Privasi vs Keamanan, Mempertanyakan Perlindungan Data Pribadi dalam Program Registrasi Wajib Kartu SIM di Indonesia

Pendahuluan

Kementerian Komunikasi dan Informatika mengeluarkan kebijakan pendaftaran wajib kartu SIM untuk seluruh warga negara Indonesia pada akhir 2016 (yang mana diatur dalam Peraturan Menteri Komunikasi dan Informatika No. 12 tahun 2016 junctoPeraturan Menteri Komunikasi dan Informatika 14 No. 14 tahun 2017 tentang Registrasi Pelanggan Jasa Telekomunikasi). 

Pada awalnya, kebijakan ini menimbulkan kontroversi di masyarakat terkait dengan tujuannya. Sampai-sampai terdapat sejumlah hoax yang beredar di masyarakat yang bertujuan untuk menggiring masyarakat agar tidak mendaftarkan nomornya.[i] Meskipun banyak kontroversi yang muncul pada awal diumumkannya, kebijakan ini akhirnya diimplementasikan sejak 31 Oktober 2017. 

Pendaftaran wajib kartu SIM ini bukanlah kebijakan yang baru di berbagai negara. Sebelum Indonesia, beberapa negara seperti Thailand, Afrika, Spanyol, Italia, Perancis, dan Yunani telah mengimplementasikan kebijakan serupa.[ii]

Menurut Kementerian Komunikasi dan Informatika, kebijakan ini ditujukan untuk memberikan perlindungan dan kenyamanan kepada pelanggan, meminimalisasi kejahatan (seperti suap atau penipuan), dan untuk memudahkan pencarian ponsel yang hilang.[iii] 

Lebih lanjut, terdapat juga kepentingan pemerintah untuk mengimplementasikan kebijakan National Single Identity, yang mana akan menghubungkan sistem operator seluler dengan database dari Direktorat Jenderal Kependudukan dan Pencatatan Sipil.[iv] Untuk mendaftarkan kartu SIM, masyarakat harus memasukkan NIK dan Nomor Kartu Keluarga (Nomor KK) mereka. 

Dengan demikian, nomor ponsel mereka akan terhubung dengan nomor identitas mereka. Masyarakat harus mendaftarkan kartu SIM mereka paling lambat tanggal 28 Februari 2018 atau nomor ponsel mereka secara berkala akan diblokir hingga nantinya dapat menyebabkan nomor tersebut tidak dapat lagi digunakan.[v]

Beberapa Isu Kontroversial

Saat proses pendaftaran, terdapat beberapa masalah yang terjadi. Beberapa masalah yang banyak terjadi adalah eror saat proses pendaftaran, kegagalan pendaftaran, bahkan ketidakcocokan NIK dengan Nomor KK.[vi] 

Isu-isu tersebut mendorong masyarakat untuk mencari NIK dan Nomor KK di internet yang dapat mereka gunakan agar proses pendaftaran dapat diselesaikan. Terdapat beberapa situs yang menyediakan NIK dan Nomor KK yang cocok yang dapat digunakan masyarakat untuk pendaftaran kartu SIM, meskipun saat ini situs-situs tersebut sudah tidak dapat diakses lagi.[vii] 

Lebih lanjut, seorang wanita bernama Aninda Indrastiwi melaporkan bahwa NIK dan Nomor KK-nya telah digunakan untuk mendaftarkan lebih dari 50 nomor tidak dikenal.[viii] Insiden tersebut kemudian memunculkan rumor mengenai dugaan kebocoran data NIK dan Nomor KK pada saat proses pendaftaran kartu SIM. 

Rumor tersebut kemudian dikonfrontasi oleh Kementerian Komunikasi dan Informatika, bahwa tidak ada kebocoran data, namun lebih kepada penyalahgunaan NIK dan Nomor KK oleh oknum tidak bertanggung jawab.[ix] Laporan mengenai penyalahgunaan NIK dan Nomor KK tersebut saat ini sedang diinvestigasi oleh pihak Kementerian dan Kepolisian.

