Hasil Monitoring Keamanan 2021 oleh Siber Badan Siber dan Sandi Negara (BSSN) mencatat terjadi anomali trafik atau serangan siber (cyber attacks) sebanyak 1.6 milyar aktivitas. Angka ini tentu fantastis dan dapat kita hitung rata-rata terjadi aktivitas serangan siber sebanyak kurang lebih 4.5 juta dalam satu hari. Serangan siber yang dilaporkan antara lain karena aktivitas malware yang mempunyai dampak sistemik dimana botnet dapat menyebarkan malware lainnya hingga terjadinya serangan DdoS. Dalam rupa yang lain, akan memunculkan ancaman ransomware. Dalam laporan ini, BSSN juga telah memberikan langkah mitigasi yang dilakukan. Dari anomali trafik yang dilaporkan, dapat diketahui lokasi sumber anomali maupun destinasi anomali melalui IP address. Diketahui juga, baik sumber maupun target anomali tersebut berasal dari Indonesia. Lebih menarik lagi, dalam laporan ini juga mencatat 179 laporan ancaman siber (cyber threat) yang terjadi di forum darknet dengan laporan tertinggi adalah kebocoran data (data breach) sebanyak 99 laporan, tertinggi dibandingkan ancaman lainnya seperti ransomware, web phising, web defacement dan profiling dengan rincian stakeholder terdampak di antara sektor e-commerce, kesehatan, energi, pemerintah, keuangan, pendidikan, hingga transportasi. Data breach yang terjadi paling banyak adalah tereksposnya data tentang keuangan dengan sektor instansi paling terdampak adalah pemerintah.
Di bagian akhir laporan Monitoring Keamanan 2021 ini, dicatatkan juga tentang lesson learned terkait dengan insiden kebocoran data. Mitigasi dari sisi teknis setidaknya adalah langkah paling praktis yang dapat dilakukan, lantas bagaimana dari sisi pencegahan? Literasi atau edukasi memang memegang peranan penting, namun satu hal yang paling krusial adalah regulasi khususnya regulasi tentang perlindungan data pribadi. Sampai saat ini, Indonesia masih belum mempunyai regulasi yang komprehensif tentang perlindungan data pribadi. Riset sebelumnya menemukan bahwa Indonesia mempunyai lebih dari 30 regulasi yang berhubungan dengan data pribadi yang tersebar di berbagi sektor. Berbagai permasalahan muncul terkait dengan sinergi penegakan hukumnya, hingga akhirnya pemerintah mengajukan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) yang sudah bergulir lebih dari 3 tahun.
Polemik RUU PDP
Polemik RUU PDP muncul terkait dengan status kelembagaan otoritas atau lembaga pengawas PDP. Berdasarkan penelusuran berita, terjadi beda pendapat antara Dewan Perwakilan Rakyat (DPR) dengan Pemerintah terkait keberadaan lembaga ini. DPR mengharapkan adanya lembaga independen, tidak terafiliasi dengan lembaga pemerintah manapun, dari sisi Pemerintah, otoritas ini akan diamanahkan ke Kementerian Komunikasi dan Informatika. Dalam perkembangannya, muncul opsi jalan tengah untuk memberikan kewenangan DPA ini kepada Badan Siber dan Sandi Negara (BSSN) (Kompas, 6/4). Bagaimanakah regulasi PDP yang ideal? Regulasi atau Hukum Perlindungan Data Pribadi setidaknya meliputi pengaturan tentang: 1) prinsip-prinsip perlindungan data pribadi, 2) jenis atau klasifikasi data pribadi, 3) hak pemilik data (Subjek Data), 4) hak dan kewajiban pengendali data (Data Controller) dan/atau pemroses data (Data Processor), 5) pejabat perlindungan data pribadi (Data Protection Officer/DPO), 6) Transfer data dan Kedaulatan Data, 7) mekanisme penyelesaian sengketa, 8) ketentuan sanksi, 9) lembaga atau otoritas perlindungan data pribadi (Data Protection Authority/DPA). Kembali lagi ke perdebatan tentang DPA tanpa mengesampingkan perdebatan substansi-substansi dalam RUU PDP kita, bagaimana seharusnya kedudukan DPA ini dalam regulasi PDP? Apa yang dimaksud independen dalam konteks regulasi PDP?
