Perlindungan data pribadi merupakan bagian yang tidak terpisahkan dari perlindungan konsumen. Hal ini dikarenakan peran data sebagai bagian dari transaksi antara konsumen dan pelaku usaha atau penyedia jasa. Namun, kerangka kebijakan dan hak-hak konsumen terkait isu ini masih kurang. Padahal, data Census and Economic Information Center (CEIC) menunjukkan bahwa konsumsi pribadi telah berkontribusi sebesar 58,6% dari total Produk Domestik Bruto (PDB) Indonesia pada Desember 2019. Tanpa mengedepankan upaya yang konsisten terhadap perlindungan data pribadi, kepercayaan konsumen untuk bertransaksi dikhawatirkan menurun sehingga memengaruhi pertumbuhan konsumsi. Hari Konsumen Nasional (Harkonas) pada masa pandemi Coronavirus Disease (Covid-19) mengingatkan kita akan celah perlindungan data pribadi yang dialami konsumen Indonesia.
Peningkatan Penggunaan Perangkat Digital
Covid-19 telah mengubah cara masyarakat dalam beraktivitas, terutama dalam menggunakan perangkat digital. Data dari Analytics Data Advertising (ADA) menunjukkan adanya penurunan kunjungan ke pusat perbelanjaan (mall) sebesar 50% yang diikuti oleh meningkatnya penggunaan aplikasi belanja online sebesar 300% sejak kebijakan social distancing diumumkan pada 15 Maret yang lalu. Selain itu, ADA juga mencatat adanya peningkatan penggunaan aplikasi produktivitas hingga lebih dari 400% pada pertengahan bulan Maret lalu. Hal ini dikarenakan diberlakukannya kebijakan bekerja dari rumah (working-from-home) yang mengharuskan pekerja melakukan kolaborasi, komunikasi dan pertemuan secara digital.
Perubahan perilaku konsumen juga terjadi pada konsumsi produk finansial. Volume transaksi pada dompet digital DANA mengalami peningkatan sebesar 15% sejak pemberlakuan kebijakan social distancing seperti dilansir oleh Kontan.co.id. Selain itu, data OJK juga menunjukkan adanya kenaikan akumulasi penyaluran pinjaman online sebesar 17,05% pada Februari 2020 dibandingkan Desember 2019. Namun, hal ini juga diikuti oleh maraknya financial technology (fintech) ilegal yang tidak terdaftar OJK. Sejak Januari 2020 sampai Maret 2020, Satgas Wapada Investasi (SWI) menemukan 508 entitas pinjaman online ilegal.
Risiko Penyalahgunaan Data Pribadi Konsumen
Kenaikan aktivitas masyarakat di ranah online juga diikuti risiko penyalahgunaan data konsumen. Menurut data aduan Yayasan Lembaga Konsumen Indonesia (YLKI) pada 2019, terdapat 96 aduan terkait oknum pinjaman online. Sebanyak 54 diantaranya terjadi pada pinjaman online ilegal. Aduan-aduan tersebut selain meliputi aduan terkait bunga tinggi yang tidak sesuai aturan, tetapi juga terkait akses data konsumen yang digunakan untuk melakukan teror pada kerabat selama proses penagihan utang.
Banyak dari perangkat digital merekam data konsumen seperti nama lengkap, alamat, bahkan hingga informasi KTP. Di satu sisi, data ini dapat membantu perangkat digital mengoptimalkan pelayanannya untuk konsumen. Namun di sisi lain, data ini juga bisa dieksploitasi oleh oknum tidak bertanggung jawab. Berdasarkan laporan Global Data Protection Index 2020 oleh Dell Technologies, sebanyak 82% organisasi Teknologi Informasi (TI) mengalami kejadian disruptif pada 2019, seperti downtime, kehilangan data, serangan siber dan lain-lain. Angka ini naik dari 76% pada 2018. Di Indonesia sendiri, Budi Rahardjo, dosen dari Sekolah Teknik Elektro dan Informatika ITB melaporkan di artikelnya yang berjudul “The State of Cybersecurity in Indonesia” bahwa beberapa aplikasi rintisan (start-up) di Indonesia mempunyai perlindungan privasi yang lemah. Lemahnya keamanan privasi dan perlindungan data konsumen di Indonesia mempermudah pencurian data/identitas, penipuan dan peretasan oleh oknum tidak bertanggung jawab. Ekploitasi konsumen Indonesia ini marak terjadi melalui SMS, telepon, media sosial, virus komputer seperti virus malware pada web browser.
