Damar Juniarto: Daulat Siber pada Keamanan Data Pribadi

PEKAN ini, WhatsApp memantik sensasi. Perusahaan yang berinduk kepada Facebook tersebut mengumumkan pembaruan kebijakan privasi. Yang diresahkan, dalam pembaruan
itu, WhatsApp mengumumkan pemanfaatan infrastruktur hosting Facebook untuk percakapan pada WhatsApp Business. Dengan kata lain, data percakapan pada akun bisnis tersebut disimpan pada server Facebook.

Rencana kebijakan itu mengundang kekhawatiran warganet akan risiko pelanggaran penggunaan data pribadi mereka, kendati kemarin WhatsApp akhirnya memutuskan menunda implementasinya. Tidak sedikit yang memilih aplikasi perpesanan lain yang dianggap lebih menghargai keamanan data pribadi.

Apa sebenarnya risiko yang bisa muncul, dan seperti apa situasi perlindungan data pribadi kita di era digital ini? Untuk menjawabnya, Media Indonesia berbincang dengan Direktur Eksekutif SAFEnet (Southeast Asia Freedom of Expression Network), Damar Juniarto. Bersama SAFEnet, ia aktif dalam upaya mengadvokasi dan menyebarkan literasi hak-hak digital warga. Berikut petikan percakapan kami melalui konferensi video, pada Rabu, (13/1).

Bagaimana Anda melihat kekhawatiran publik atas privasi mereka terkait dengan adanya pembaruan kebijakan WhatsApp?

Kalau berbicara soal privasi dalam konteks digital, saat ini orang-orang itu cemas dua hal. Pertama, apakah percakapan dia dipindai atau diamati negara. Kedua, apakah percakapan mereka disalahgunakan untuk kepentingan bisnis oleh korporasi.

Dua hal ini yang secara umum muncul. Dulu mungkin tidak jadi persoalan karena kesadaran orang-orang belum terbangun atau tidak begitu melek. Asal pakai saja, tidak berpikir praktik semacam itu, yang memang sudah menjadi subjek kritik dari kelompok-kelompok aktivis digital, seperti Safenet.

Misalnya, ketika Facebook dianggap tidak aman dalam artian data pengguna digunakan pihak ketiga untuk kepentingan marketing, sampai mencuat kasus Cambridge Analytica. Tapi apakah orang meninggalkan platform tersebut? Tidak juga.

Ketika dulu mencuat kasus tersebut, pada medio tiga-empat tahun silam tidak terlalu ramai. Sekarang, (pembaruan kebijakan Whatsapp) jadi ramai. Menurut saya, ini ada banyak faktor. Orang lambat-laun tahu, dia punya hak. Jadi ada kesadaran mereka punya hak ruang pribadi atau privasi. Ruang pribadi (ruang percakapan) itu tidak boleh diutak-atik negara dan korporasi. Ketika Whatsapp diakuisisi Facebook, tentu harus mengikuti rencana bagaimana supaya bisa menguntungkan.

Konsekuensinya ialah (Whatsapp) berbagi data pengguna ke pihak ketiga. Di situ yang menjadi persoalan. Yang tadinya dirasa cukup aman karena nyaman, orang mulai terusik. Jadi kalau saya mencoba menilai secara fenomena, sebetulnya ini momentum baik ketika mulai tumbuh kepedulian orang-orang pada hak-hak mereka dan merasa penting untuk menjaga perimeter aman di level pribadi.

Jadi, bagaimana risiko yang bisa muncul terhadap pengguna?

Pangkal persoalannya, dengan kebijakan yang berubah dari 2014 dan pada 2021 ini, Whatsapp akan membagikan sejumlah data-data. Terutama, memang bukan percakapannya, melainkan bagaimana pengguna berkontak, data nomor telepon, habitual, data itu dibagikan ke pihak ketiga. Ketika itu dibagikan, ada risiko yang disebut pudarnya ruang pribadi.

