Lalai menjaga data pribadi

Industri eCommerce tengah mendapat ujian berat di tengah serangan pandemi Covid-19.

Ini dimulai dari informasi yang disebarkan akun Twitter @underthebreach tentang database Tokopedia yang dikoleksi dalam dua bulan dan peretasan ini terjadi pada Maret 2020.

"Peretasan terjadi pada Maret 2020 dan berimbas 15.000.000 pengguna, meski hacker bilang punya (pengguna) lebih banyak," tulis akun Twitter itu.

Mengutip Hackread, sebanyak 91 juta data pengguna Tokopedia dilaporkan dijual di dark web, menurut laporan akun Twitter Under the Breach yang pakai nama pengguna @underthebreach. Data tersebut dijual dengan harga US$5 ribu atau sekitar Rp 73,4 juta.

Data yang ditawarkan berisikan informasi tentang gender, lokasi, Username, nama lengkap, alamat email, nomor telepon, dan Hashed password.

Tokopedia telah mengakui menemukan adanya upaya pencurian data pengguna. Namun, perusahaan memastikan, informasi penting pengguna, seperti password, tetap berhasil dilindungi.

Walau demikian, Tokopedia meminta pengguna melakukan penggantian password pada akun mereka. Perusahaan mengklaim juga menerapkan keamanan berlapis, termasuk dengan menerapkan metode one time password (OTP) yang hanya bisa diakses oleh pemilik akun

Kementerian Komunikasi dan Informatika (Kominfo) telah meminta pengelola Tokopedia melakukan investigasi internal pasca beredar kabar bocornya data pelanggan milik marketplace itu oleh hacker.

Tokopedia sebagai Penyelenggara Sistem Elektronik (PSE) memiliki kewajiban memenuhi Standar Pelindungan Data Pribadi yang dimuat dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelengaraan Sistem dan Transaksi Elektronik, serta Peraturan Menteri Kominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Menteri Komunikasi dan Informatika (Menkominfo) Johnny G Plate mengungkapkan sebagian data pribadi milik pengguna Tokopedia berhasil diretas oleh peretas.

"Saya menerima laporan dari Tokopedia tentang sebagian data yang diretas. Dalam laporan itu dinyatakan data akun dan keuangan pengguna aman. Security system Tokopedia hingga saat ini belum bisa diterobos, walaupun sebagian data terkait nama, email dan telepon barangkali sebagian sudah dimasuki peretas," paparnya.

Lalai
Kejadian yang dialami Tokopedia bukanlah pertama kalinya di industri eCommerce. Tahun lalu, Bukalapak mengalami hal yang sama. Bahkan jika bicara yang fenomenal dan global tentunya yang dialami Facebook di skandal Cambridge Analytica.

Sayangnya, dua kasus terakhir tak ada tindakan tegas dari Kominfo sebagai pengampu Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) dan turunannya.

Pasal 32 UU ITE mengatur tentang larangan bagi setiap orang untuk melakukan interferensi (mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan, atau mentransfer) terhadap bentuk Dokumen Elektronik atau Informasi Elektronik tanpa hak atau dengan cara melawan hukum.

Pasal 32 UU ITE selengkapnya berbunyi:

Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik.

Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun memindahkan atau mentransfer Informasi Elektronik dan/atau Dokumen Elektronik kepada Sistem Elektronik[1] Orang lain yang tidak berhak.

Terhadap perbuatan sebagaimana dimaksud pada ayat (1) yang mengakibatkan terbukanya suatu Informasi Elektronik dan/atau Dokumen Elektronik yang bersifat rahasia menjadi dapat diakses oleh publik dengan keutuhan data yang tidak sebagaimana mestinya.

Ancaman hukuman atas perbuatan tersebut diatur dalam Pasal 48 UU ITE.

Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (1) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp2.000.000.000,00 (dua miliar rupiah).

Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (2) dipidana dengan pidana penjara paling lama 9 (sembilan) tahun dan/atau denda paling banyak Rp3.000.000.000,00 (tiga miliar rupiah).

Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (3) dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).

Badan Perlindungan Konsumen Nasional (BPKN) pun meminta pemerintah memberikan tindakan yang tegas sesuai aturan terhadap Tokopedia akibat bocornya data pribadi pengguna marketplace itu.

BPKN menggunakan dasar PP NO.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik yang pemegang amanahnya adalah Kominfo.

Dalam PP tersebut jelas diatur bahwa penyelenggara sistem elektronik adalah setiap orang penyelenggara negara,badan usaha dan masyarakatyang menyediakan,mengelola,dan/atau mengoperasikan sistem elektronik secara sendiri-sendiri maupun bersama-sama kepada pengguna sistem elektronik untuk keperluan dirinya dan/atau keperluan pihak lain.

BPKN memandang dalam insiden yang dialami Tokopedia jelas terlihat ada kewajiban yang tidak dipenuhinya sesuai dengan PP No.71/2019 pasal 24 ayat 3 disebutkan bahwa Penyelenggara Sistem Elektronik wajib melakukan pengamanan terhadap komponen Sistem Elektronik dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap Sistem Elektronik, Penyelenggara Sistem Elektronik wajib mengamankan Informasi Elektronik dan/atau Dokumen Elektronik dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan Kementerian atau Lembaga terkait.

Ada juga pasal 26 ayat 1 yaitu Penyelenggara Sistem Elektronik wajib menjaga kerahasiaan, keutuhan, keautentikan, keteraksesan, ketersediaan,dan dapat ditelusurinya suatu Informasi Elektronik dan/atau Dokumen Elektronik sesuai dengan ketentuan peraturan perundang-undangan

Merujuk pasal 100 di PP No.71/2019 sebagai penyelenggara Tokopedia wajar diberikan sanksi administratif berupa penghentian sementara sebagai alternatif pilihan agar penyelenggara sistem elektronik lebih bertanggungjawab.

Komunitas Konsumen Indonesia (KKI) mengatakan tindakan Tokopedia yang tidak memberitahukan terjadinya kegagalan perlindungan data pribadi pemilik akun Tokopedia dan pernyataan Menkominfo bahwa telah terjadi kebocoran data pribadi pelanggan tokopedia berupa nama akun, alamat email dan nomor telepon, telah membuktikan bahwa Tokopedia telah melanggar kewajiban hukumnya dan tidak memiliki itikad baik dalam melaksanakan penyelenggaraan sistem elektronik.

Dalam sistem peraturan perundang-undangan di Indonesia, “data pribadi” didefinisikan sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. Pengaturan hal tersebut diantaranya dapat dilihat pada Pasal 1 angka 22 UU No. 24 Tahun 2013 tentang Perubahan UU No. 23 Tahun 2006 tentang Adiministrasi Kependudukan jo. Pasal 1 angka 20 PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik jo. Pasal 1 angka 1 PM Kominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Melihat paparan di atas, sebenarnya aturan yang bisa digunakan untuk memberikan efek kejut dan jera bagi Tokopedia lumayan lengkap alias tidak ada kekosongan hukum.

Hal ini menjadikan alasan menunggu kehadiran Undang-undang Perlindungan Data Pribadi tak relevan dalam kasus Tokopedia ini.

Apalagi, Tokopedia sebagai perusahaan pengontrol (controller) dan pemroses (pemroses) berbadan hukum Indonesia, sehingga penegakan hukum tak sulit dilakukan.

Pemerintah harus menunjukkan kehadirannya di ranah digital dengan menegakkan aturan dan melindungi warga negaranya.

@IndoTelko