Meskipun rumor mengenai kebocoran data telah ditampik oleh Kementerian Komunikasi dan Informatika, fakta bahwa terdapat beberapa situs yang dapat memberikan NIK dan Nomor KK yang cocok, serta kasus yang menimpa Aninda Indrastiwi tersebut menunjukkan adanya potensi penyalahgunaan data pribadi oleh oknum tidak bertanggung jawab. 

Apabila hal ini tidak dapat ditangani dengan baik, masalah ini dapat menjadi bencana besar bagi privasi dan perlindungan data pribadi, terutama di era big data di mana banyak institusi pemerintah dan perusahaan swasta dapat dengan mudah mengumpulkan dan memanfaatkan data dalam jumlah yang besar, termasuk data pribadi. 

Contoh utama dari hal ini dapat ditemui dalam proses pembuatan E-KTP, di mana pemerintah mengumpulkan data biometrik dari seluruh masyarakat Indonesia seperti data sidik jari, serta data pengenal wajah dan retina. Apabila data-data biometrik tersebut bocor atau diretas, maka oknum tidak bertanggung jawab akan dapat menggunakan data biometrik kita, sebagai contoh untuk mengakses informasi yang hanya dapat dibuka dengan otentikasi biometrik, yang bisa digunakan untuk tindak kejahatan tanpa sepengathuan. 

Contoh lain, toko daring yang mengumpulkan data pribadi pelanggannya, salah satunya data lokasi,[x] harus membuka data tersebut dan menyerahkannya kepada perusahaan ekspedisi. Hal ini harus dilakukan agar barang yang dipesan dapat dikirimkan ke alamat pelanggan oleh perusahaan ekspedisi. Dikarenakan data-data tersebut berpotensi untuk disalahgunakan, maka perlindungan data baik secara formal (melalui peraturan perundang-undangan) atau secara teknis (melalui teknologi pengamanan informasi), sekali lagi menjadi hal yang penting yang harus segera diselesaikan.

Minimnya Peraturan terkait dengan Perlindungan Data dan Konsekuensinya

Sebagaimana diketahui, hingga saat ini Indonesia tidak memiliki undang-undang yang spesifik mengatur tentang perlindungan data pribadi. Dasar hukum dari perlindungan data hanya dapat ditemukan dalam Undang-Undang No. 11 Tahun 2008 juncto Undang-Undang No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE), serta peraturan-peraturan pelaksananya.[xi] 

Namun demikian, hanya ada beberapa pasal yang mengatur tentang perlindungan data pribadi dan mekanisme perlindungannya. Bahkan, di UU ITE hanya terdapat 1 pasal yang mengatur tentang data pribadi, yakni tentang pemberitahuan penggunaan data pribadi.[xii] Terkait dengan definisi data pribadi, dapat ditemukan di Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), namun definisi tersebut sangat luas dan umum.[xiii]

Selain itu, dalam berbagai peraturan perundang-undangan tersebut, tidak ada ketentuan yang spesifik menjelaskan mengenai klasifikasi data pribadi dan bagaimana mekanisme perlindungannya. Minimnya ketentuan tersebut dapat menimbulkan interpretasi yang luas dan sangat memungkinkan untuk disalahgunakan. 

Lebih lanjut, berdasarkan pemaparan dari ELSAM, setidaknya saat ini terdapat 30 undang-undang yang berkaitan dengan data pribadi, namun demikian undang-undang tersebut masih tumpang tindih.[xiv] Adanya tumpang tindih tersebut termasuk mengenai tujuan penggunaan dan pembukaan data, notifikasi penggunaan data, izin pembukaan data, serta sanksi dan ketentuan pidana.[xv]

Komparasi: Perlindungan Data di UK

Sebagai perbandingan, UK merupakan salah satu negara yang sudah lama memiliki undang-undang khusus mengenai perlindungan data, yakni Data Protection Act 1998(DPA). Selain itu, EU General Data Protection Regulation (GDPR) juga akan diberlakukan di UK mulai tanggal 25 Mei 2018.[xvi] DPA mengatur secara detail mengenai perlindungan data, khususnya berkaitan dengan klasifikasi data pribadi (data pribadi umum dan sensitif), hak subjek data[xvii], kewajiban pengontrol data[xviii] dan pemroses data[xix], pengiriman data pribadi, pengecualian, pelaksanaan perlindungan data, serta ganti rugi dan sanksi.[xx]

Di sisi lain, sebagaimana dijelaskan di atas, di Indonesia hingga saat ini belum terdapat pengaturan yang spesifik mengenai perlindungan data, khususnya mengenai klasifikasi data yang jelas dan mekanisme perlindungannya. 