Meski isinya (percakapan) tidak diangkat, tapi memungkinkan orang menjadi terusik karena rutinitas percakapan yang dibagikan datanya. Yang lebih jauh dikhawatirkan ketika dibagikan ke pihak ketiga, dan kita yang punya data tersebut tidak diberi tahu siapa pihak ketiga yang mendapatkan data habitual percakapan tersebut.

Pengguna bisa berhadapan dengan risiko yang sudah jamak kita dapatkan di SMS, dapat tawaran bisnis dari orang yang tidak dikenal. Kalau biasanya itu didapatkan di layanan SMS, bagaimana kalau itu berhadapan dengan spam tersebut di Whatsapp. Pasti akan memunculkan ketidaknyamanan. spam hanya salah satunya, akan ada yang muncul berikutnya, sangat terbuka lebar. Tidak hanya sebatas spam marketing.

Tapi Whatsapp menyebut, ada beberapa batasan terkait dengan informasi yang dibagikan terhadap perusahaan induknya?

Isunya bukanlah seberapa banyak data yang dibagikan, melainkan isunya ialah data tidak boleh dibagikan tanpa kontrol dari pengguna. Yang dilakukan mereka kurang bijak karena hanya menyediakan pilihan Opt In -- pilihan bagi pengguna untuk ikut disertakan dalam kebijakan privasi yang baru dan tidak diberikan pilihan lain selain berhenti menggunakan Whatsapp.

Artinya, cara ini tidak memberi ruang bagi pemakai Whatsapp sebagai pemilik data yang sesungguhnya untuk menentukan pilihan apakah ia mau datanya digunakan sesuai rencana Whatsapp atau tidak. Tidak ada pilihan untuk tetap menggunakan Whatsapp tanpa harus menyetujui kebijakan privasi yang baru (Opt Out). Yang terkesan justru sebaliknya, seolah-olah Whatsapp yang berhak atas data-data tersebut dan pengguna hanyalah ‘penumpang’ yang tidak memiliki hak untuk menentukan. Ini jelas pemahaman yang keliru.

Padahal, cara yang baik dalam menjalankan protokol bisnis seperti ini ialah menyediakan opsi Opt In juga. Memilih antara datanya diambil dan tidak. Kontrol itu ada di pengguna, untuk menentukan kapan boleh dan tidak.

Lalu, batasan-batasan seperti apa yang sesuai dengan prinsip yang berlaku? 

Kalau mengikuti prinsip pengaturan privasi, paling tidak harus ada tiga hal yang cukup jelas. Pertama, siapa pemilik data. Kedua, siapa pengumpul datanya. Dan ketiga, siapa yang terlibat dalam memproses data yang diperoleh tersebut.

Pemilik data harus dijelaskan, kita sebagai pengguna ialah pemilik data, bukan platformnya. Karena kita yang memproduksi percakapan tersebut. Ketika data ingin dikumpulkan harus sampaikan permintaan izin sama pemilik data.

Semua platform teknologi perlu menerapkan kebijakan perlindungan privasi yang mengatur secara jelas siapa pemilik data, pengumpul data, dan pemroses data. Dengan penghormatan pada pengguna sebagai pemilik data, pihak yang mengumpulkan data harus transparan apa saja data yang dikumpulkan dan siapa saja pihak-pihak ketiga yang dilibatkan dalam memroses data tersebut. Bila tidak ada transparansi atas cara pengumpulan dan pemrosesan, pemilik data berpotensi mengalami pelanggaran hak privasi.

Salah satu opsi yang dimiliki publik ialah memilih aplikasi yang lebih menghargai keamanan data pribadi pengguna?

Dalam hal ini, saya tekankan paling tidak ada empat hal. Pertama, pahami risiko kalau mau terus menggunakan perpesanan Whatsapp. Jangan kemudian tidak paham, data percakapan bisa dipakai pihak lain. Untuk pengguna, dalam bercakap-cakap harus ada kehati-hatian. Tidak diumbar begitu saja di platform tersebut.

Kedua, perlu menuntut transparansi. Dalam hal ini, ketika Whatsapp memberikan pilihan, pengguna yang sudah bersedia mengikuti kebijakan baru, berhak meminta platform tersebut kepada siapa data dibagikan.

