Resiliensi Data di Indonesia (Berkaca dari Facebook)

Jakarta – Indonesia sedang diguncang skandal kebocoran data Facebook. Lebih dari sejuta pengguna Indonesia telah bocor. Dalam hal ini, apakah Facebook akan lepas tangan? Siapa yang akan bertanggung jawab?

Saat ini, pemerintah, baik Kementerian maupun DPR telah mulai bertindak. Pertanyaannya adalah, mengapa tindakan ini bersifat kuratif dan langkah preventif apa yang telah dilakukan?

Pertanyaan berikutnya yang cukup menggelitik adalah, mengapa dalam wacana-wacana dan diskusi tentang arah kebijakan, ada wacana untuk mengizinkan data center di luar negeri? Bukankah dalam hal-hal seperti ini, pemulihan akan menjadi lebih sulit karena keberadan data center Facebook untuk pengguna di Indonesia tidak harus di Indonesia?

Dalam skala lebih luas dan massif, hal ini sangat mungkin terjadi secara diam-diam tanpa sepengetahuan yang lain tidak hanya melalui aplikasi Cambridge Analytica, dan juga tidak hanya di Facebook. Sangat mungkin sekali, telah ada berbagai aplikasi serupa Cambridge Analytica yang bertebaran di dunia maya, dan di berbagai media interaksi di dunia maya.

Teknologi dan algoritma big data analytics tidak hanya mampu menangani data terstruktur. Namun ia mampu menangani data tak terstruktur seperti teks-teks , termasuk bahasa-bahasa alay, gambar, dan video dengan efektif dan efisien.

Paradigma big data analytics memandang triliunan data yang secara masif tersebar dan diproduksi dalam medsos dan media interaksi lain di dunia maya termasuk perdagangan online sebagai tambang emas informasi yang bisa digunakan untuk berbagai keperluan.

Kantor Facebook di Indonesia (Foto: detikINET/Agus Tri Haryanto)

Sesungguhnya aktifitas eagle eye–mata elang–tidak hanya dilakukan oleh Cambridge Analytica, namun juga banyak perusahaan big data analytics di dunia untuk berbagai keperluan.

Sebagaimana Cristopher Wylie, mahasiswa data scientist muda pengembang algoritme yang ada di balik Cambridge Analytica, para mahasiwa dan data scientist muda kita di Indonesia pun, saya yakin, memiliki kemampuan seperti itu.

Pun demikian dengan para mahasiswa programmer, coder yang menekuni bidang data scientist. Tidak hanya data-data yang telanjang (tidak dienkripsi atau tidak dilindungi) dan gratis yang bertebaran di medsos dan dunia maya, tetapi jug yang paling menyedot perhatian masyarakat Indonesia saat ini yakni e-KTP, di mana berbagai data pribadi dikoleksi pemerintah dan tidak menutup kemungkinan berpindah tangan ke pihak tertentu.

Tak jauh beda dengan e-goverment, e-procurement, e-health, dan terutama e-commerce yang kian marak belakangan ini khususnya transportasi online. Seluruh aplikasi telematika ini juga hanya bisa berfungsi jika data pribadi Anda yang personal dimasukkan dulu dalam database.

Apakah institusi dan industri terkait telah benar-benar menjamin keamanan dan privasi data seluruh masyarakat dan pengguna layanan ini baik secara teknis maupun dari sisi proses dan standar manajemen keamanan informasinya? Siapa yang menjamin? Apa buktinya? Seharusnya publik tidak dibodohi, dan publik berhak mengetahui hasil audit hal-hal seperti ini oleh pihak independen.

Kenyataan di lapangan menunjukkan hal yang makin menguatkan kurangnya kontrol pihak-pihak yang bertanggung jawab akan keamanan dan privasi data. Presedennya pun sudah ada dan makin menjadi belakangan ini, antara lain bocornya nomor ponsel ke oknum telemarketing.

Skandal privasi Facebook melibatkan kebocoran data pengguna Indonesia. Foto: GettyImages

Bahkan, ditenggarai sektor perbankan dan pihak ketiga bekerjasama dengan melanggar privasi karena menyebarluaskan data pribadi nasabah tanpa sepengetahuan pemilik data.

