Akhir-akhir ini sering terdengar praktik bisnis jual beli data Nasabah yang dapat meraih keuntungan hingga miliaran rupiah. Data nasabah ini biasanya dimanfaatkan oleh telemarketer atau penjahat demi mencapai targetnya. Bagi telemarekter misalnya pada perusahaan asuransi atau bank, ia akan menggunakan data nasabah untuk mempromosikan produknya. Sedangkan bagi penjahat, ia akan menyalahgunakan data nasabah untuk penipuan atau pembobolan.
Jual beli data Nasabah ini tidak hanya dilakukan secara offline, melainkan juga dijual di pasar daring. Data yang biasanya diperjualbelikan antara lain nama, nomor ponsel, alamat, tanggal lahir, nomor kartu kredit hingga kemampuan finansial nasabah. Ironisnya lagi, Penulis menemukan daftar harga untuk jumlah nasabah yang diperjualbelikan dengan harga yang cukup miring. Data nasabah ini dalam digital economy memang sangat bernilai sehingga data tersebut harus dilindungi oleh negara.
Hingga saat ini, praktik jual beli data nasabah belum bisa disebut sebagai kejahatan karena tidak adanya aturan yang mengaturnya sebagaimana Asas Legalitas yang dianut dalam Kitab Undang-Undang Hukum Pidana ("KUHP") kita.Â
Adapun aturan yang mungkin dapat digunakan adalah Pasal 378 KUHP tentang Penipuan. Namun, jual beli data ini tidak hanya bertujuan untuk menipu, melainkan juga untuk mengajak atau mempromosikan seseorang untuk mendaftar pada suatu produk yang ditawarkan oleh Pembeli data.Â
Selain itu, penipuan adalah delik materiil dimana tindak pidana dianggap terjadi apabila akibat yang dilarang telah terjadi. Apabila mendasarkan pada kejahatan penipuan, maka hanya pembeli data yang dapat dipidana. Sedangkan yang menjadi perhatian publik di sini adalah untuk mencegah terjadinya praktik jual beli data, sehingga tidak hanya pembeli data yang dapat dihukum tetapi juga penjual data.
Jual beli data nasabah ini harus disusun sebagai delik formil, dimana tindak pidana dianggap terjadi apabila telah memenuhi unsur-unsur yang dilarang dalam suatu peraturan.Â
Pada pencurian misalnya, asal semua unsur dalam Pasal 362 KUHP terpenuhi, tindak pidana sudah terjadi dan tidak dipersoalkan lagi, apakah orang yang merasakan kecurian itu merasa rugi atau tidak, merasa terancam kehidupannya atau tidak.
Produk hukum yang ada saat ini yaitu Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi dalam Sistem Elektronik ("Permen 20/2016") dan Surat Edaran  Otoritas Jasa Keuangan Nomor 14/SEOJK.07/2014 Tentang Kerahasiaan dan Keamanan Data dan/atau Informasi Pribadi Konsumen ("SEOJK 14/2014"). Kedua produk hukum tersebut masing-masing belum cukup untuk memberantas praktik jual beli data. Yang pertama, Peraturan Menteri tidak dapat mencantumkan ketentuan pidana dan yang kedua, Surat Edaran tersebut keberlakuannya tidak mengikat namun hanya sebagai pedoman atau anjuran.
Mengenai Permen 20/2016, Penulis merasa peraturan tersebut sangat dipaksakan karena materi muatannya tidak sesuai dengan standar perumusuan peraturan perundang-undangan yang baik.Â
Pertama, sanksi adminstratif dalam Pasal 36 ayat (1) menyebutkan "... tanpa hak atau tidak sesuai dengan ketentuan dalam Peraturan Menteri ini atau peraturan perundang-undangan lainnya ...". Frasa yang dicetak tebal menimbulkan ketidakpastian hukum karena tidak menyebutkan secara jelas peraturan apa yang dimaksud. Perlu diketahui pula bahwa Indonesia mengenal hierarki peraturan perundang-undangan mulai dari Undang-Undang Dasar Negara Republik Indonesia 1945 hingga Peraturan Daerah.Â
Kedua, Pasal 36 ayat (2) menyebutkan bahwa tata cara pelaksanaan sanksi administratif diatur dengan Peraturan Menteri. Bagaimana mungkin suatu Peraturan yang tingkatannya sama dalam hierarki peraturan perundang-undangan dapat menunjuknya kembali untuk menyusun peraturan pelaksana atau hal yang lebih teknis. Dengan kata lain, Menteri Komunikasi dan Informatika dalam Permen 20/2016 menunjuk lembaganya sendiri untuk menetapkan Peraturan Menteri yang baru. Hal mana bertentangan dengan Undang-Undang Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-Undangan.