Ketiga, kalau pilihannya tidak merasa nyaman dan aman di Whatsapp karena data dibagikan ke pihak ketiga, perlu mengubah perilaku. Menjadi perilaku yang lebih sadar akan keamanan digital. Itu penting. Barulah sampai tahap keempat, mengganti aplikasi perpesanan yang lebih menghormati privasi.

Kalau saya langsung mengatakan pindah, itu tidak menjamin rasa aman yang dibutuhkan tadi. Yang ditekankan ialah dengan mengubah perilaku. Dengan memasang kunci ganda, menambah sistem keamanan di ponsel. Kita jadi tahu, dengan menggunakan aplikasi apa pun orang tidak mudah menjebol komunikasi tersebut. Dengan mengubah perilaku yang lebih sadar, baru pilihan berikutnya ialah berganti ke aplikasi yang menerapkan enkripsi, yang betul-betul menjamin percakapan hanya bisa diterima orang yang kita kirimi pesan, serta tidak ada praktik pengumpulan data (sentralisasi data). Ini akan menentukan langkah kita dalam berganti aplikasi perpesanan yang sesuai, yang memenuhi syarat tersebut.

Seperti apa yang dimaksud dengan mengubah perilaku?

Pertama ialah menggandakan pengamanan, dengan kata sandi (password) kuat, pengaktifan autentikasi dua faktor. Jadi semacam gemboknya ditambah. Kunci kombinasi makin susah ditebak. Apa pun aplikasinya, harus dobel keamanan.

Kedua, kita juga harus memahami. Tidak ada istilah aman sepenuhnya. Jangan terbuai rasa pasti aman. Selalu ulas keamanan dengan menggunakan perangkat lunak di aplikasi yang paling terbaru. Jangan telat perbarui.

Ketiga, mempraktikkan kebersihan digital. Bersihkan data yang sekiranya tidak perlu dikumpulkan pihak ketiga. Ini untuk meminimalkan data disalahgunakan atau doxing. Praktik menjaga kebersihan digital ialah kita membersihkan data-data yang sekiranya tidak diperlukan pihak lain. Dalam praktiknya, hapus data-data yang telanjur dibagikan sebelumnya, misal nomor telepon, kartu keluarga, KTP, hal-hal yang sifatnya sensitif. Ini harus dibersihkan, dihapus sehingga tidak kemudian tersimpan dan disalahgunakan pihak lain.

Jadi dalam mengubah perilaku, ada tiga hal utama. Menggandakan keamanan, rajin perbarui aplikasi untuk memutakhirkan sistem keamanan, dan menjaga kebersihan digital.

Pada medio akhir 2019, The Economist sempat merilis daftar Safe Cities Index. Ibu kota Indonesia, Jakarta, menempati rangking ke-53 dari 60 kota di dunia. Rangking ini didapat dari skor rendah indeks keamanan digital. Apakah ini impak dari masih belum kelarnya RUU Perlindungan Data Pribadi?

 Kita bahkan skor paling buruk, bahkan di Asia Pasifik. Merujuk juga pada hasil riset terbaru Microsoft Security Endpoint Threat Report 2019, secara khusus serangan malware di Indonesia menempati peringkat tertinggi di kawasan Asia Pasifik, yaitu 10,68% pada 2019. Angka tersebut masih dua kali lebih tinggi dari rata-rata regional.

Indonesia juga terdaftar memiliki tingkat kasus ransomware tertinggi ke-2 di seluruh wilayah Asia Pasifik, yaitu 0,14%. Ini masih 2,8 kali lebih tinggi dari rata-rata regional, sedangkan tingkat kasus penambangan cryptocurrency Indonesia berada di angka 0,10% pada 2019, 2 kali lebih tinggi dari rata-rata regional dan global, dan tingkat kasus tertinggi ke-4 di seluruh wilayah.