Otoritas Pengawas Perlindungan Data Pribadi (Data Protection Authority)
Belajar dari European Union General Data Protection Regulation (EU-GDPR), DPA adalah lembaga independen yang mempunyai kewenangan dan fungsi dalam hal mengawasi, melakukan investigasi dan tindakan korektif, serta menerapkan aturan yang ada didalam UU PDP. Selain itu, lembaga DPA ini juga memberikan saran tentang segala permasalahan perlindungan data pribadi dan menangani keluhan yang diajukan terhadap pelanggaran terhadap data pribadi. Seperti kita ketahui, ketentuan-ketentuan perlindungan data pribadi dalam GDPR menerapkan standar yang sangat tinggi. Termasuk kaitannya dengan status DPA ini. Menilik Article 52 GDPR, independensi yang dimaksudkan merupakan independensi yang bersifat komplit (complete independence) dengan mengacu pada Article 16(2) Treaty of the Functioning of the European Union dan Article 8(3) of the European Union Charter of Fundamental Rights. Lebih lanjut, independensi ini mencakup kekuasaan (power) dan sumber daya (resources), bebas dari pengaruh luar (external influence) baik yang bersifat langsung maupun tidak (Article 52(2)) sekaligus kewajiban untuk tidak terlibat dalam profesi/pekerjaan yang tidak sesuai baik yang bersifat menguntungkan maupun tidak (Article 52(3) GDPR).
Sekarang, mari kita lihat beberapa praktik di negara lain. Frase ‘complete independence’ ini pernah beberapa kali didebatkan, baik sebelum dan setelah GDPR berlaku. Kasus yang terjadi sebelum GDPR diberlakukan, yaitu yang terjadi di Jerman, Austria dan Hungaria. Kasus Jerman dan Austria, membahas tentang penjelasan Article 52(4-6) GDPR secara eksplisit tentang yaitu tentang fungsi pengawasan, sumber daya, anggaran, kepegawaian, dan pengawasan oleh DPA yang mana dalam konteks kasusnya adalah adanya kewajiban DPA untuk bekerjasama dalam hal transfer data. Sedangkan, kasus di Hungaria memutusukan ihwal independensi, adanya larangan tertentu terhadap pimpinan dan anggota DPA untuk terlibat dalam ‘external influence’ karena menyalahi arti independensi.
Menarik ketika kita melihat kasus yang muncul pasca berlakunya GDPR terutama di negara Belgia. DPA negara Belgia dianggap melanggar Article 52 GDPR. Pelanggaran ini terjadi karena anggota dan prosedur pemilihan anggota tidak memenuhi frasa ‘complete independence’ yang menjadi syarat mutlak bagi DPA. Beberapa anggota DPA Belgia, terindikasi pernah terlibat dalam kegiatan yang dianggap sebagai ‘external influence’. Misal, ada salah satu anggotanya yang pernah terlibat dalam Covid-19 tracking project yang didanai EU, ada juga yang pernah aktif dalam sebuah komisi bentukan Pemerintah Belgia yaitu the Information Security Committee serta ada pula yang pernah bekerja dengan lembaga non profit berbasis pelayanan teknologi informasi yang diindikasikan dekat dengan Pemerintah China. Belum lagi tentang tata cara penunjukan/pemilihan dan pemberhentian anggota DPA.
Dengan demikian kita bisa menyimpulkan setidaknya ada 3 karakteristik utama ‘complete independence’ yang dimaksud dalam GDPR yaitu terkait dengan kekuasaan dan kewenangan (power) yang mana mencakup fungsi memberikan saran, mengawasi hingga penegakan hukum, sumber daya (resource) termasuk didalamnya adalah staffing dan budgeting, dan terakhir adalah bebas dari ‘external influence’, dimana dapat dielaborasi sebagai bebas dari segala kepentingan (pandangan) politik, urusan kepemerintahan, hingga kegiatan yang terafiliasi dengan lembaga atau pihak lain yang dapat mengakibatkan teririsnya nilai-nilai independensi atau memunculkan konflik kepentingan.
Sebagai penutup, hal yang dapat kita ambil pelajaran dari kasus DPA Belgia adalah bahwa masih terdapat ruang untuk mencari kriteria dan standar yang tepat tentang ‘complete independence’ ini. Dalam konteks Indonesia saat ini, momentum ini dapat menjadi pemacu untuk segera mempercepat pengesahan RUU PDP dengan membawa value dari praktik baik negara-negara yang sejatinya telah mempunyai regulasi yang cukup komprehensif, namun dalam derajat tertentu masih ada celah yang harus dipikirkan bersama untuk dan atas nama perlindungan terhadap hak fundamental warga negara. Namun, seperti yang dikatakan De Hert, ‘a watchdog should control, not include, the government. The wrong people are leaving’. Jangan sampai frase ‘complete independence’ ini disalahartikan dan justru akan merugikan kita sebagai warga negara. Mari kita tunggu dan kawal bersama.
Penulis: Masitoh Indriani
Dosen pada Fakultas Hukum Universitas Airlangga [Mata Kuliah yang diajar adalah Hukum Internasional (S1), Hukum Siber (S1), HAM dan Keamanan Siber (S2), Cyber Notary (S2)]
Peneliti pada Center of Human Rights Law Studies (HRLS) Fakultas Hukum Universitas Airlangga