Adanya pengaturan yang spesifik dan jelas terkait dengan berbagai ketentuan sebagaimana disebutkan sebelumnya merupakan hal yang penting sebagai perlindungan data pribadi secara formal. 

Sehingga, akan tercipta batasan yang jelas mengenai apa yang dapat dan tidak dapat dilakukan oleh pihak-pihak terkait terhadap data pribadi yang mereka pegang (bergantung pada jenis datanya), serta apa sanksi dan bagaimana mekanisme penegakan hukumnya apabila terjadi pelanggaran atau kejahatan yang berkaitan dengan data pribadi.

Kesimpulan

Pada akhirnya, meskipun secara umum pengumpulan data oleh institusi pemerintah dan perusahaan swasta ditujukan untuk meningkatkan pelayanan kepada masyarakat atau pelanggan, terdapat kemungkinan yang tinggi terhadap munculnya ancaman serangan atau penyalahgunaan terhadap data pribadi. 

Dengan demikian, di era di mana pengumpulan data dalam jumlah yang besar semakin sering dilakukan, pengaturan mengenai perlindungan data pribadi harusnya menjadi prioritas utama DPR dan pemerintah untuk melindungi hak privasi warga negaranya serta dari ancaman terhadap keamanan data pribadi, serta untuk memperjelas batasan bagi berbagai pihak terkait dengan penggunaan data pribadi masyarakat yang ada di mereka. Hal ini menjadi penting mengingat tren pengumpulan data dalam jumlah yang besar akan terus meningkat.

Dengan demikian, kepastian hukum terhadap adanya jaminan perlindungan data pribadi menjadi penting, terutama di era digital di mana banyak sekali data yang disimpan secara digital.

Tulisan ini telah dimuat sebelumnya di situs Center for Digital Society pada 12 Maret 2018. Lihat pada tautan berikut: http://cfds.fisipol.ugm.ac.id/article/244/privasi-vs-keamanan-mempertanyakan-perlindungan-data-pribadi-dalam-program-registrasi-wajib-kartu-sim-di-indonesia

Sumber:

[i]      Hakim, R. N. (2017). Hoax Registrasi Data Seluler Bisa Disebar oleh Penjahat Siber [daring] Kompas. Tersedia di: https://nasional.kompas.com/read/2017/11/04/11221401/hoax-registrasi-data-seluler-bisa-disebar-oleh-penjahat-siber [Diakses 6 Mar. 2018].

[ii]     Bloemendaal, J. Mobile Identity Verification, Key to Mitigate the Effects of EU's Mandatory SIM Card Registration [daring] Mitek. Tersedia di: https://www.miteksystems.com/blog/mobile-identity-verification-key-mitigate-effects-eu-s-mandatory-sim-card-registration [Diakses 6 Mar. 2018]. Lihat juga Donovan, K. P., and Martin A. K. (2014). The Rise of African SIM Card Registration: The Emerging Dynamics of Regulatory Change, First Monday, 19(2). Tersedia di: http://firstmonday.org/ojs/index.php/fm/article/view/4351/3820 [Diakses 6 Mar. 2018].

[iii]    Biro Humas Kementerian Kominfo. (2018). Hindari Pemblokiran, Pemerintah Imbau Masyarakat Segera Registrasi Sebelum 28 Februari 2018 [daring] Ministry of Communication and Informatics. Tersedia di: https://www.kominfo.go.id/content/detail/12647/siaran-pers-no-54hmkominfo022018-tentang-hindari-pemblokiran-pemerintah-imbau-masyarakat-segera-registrasi-sebelum-28-februari-2018/0/siaran_pers [Diakses 6 Mar. 2018].