Baik data yang Anda maupun saya rujuk tersebut menggambarkan Indonesia secara spesifik, misalnya Jakarta sebagai ibu kota jadi tempat yang rentan. Kumpulan data dari sekian banyak warga di Asia Tenggara. Infrastruktur keamanan digital dinilai jauh dari standar yang diharuskan. Bukan mengatakan Indonesia jelek, tetapi harus ada perbaikan infrastruktur keamanan digital sehingga dapat memiliki ketahanan siber, yang kemudian ketika mendapat serangan bisa melindungi diri dan recovery dengan cepat. Apakah ini sudah berjalan? Sudah. Tapi perlu ditingkatkan.

Apakah itu bertalian dg RUU PDP (perlindungan data pribadi)? Indeks tadi mengatakan, infrastruktur memang harus disiapkan secara kuat. Itu tidak tergantung pada RUU PDP, tapi pada RUU keamanan siber, yang sempat mau dibuat pada 2019 drafnya tapi jauh dari sempurna. Draf tersebut bukan bicara keamanan siber, melainkan tentang BSSN (Badan Siber dan Sandi Negara). Ini (RUU keamanan siber) yang harus dibuat dan dirincikan lagi, standar semacam apa yang harus diberikan ketika bicara ketahanan siber.

Tanpa menunggu RUU yang prosesnya memang lama, kebijakan apa yang semestinya bisa dikeluarkan Kemenkominfo atau pemerintah untuk memberi perlindungan pertama terhadap masyarakat?

 

UU itu kan payungnya, tapi yang bisa dilakukan secara tindakan dari sisi keamanan digital ialah bagaimana warga dibekali dengan literasi keamanan digital. Kedua, karena berkaitan dengan privasi, warga dikenalkan dengan hak privasi karena tidak banyak warga yang mengenal dengan privasi. Memang itu menjadi tugas berat.

Setelah urusan literasi selesai, penegak hukumnya juga perlu disiapkan. Aparat penegak hukum seperti polisi, jaksa, dan hakim harus dikenalkan dengan privasi digital ini sehingga mereka tahu, sama seperti halnya hak kita dalam sehari-sehari, maka berlaku juga di dunia digital.

Tentu pembuat kebijakan harus memprioritaskan secara cepat untuk punya instrumen perlindungan data pribadi yang mengatur hak individu dari praktik yang merugikan privasi. Itu tidak terbatas pada data pribadi saja, tetapi juga terhadap kedirian dia.

Dalam praktik data pribadi, juga ada ancaman yang mengarah pada diri pribadi, nyawa seseorang. Kedua, yang harus disegerakan menyusul perlindungan data pribadi ialah keamanan siber, jadi itu yang harus disusulkan.

Apa yang menjadi temuan Safenet di lapangan sejauh ini terkait dengan pelanggaran data pribadi?

 

Pada Desember lalu, kami merilis peningkatan serangan doxing (dropping document--penyebaran data pribadi) di Indonesia. Temuan itu didasarkan pada aduan yang diterima dari 2018-2020. Menunjukkan adanya peningkatan secara signifikan tentang doxing di Indonesia.

Dalam peningkatan tersebut, terlihat jurnalis menjadi pihak yang paling sering di-doxing. Ketika jurnalis menjadi yang paling sering sebagai korban doxing, ini menimbulkan kekhawatiran iklim kemerdekaan pers yang akan terganggu karena menimbulkan rasa ancaman baru untuk jurnalis ketika bekerja.

Dari temuan itu, kita juga mengetahui bentuk doxing yang sering terjadi di Indonesia ialah delegitimasi. Bertujuan untuk menghancurkan kredibilitas reputasi dan karakter target.

Temuan kami juga mengungkap, di lapangan ada kegagapan dan tebang pilih dalam penanganan doxing oleh penegak hukum. Adanya ketidakpahaman doxing sebagai tindak kejahatan yang menganggap data hanya dibagikan dan tidak melihat adanya ancaman nyawa. Padahal studi menyebutkan jangan menganggap enteng tindakan ini. Selain itu, juga ada kegagapan dalam penanganan. Ada yang responsif dalam satu kasus, ada yang tidak. Ini perlu ada satu sikap yang sama.

Mengapa juga pemerintah kerap kali tidak punya daya tawar yang tinggi di hadapan perusahaan teknologi global? 