Pada masa pandemi ini, angka kriminalitas siber naik signifikan. Berdasarkan data Direktorat Tindak Pidana Siber Bareskrim Polri, sejak Januari sampai 17 April terdapat 4.008 (1.322 melalui Polda dan 2.686 melalui portal Patrolisiber) laporan terkait kriminal siber dengan estimasi total kerugian Rp10,74 miliar. Laporan-laporan tersebut diantaranya 2,157 laporan penipuan online dan sisanya merupakan laporan pengancaman, pemerasan, pencurian data/identitas, peretasan sistem elektronik, intersepsi ilegal, gangguan sistem, manipulasi data, dan terkait konten/akses ilegal. Dibandingkan Januari sampai April tahun lalu, angka ini naik hampir dua kali lipat dari total 2.029 laporan (1.862 melalui Polda dan 167 melalui portal Patrolisiber) dengan estimasi total kerugian mencapai Rp134,03 juta.
Bukan hanya kemungkinan penyelewengan data konsumen, data konsumen juga bisa diambil secara eksesif, tidak berasaskan pada tujuan penggunaan jasa dan tidak dijaga dengan baik. Berdasarkan survey Data Security Confidence Index 2018 oleh Gemalto, sebanyak 65% organisasi TI dari 11 negara tidak bisa menganalisa atau mengkategorisasikan data konsumen yang disimpan dan hanya 54% perusahaan mengetahui dimana data sensitif konsumen disimpan.
Namun, permasalahan data pribadi bukan hanya terjadi secara elektronik, namun juga terjadi secara non-elektronik. Contohnya, penyebaran data pasien Covid-19 yang terjadi di Depok. Hal ini bukan hanya berpotensi pada privasi pasien, namun juga keselamatan pasien dan orang-orang sekitarnya. Bagaimanapun, Covid-19 telah mengingatkan pentingnya perlindungan data konsumen yang harus dipayungi secara hukum yang jelas.
Lemahnya Kerangka Kebijakan Perlindungan Data Pribadi
Indonesia belum mempunyai hukum spesifik terkait data pribadi. RUU Perlindungan Data Pribadi (RUU PDP) belum menemukan kejelasan atas jadwal pembahasan lanjutannya. Menurut Wakil Ketua Baleg DPR RI Willy Aditya, kelanjutan RUU PDP bergantung kesiapan Kementerian Komunikasi dan Informatika (Kemenkominfo) seperti dilansir dari CNNIndonesia.com (7/4). Saat ini, isu perlindungan data pribadi diatur oleh 32 Undang-Undang dan beberapa regulasi turunannya. Akibatnya, pelaksanaan dan pengawasan terkait isu ini tersebar di berbagai kementerian/lembaga. Sebagai contoh, penyalahgunaan data pribadi di e-commerce setidaknya diatur oleh UU Telekomunikasi, UU Informasi dan Transaksi Elektronik (ITE), UU Perlindungan Konsumen dan UU Perdagangan. Sehingga secara tidak langsung, urusan perlindungan data pribadi merupakan kewenangan Kementerian Perdagangan dan Kementerian Komunikasi dan Informatika. Tanpa koordinasi yang kuat dari kementerian tersebut, implementasi dan pengawasan perlindungan konsumen akan sulit dipastikan.
