar lokal, tapi merupakan jaringan internasional dan diperdagangkan di pasar antarbangsa.
Berdasarkan perkembangan yang ada, tidak lama lagi isu perlindungan data pribadi akan berpotensi menjadi satu lagi "trade barrier" (penghalang perdagangan) dalam interaksi perdagangan internasional, seperti halnya isu lingkungan, kesehatan dan juga keseimbangan alam.