 

Perusahaan teknologi raksasa itu disebut juga sebagai emerging power yang kuasanya makin lama makin kuat. Karena berjalan tanpa batas negara, banyak negara kelimpungan, bagaimana caranya berhadapan dengan oligopoli yang kuat ini. Di satu sisi, pemerintah tidak bisa mengerem dengan hukum nasional karena praktik bisnis berada di negara lain. Perusahaan teknologi ini seperti badan yang tidak bisa dikenai apa pun, kayak invisible.

Sebabnya sebetulnya dalam hal ini tidak ada posisi tawar yang dibangun negara ketika berhadap-hadapan dengan perusahaan tersebut. Posisi tawar ini kan banyak negara pakai prinsip kedaulatan siber (cyber sovereignty). Otomatis ini gampang sekali dipatahkan perusahaan teknologi karena itu tidak ada urusan dengan batas-batas, bisa dipakai dengan siapa saja yang install.

Kecuali negara tersebut mampu membangun aplikasi tersebut sendiri. Misalnya, Tiongkok dengan kedaulatan sibernya (The Great Firewall). Aplikasi tidak bisa masuk atas izin negara dan mereka konsisten. Ketika tidak memperbolehkan perusahaan teknologi asing masuk, mereka membangun sendiri. Ada insentif yang digunakan negara kepada pihak industri nasional untuk membangun platform sendiri yang sama kuatnya.

Kalau tidak bisa bangun sendiri, gagasan kedaulatan siber lemah. Itu terjadi seperti di Indonesia dan negara-negara lain yang tidak bisa membangun sendiri, jadi lemah.

Kemudian selain dengan kedaulatan siber, mengatur perusahaan teknologi dengan model-model seperti yang terjadi di negara-negara Eropa, dengan menerapkan aturan-aturan administratif seperti pajak digital.

Kita mempunyai peluang di pilihan kedua. Tantangannya, maukah mereka tunduk pada sistem yang kita dorong tersebut. Maukah mereka bayar pajak, urus perizinan yang ada aturan di dalamnya, tantangannya di situ.

Sejauh mana peluangnya dengan prinsip administratif tersebut?

 

Sebelum ke sana, kita juga harus membangun posisi tawar dengan diplomasi siber. Indonesia punya amunisi yang cukup kuat karena kita market yang besar.

Jadi dalam diplomasi siber dengan perusahaan oligopoli tadi ialah bicara akses. Kemudian, tentang perlindungan data pribadi warga. Ketika periode awal Menkominfo Rudiantara saat itu, sudah bisa dilihat mengenai pembicaraan soal akses.

Saat ini yang perlu dijajaki ialah diplomasi siber untuk perlindungan data warga. Perlu diplomasi platform tersebut. Boleh berbisnis, dengan syarat administratif, misalnya minta adanya jaminan perlindungan warga. Baru bisa mengharapkan kita bisa lebih seperti Uni Eropa yang menerapkan kebijakan GDPR (General Data Protection Regulation). Ini memang tidak bisa dilakukan dalam sehari semalam.

Kalau ini jadi political will, harusnya bisa dilakukan dalam periode menteri sekarang karena momentumnya bagus. Menkominfo dapat menjalankan ini dengan bekal sekarang.

Idealnya, kewajiban-kewajiban apa yang perlu dipenuhi platform penghimpun data masif tersebut di Indonesia?

 

Salah satu yang perlu didorong ialah platform sama seperti entitas bisnis di sektor lain. Mulai menerapkan praktik pengakuan hak asasi dalam bisnisnya, yang diatur dalam aturan OECD (Organisation for Economic Co-operation and Development).

Praktik bisnis dan HAM yang bisa berjalan bersama. Kalau misal perusahaan perkebunan ialah bagaimana agar juga tidak merusak lingkungan dan memperhatikan hak masyarakat adat, sekarang kalau perusahaan teknologi ialah bagaimana agar tidak melanggar hak digital. Itu perlu didorong. Secara kasatmata, misalnya berharap perusahaan teknologi punya divisi hak asasi manusia sehingga mereka bisa memperbaiki sistem internal agar lebih patuh pada aturan hukum dan hak asasi manusia internasional. (M-2)