Lemahnya kerangka kebijakan dan implementasi perlindungan data pribadi membuat konsumen Indonesia sangat bergantung pada tindakan bisnis bertanggung jawab (responsible business conduct) yang dilakukan secara mandiri (self-regulatory). Contohnya adalah penandatanganan kode etik bersama oleh tiga asosiasi fintech (Aftech, AFPI, dan AFSI) pada September 2019 terkait perlindungan konsumen, perlindungan privasi dan data pribadi, mitigasi risiko siber, dan mekanisme minimal penangananan aduan konsumen, dsb.
Peran Pemerintah, Swasta dan Konsumen
Meningkatnya kasus penyalahgunaan data pribadi konsumen membutuhkan setidaknya tiga solusi yang melibatkan peran pemerintah, swasta dan konsumen. Pertama, pemerintah harus melanjutkan proses legislasi RUU PDP di DPR. RUU PDP sangat penting karena dapat mengkonsolidasi 32 Undang-Undang yang sudah ada. RUU PDP juga mengatur perlindungan data dan informasi pribadi baik secara elektronik dan non-elektronik, maupun bersifat umum dan spesifik. RUU PDP mendefinisikan data pribadi yang bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama atau data pribadi yang memungkinkan seseorang diidentifikasi. Sedangkan data pribadi spesifik meliputi data sensitif seperti informasi kesehatan, biometrik, genetika, orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan, dan data lainnya yang mengidentifikasi seseorang secara spesifik.
Adanya pengklasifikasian kedua jenis data dalam UU PDP penting untuk memberikan perlindungan data pribadi yang komprehensif dan jelas. Pemetaan aturan berdasarkan jenis data dapat membantu penyedia jasa untuk menilai atau melakukan pendekatan risiko (risk-based approach) yang harus dipertimbangkan dalam mengumpulkan, menyimpan, atau memproses data tersebut. Contohnya, data spesifik yang bersifat lebih sensitif dapat menarik peringkat risiko serangan siber lebih tinggi daripada data umum, sehingga penyedia jasa harus memperhitungkan cara menanganinya sesuai aturan, secara aman, efisien dan efektif.
Kedua, penyedia layanan harus dilibatkan dalam proses konsultasi pembuatan kebijakan terkait perlindungan data pribadi, sehingga interpretasi dan implementasi dari sebuah kebijakan dapat berjalan efektif. Kolaborasi tersebut dapat menghubungkan, mensosialisasikan, mempromosikan dan mendorong inisiatif penyedia layanan agar lebih patuh. Kolaborasi juga mendorong penyedia layanan untuk meningkatkan mekanisme self-regulatory, seperti yang terjadi diantara OJK dan asosiasi fintech.
Ketiga, konsumen harus diberikan akses terhadap informasi untuk meningkatkan literasi mereka atas hak dan kewajiban konsumen, terutama cara memperjuangkan hak-haknya. Indeks Keberdayaan Konsumen (IKK) pada 2019 adalah 40,41, dan jauh lebih rendah dibandingkan Malaysia (56,9) dan Korea Selatan (64). Hal ini disebabkan rendahnya pengetahuan konsumen atas regulasi dan kewajibannya, serta ketidaktahuan institusi-insitusi perlindungan konsumen. Data pribadi melekat pada hak individu, sehingga individu tersebut yang menentukan seberapa penting privasi dan keamanan data baginya. Tanpa dibarengi oleh informasi yang jelas, konsumen tidak akan bisa mempertimbangkan penyalahgunaan data sebagai ancaman, sehingga tidak awas dalam melindungi data pribadi mereka. Akses konsumen terhadap informasi mengenai perlindungan data pribadi beserta kemungkinan penyalahgunaannya harus disosialisasikan secara jelas, sederhana dan mudah dipahami.
Hari Konsumen Nasional mengingatkan peran konsumen, pemerintah dan penyedia layanan untuk terus berupaya menciptakan ekosistem perlindungan konsumen yang kuat, andal, dan terpercaya. Terwujudnya hal ini penting karena perlindungan konsumen tidak akan optimal dengan lemahnya perlindungan data pribadi.
Lihat Ringkasan Rekomendasi CIPS untuk Perlindungan Konsumen Digital di sini.
Kommentare