Akibatnya, banyak dari kita, termasuk pembaca detikINET rasakan kini, muncul aneka promosi produk melalui pesan singkat atau broadcast message ke pesan instan, SMS ponsel, email, dan lain-lain, dalam penawaran kartu kredit dan kredit tanpa agunan.

Di sisi lain, riset Lembaga Yayasan Konsumen Konsumen Indonesia (YLKI) dalam Seminar Pengaturan Perlindungan Data Pribadi Fakultas Hukum Unpad di Jakarta beberapa waktu lalu menunjukkan, mayoritas operator telekomunikasi dan perbankan belum sepenuhnya konsisten menerapkan perlindungan data pribadi.

Masih ada ketidakseragaman satu dengan lainnya. Contohnya, kebijakan privasi pada halaman sebuah perbankan yang sebatas untuk keperluan rekrutmen karyawan. Lebih memprihatinkan lagi, ada juga perbankan yang menyodorkan kebijakan privasi di situsnya, namun ketika dibuka kosong melompong.

Operator telekomunikasi di Indonesia bahkan relatif lebih parah. Edukasi privasi hanya baru dilakukan satu operator. Selebihnya, menerapkan perlindungan data dengan proses registrasi-klarifikasi data pelanggan, terutama pada nomor pasca bayar.

Privasi adalah hak individu dan harus mendapat perlindungan negara, terlebih privasi juga telah diatur lima instrumen hukum internasional, khususnya instrumen hukum hak asasi manusia.

Contohnya, Deklarasi Hak Asasi Manusia tahun 1948 (UDHR) dan Konvensi Hak-Hak Sipil dan Politik (ICCPR) 1966, di mana privasi dikelompokkan menjadi suatu hak dasar (fundamental rights) atas kehidupan pribadinya dan hak tersebut harus dilindungi negara (Alfredsson and Asbjorn Eide (ed), The Universal Declaration of Human Rights).

Di Indonesia, privasi sebetulnya telah secara implisit diatur dalam UUD 1945 yakni Amademen keempat yaitu dalam pasal 28 (g) ayat 1 dan undang-undang lainnya. Namun memang, pengaturannya dan terutama sekali endorsement-nya sangat minimal.

Karenanya, aturan ini belum bisa memberikan perlindungan bagi masyarakat Indonesia seperti dalam Undang-Undang No 39 tahun 1999 tentang Hak Asasi Manusia, Undang-Undang No.36 Tahun 1999 tentang Telekomunikasi, Undang-Undang No,12 Tahun 2005 tentang Ratifikasi ICCPR, Undang-Undang No 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.

Terlebih, pada prakteknya hingga saat ini, Indonesia belum mengatur secara khusus privasi data pribadi dan tampaknya belum jadi prioritas pemerintah. Ini berkebalikan dengan riset Profesor Graham Greeleaf dari Universitas New South Wales, Sydney Australia, yang menyebutkan 89 negara telah mengatur perlindungan data pribadi, baik secara online maupun offline. Di Asia Tenggara, kita masih tertinggal dari negara lain. Posisi kita saat ini baru sejajar dengan Birma, Laos, dan Kamboja.

Karena itulah, di era digital ini, pengaturan hak privasi dan keamanan data semakin mendesak dilakukan seluruh pemangku kepentingan di negeri ini. Kurangnya resiliensi data di Indonesia akan berakibat tidak hanya kerugian individu yang dibocorkan datanya, namun bisa menimbulkan chaos di negeri ini dan merebaknya berbagai kriminalitas.

Berkaca dari kasus Facebook, muncul urgensi perlindungan data pribadi. Foto: Reuters

Rekomendasi Resiliensi Data

Penulis merekomendasikan pemerintah serius memikirkan sekaligus berbuat dalam ketangguhan (resiliensi) data nasional, sehingga tak terus terjadi kebocoran data yang merugikan masyarakat Indonesia.