[iv]    Yusuf, O. (2017) 7 Hal yang Wajib Diketahui Soal Registrasi Kartu SIM Prabayar [daring] Kompas. Tersedia di: https://tekno.kompas.com/read/2017/11/01/20190067/7-hal-yang-wajib-diketahui-soal-registrasi-kartu-sim-prabayar [Diakses 6 Mar. 2018].

[v]     Biro Humas Kementerian Kominfo. (2018). Penghentian Layanan Bertahap Kartu Prabayar Telekomunikasi [daring] Ministry of Communication and Informatics. Tersedia di: https://www.kominfo.go.id/content/detail/12688/siaran-pers-no-62hmkominfo022018-tentang-penghentian-layanan-bertahap-kartu-prabayar-telekomunikasi/0/siaran_pers [Diakses 6 Mar. 2018].

[vi]    Lihat Santhika, E. (2018). Kominfo Sebut Situs Berikan NIK dan KK Gratis 'Pelanggaran' [daring] CNN Indonesia. Tersedia di: https://www.cnnindonesia.com/teknologi/20180301173056-213-279773/kominfo-sebut-situs-berikan-nik-dan-kk-gratis-pelanggaran [Diakses 6 Mar. 2018].

[vii]    Librianty, A. (2018). Beredar Situs Web Diduga Penyedia KK dan NIK Gratis [daring] Liputan6. Tersedia di: http://tekno.liputan6.com/read/3347093/beredar-situs-web-diduga-penyedia-kk-dan-nik-gratis [Diakses 6 Mar. 2018]

[viii]   For instance, Lihat Ayuwuragil, K. (2018). Kominfo Akui 'Pencurian' NIK dan KK Saat Registrasi Kartu SIM [daring] CNN Indonesia. Tersedia di: https://www.cnnindonesia.com/teknologi/20180305204703-213-280691/kominfo-akui-pencurian-nik-dan-kk-saat-registrasi-kartu-sim [Diakses 6 Mar. 2018].

[ix]    Biro Humas Kementerian Kominfo. (2018). Kemungkinan yang Terjadi Saat ini Penyalahgunaan NIK dan KK Yang Digunakan Registrasi Tanpa Hak dan Bukan Kebocoran Data [daring] Ministry of Communication and Informatics. Tersedia di: https://www.kominfo.go.id/content/detail/12713/siaran-pers-no-66hmkominfo032018-tentang-kemungkinan-yang-terjadi-saat-ini-penyalahgunaan-nik-dan-kk-yang-digunakan-registrasi-secara-tanpa-hak-dan-bukan-kebocoran-data/0/siaran_pers [Diakses 7 Mar. 2018].

[x]     Lihat Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (General Data Protection Regulation), Pasal 4(1). Location data is one of the personal data types defined by in the GDPR.

[xi]    For instance, Government Regulation No. 82 of 2012 regarding the Implementation of Electronic System and Transaction; and Ministry of Communication and Informatics Regulation No. 4 of 2016 concerning Information Security Management System.

[xii]    Lihat Law No. 11 of 2008 jo. Law No. 19 of 2016 concerning Information and Electronic Transaction, Pasal 26.

[xiii]   Lihat Government Regulation No. 82 of 2012 concerning Implementation of Electronic System and Transaction, Pasal 1(27).

[xiv]   Sanjaya, D. (2017). Kebutuhan Akan UU Perlindungan Data Pribadi Kian Mendesak [daring] ELSAM. Tersedia di: http://elsam.or.id/2017/05/kebutuhan-akan-uu-perlindungan-data-pribadi-kian-mendesak/

[xv]    Ibid.

[xvi]   Lihat Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (General Data Protection Regulation), Pasal 51(4).

[xvii] Subjek data adalah setiap individu yang menjadi subjek dari data pribadi. (Data Protection Act 1998 (UK), Pasal 1)

[xviii] Pengontrol data adalah setiap orang (baik orang pribadi atau badan) yang menentukan tujuan dan cara bagaimana data pribadi itu diproses. (Data Protection Act 1998 (UK), Pasal 1)

[xix]   Pemroses data adalah setiap orang (baik orang pribadi atau badan) selain pegawai dari pengontrol data, yang memroses data atas nama pengontrol data. (Data Protection Act 1998 (UK), Pasal 1)

[xx]    Lihat Data Protection Act 1998 (UK).