Kasus Kebocoran Data di Indonesia dan Nasib UU Perlindungan Data Pribadi

KOMPAS.com - Kasus kebocoran data pengguna kembali dialami oleh startup unicorn Indonesia. Kali ini giliran database pengguna e-commerce Tokopedia yang dibobol peretas.

Sebanyak 91 juta data pengguna dan lebih dari tujuh juta data merchant Tokopedia dilaporkan dijual di situs gelap, dengan harga 5.000 dollar AS atau sekitar Rp 75 juta (kurs rupiah saat berita ini ditulis).

Pihak Tokopedia pun mengakui adanya upaya pencurian data pengguna. Meskipun beberapa informasi rahasia pengguna seperti password dan informasi pembayaran, diklaim telah berhasil dilindungi oleh sistem enkripsi.

Baca juga: Data Tokopedia, Gojek, dan Bukalapak Bocor di Tengah Absennya RUU PDP

Menanggapi kejadian itu, Staf Ahli Menteri Kementerian Komunikasi dan Informatika (Menkominfo), Henri Subiakto mengatakan bahwa pemerintah dan DPR berencana segera membahas lagi rancangan undang-undang perlindungan data pribadi.

"Tentang kebocoran data pribadi di satu platform startup kita, DPR langsung menyatakan bahwa kita harus melanjutkan dan segera menyelesaikan RUU PDP," kata Henri dalam sebuah konferensi pers daring, Selasa (5/5/2020).

Henri mengatakan finalisasi RUU PDP tetap menjadi prioritas, sebab, e-commerce dan perusahaan berbasis IT lain, rentan akan serangan siber. Namun Henri belum tahu kapan tepatnya pembahasan itu akan dilanjutkan.

"Kalau kita tidak memiliki standar di UU PDP, lalu jika e-commerce berhubungan dengan pihak negara lain, itu akan menjadi pertanyaan karena Indonesia dianggap tidak aman," jelas Henri.

Indonesia bukan sama sekali tidak memiliki payung hukum soal perlindungan data pribadi. Saat ini, aturan perlindungan data pribadi dimuat dalam beberapa peraturan terpisah, seperti UU ITE atau UU Kependudukan.

Pemerintah juga telah memiliki PP 71 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Aturan ini kemudian digunakan untuk menangani kasus kebocoran data pengguna Tokopedia.

Baca juga: Apa Itu Raidforums, Situs yang Mengungkap Kebocoran Data Pengguna Tokopedia?

Dalam peraturan ini, Henri menjelaskan bahawa penyelenggara sistem elektronik harus bertanggung jawab terhadap sistemnya. Sementara pemerintah bertindak sebagai pengawas.

Dihubungi secara terpisah, Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar, mengatakan bahwa PP 71 2019 hanya memuat sanksi administratif, sementara sanksi denda dimuat dalam RUU PDP.

Djafar menjelaskan, setidaknya ada tiga sanksi yang diberikan, yakni surat peringatan, mengumumkan kasusnya ke media, dan memblokir platform.

"Jadi tidak ada tindakan-tindakan lain yang bisa dilakukan, termasuk dalam konteks memulihkan hak-hak dari pengguna," jelas Wahyudi saat dihubungi KompasTekno.

Bukan kasus pertama

Kasus kebocoran data juga pernah terjadi pada e-commerce Bukalapak tahun lalu. Seorang peretas asal Pakistan dengan nama samaran Gnosticplayers mengklaim telah mencuri 13 juta akun yang berasal dari Bukalapak.