Setidaknya, penulis merekomendasikan, pertama, agar pemerintah tidak mundur dalam pengaturan keharusan data center di dalam negeri untuk Facebook, Google dan layanan sejenisnya, khususnya untuk pengguna di Indonesia. Ini juga berlaku bagi para pemain perdagangan online seperti Bukalapak, Gojek, Tokopedia dan lainnya.

Terlebih adalah karena menurut Uptime Institute (badan sertifikasi data center paling kredibel di dunia), di Indonesia sudah ada puluhan data center yang tersertifikasi Tier III dan beberapa sudah by design tersertifikasi Tier IV.

Adalah kurang tepat untuk menyimpulkan bahwa Facebook, Google dan lainnya tidak bisa menggunakan data center di Indonesia, karena data center di Indonesia tidak mungkin mencapai Tier IV karena ketiadaan dua perusahaan listrik yang berbeda secara independen.

Argumen ini hanya valid dalam paradigma lama data center yang menggunakan standar TIA 942, suatu standar yang saat ini kurang digunakan. Singapura hanya memiliki satu perusahaan listrik juga, dan banyak situs kelas dunia tersebut yang menggunakan data center di Singapura.

Kedua, langkah pemerintah dalam registrasi ulang kartu prabayar layak didukung dan diapresiasi. Masyarakat diwajibkan untuk melakukan registrasi ulang SIM card hingga 28 Februari 2018 dan pemblokiran total kartu sampai 28 April 2018.

Pemerintah perlu tegas melakukan langkah-langkah seperti ini. Benar sekali yang dinyatakan oleh Direktur Jenderal Penyelenggaraan Pos dan Informatika Kemenkominfo Ahmad Ramli, bahwa program registrasi ulang itu dilakukan guna memberikan kepastian, keamanan, dan kenyamanan bagi masyarakat.

Dalam era digital banking dan teknologi finansial yang serba lincah, sangat direkomendasikan untuk tetap mengatur dan meng-endorse prinsip KYC (Know Your Customer), atau lebih luasnya know everybody in their physical existence walaupun interaksinya itu sendiri online.

Ketiga, masyarakat dan pemerintah perlu meningkatkan kontrol pada aspek keamanan berbagai layanan online maupun transaksi elektronik. Prinsip pengaturan ‘less regulation is the best’ hanya cocok dalam konteks perizinan dan kemudahan melakukan bisnis. Dalam prinsip pengamanan, pencapaian kontrol minimum sesuai standar best practice tidak bisa ditawar lagi.

Keempat, perlu mendorong kemunculan unicorn-unicorn layanan medsos, big data analytics dan layanan sejenis di Indonesia. Setidaknya ada alternatif-alternatif layanan seperti email, private messaging, video sharing, map dan navigasi serta layanan lainnya yang dilakukan oleh perusahaan-perusahaan yang berbadan hukum di Indonesia.

Hal ini akan mengurangi ketergantungan Indonesia ke luar negeri dan memperkuat bargaining position Indonesia saat berurusan dengan Facebook, Google, Alibaba dan raksasa-raksasa online lainnya.

The last but not least, pemerintah perlu segera mengatur tentang privasi data, dan menerapkannya dengan konsisten. Kemajuan teknologi big data analytics, dan berbagai potensi penerapannya, perlu dituntun agar tidak melanggar privasi data.

Secara bersamaan, mari didik masyarakat, industri maupun lembaga pemerintah tentang apa yang boleh dan tidak boleh dilakukan dalam upaya melindungi data dan privasi yang terkandung di dalamnya.

Kepada masyarakat, terutama para pembaca detikINET yang akrab dengan layanan digital, juga agar lebih selektif memberikan data pribadi ke pihak ketiga dewasa ini.

Pastikan bahwa Anda sudah membaca dan memahami kebijakan privasi yang ditetapkan pihak ketiga. Kitalah orang pertama yang bisa menjadikan hidup kita lebih nyaman.

*) Penulis, Dr. Dimitri Mahayana adalah Dosen STEI ITB pada Laboratorium Sistem Kendali dan Komputer STEI ITB. Dipublikasikan di Detik.com.