Doxing, Data Pribadi, Sanksi Hukum, dan Kiat Mengatasinya

Dalam literatur cyberlaw, doxing adalah salah satu bentuk cybercrime. Praktik itu terjadi di berbagai negara, termasuk Indonesia. Kejahatan itu perlu menjadi perhatian semua pihak, tidak hanya pemerintah dan penegak hukum, tetapi setiap individu yang kesehariannya tidak lepas dari aktivitas daring.

Tulisan ini adalah materi ajar saya untuk mata kuliah cyberlaw di Fakultas Hukum Universitas Padjadjaran. Saya bagikan juga kepada pembaca Kompas.com untuk manfaat dan maslahat yang lebih luas.

Doxing di AS

Dilansir dari The Privacy Office US Department of Homeland Security Washington, DC, dalam rilisnya How To Prevent Online Harassment From Doxxing (2017), pelaku doxing yang disebut doxxers, bisa juga menjadikan pegawai pemerintah, penegak hukum, atau personel keamanan sebagai targetnya. Doxxers dapat melakukan peretasan, rekayasa sosial, atau aktivitas virtual berbahaya lainnya untuk mengakses data pribadi, tulis The Privacy Office AS.

Tindakan praktis yang dilakukan pelaku umumnya adalah untuk mendapatkan akses ke akun email korban. Dengan rekayasa sosial, seorang doxxer bisa mendapatkan kata sandi (password), caranya dengan berpura-pura sebagai petugas help desk atau institusi layanan internet.

The Privacy Office AS menginventarisasi, bahwa doxxer dapat melakukan hal-hal sebagai berikut: Pertama, setelah memiliki akses ke akun email seseorang, doxxer akan berusaha untuk mendapatkan data pribadi target, atau membobol akun berbasis web lainnya seperti media sosial, data online, dan bahkan catatan keuangan.

Kedua, untuk menjawab pertanyaan keamanan situs web, doxxer juga bisa menggunakan alamat email yang sama dan kombinasi kata sandi di situs lain, untuk mendapatkan akses ke akun tambahan. Doxxers dapat mengumpulkan informasi tentang individu target dari sumber internet, seperti catatan properti, postingan media sosial, obituari, pengumuman pernikahan, buletin, konferensi publik, dan forum web.

Ketiga, doxxer juga biasa mengompilasi informasi dari banyak sumber terbuka untuk mengungkapkan informasi sensitif tentang korban, seperti alamat rumah, anggota keluarga, foto, tempat kerja, informasi tentang kebiasaan, hobi, atau minat individu. Melalui cara ini dan dengan menfaatkan mosaic effect, maka informasi yang awalnya tampak biasa-biasa saja dan tidak berbahaya, dapat menjadi lain, setelah dikompilasi menjadi dokumen yang rinci.

Dalam rilis resminya University of Caifornia Berkeley AS, sebagai perguruan tinggi yang menaruh perhatian serius terkait doxing menulis, Protect yourself from Doxxing, Office of Ethics UC Berkeley (update 2023), menyatakan bahwa doxing merupakan pengumpulan informasi pribadi pengguna di berbagai platform, termasuk media sosial, yang dilakukan oleh individu secara tidak sah dan kemudian dipublikasikan.

Doxing sering kali dilakukan untuk mempermalukan individu dengan mengumbar informasi rahasia, gambar, atau video yang diperoleh dari akun pribadi korban.

UC Berkeley memberikan kiat-kiat melindungi diri dari doxing dengan beberapa langkah.

Pertama, sesuaikan pengaturan pada akun media sosial, pastikan bahwa profil, dan nama pengguna dirahasiakan. Hapus semua data alamat, tempat kerja, dan lokasi tertentu dari akun, dan ubah seting postingan ke "friend only" agar hanya bisa dilihat lebih terbatas.

Hindari membahas informasi pribadi yang dapat digunakan untuk menyerang, dan info apa pun yang dapat mengidentifikasi alamat, tempat kerja, atau informasi kontak Anda.

Kedua, gunakan virtual private network (VPN). Jika harus menggunakan wi-fi publik, matikan fungsi berbagi jaringan public yang ada di perangkat, dan gunakan password canggih (strong password).

Variasikan nama pengguna (usernames) dan password di seluruh platform yang digunakan, serta sembunyikan informasi pendaftaran domain dari WHOIS, yang bisa digunakan untuk mengetahui data dari domain tertentu, seperti nama pemilik domain, IP Address, server, dan informasi lainnya yang digunakan.

Sanksi Doxing Dalam Hukum Indonesia

Regulasi tentang cybercrime di Indonesia yang terkait dengan doxing terdapat pada Undang-Undang (UU) Nomor 19 Tahun 2016 Tentang Perubahan Atas UU Nomor 11 Tahun 2OO8 Tentang Informasi dan Transaksi Elektronik (UU ITE) yang menetapkan perbuatan yang dilarang dan sanksinya. Doxing juga diatur dalam UU Nomor 27 Tahun 2022 Tentang Pelindungan Data Pribadi (UU PDP), yang dapat diuraikan sebagai berikut:

Pertama, Pasal 30 ayat (1) jo. Pasal 46 ayat (1) UU ITE menerapkan sanksi pidana penjara paling lama 6 tahun dan denda maksimal Rp 600 juta, atas akses ilegal terhadap sistem elektronik milik orang lain dengan cara apapun.

Sedangkan pada Pasal 30 ayat (2) jo. Pasal 46 ayat 2 UU ITE mengancam hukuman pidana penjara paling lama 7 tahun dan/atau denda maksimal Rp 700 juta atas akses ilegal terhadap komputer dan/atau sistem elektronik dengan tujuan memperoleh informasi dan/atau dokumen elektronik.

Kedua, Pasal 30 ayat (3) jo. Pasal 46 ayat (3) UU ITE mengancam hukuman pidana penjara paling lama 8 tahun dan denda maksimal Rp 800 juta, atas tindakan melawan hukum melakukan penerobosan, melampaui, atau penjebolan terhadap sistem pengamanan komputer. Ancaman lebih berat berupa hukuman pidana penjara paling lama 10 tahun dan/atau denda maksimal Rp 800 juta dikenakan atas intersepsi atau penyadapan sistem elektronik milik orang lain (Pasal 31 ayat (1) jo. Pasal 47 UU ITE).

Ketiga, Pasal 32 ayat (1) jo pasal 48 ayat (1) mengancam hukuman pidana penjara paling lama 8 tahun dan denda maksimal Rp 2 miliar, atas perbuatan melawan hukum mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan, suatu informasi elektronik dan/atau dokumen elektronik milik orang lain, atau milik publik.

Keempat, Pasal 32 ayat (2) jo. Pasal 48 ayat (2) menyatakan bahwa setiap orang yang dengan sengaja dan tanpa hak, atau melawan hukum dengan cara apapun, memindahkan atau mentransfer informasi elektronik dan/atau dokumen elektronik kepada sistem elektronik orang lain yang tidak berhak, diancam dengan pidana penjara paling lama 9 tahun dan /atau denda maksimal Rp 3 miliar.

Kelima, Pasal 32 ayat (3) jo. Pasal 48 ayat (3), UU ITE mengenakan hukuman pidana penjara paling lama 10 tahun dan/atau denda maksimal Rp 5 miliar atas perbuatan membuka akses informasi elektronik yang sifatnya rahasia, sehingga dapat diakses publik. Sedangkan dalam UU PDP ketentuan meliputi larangan memperoleh atau mengumpulkan data pribadi yang bukan miliknya, dengan maksud untuk menguntungkan diri sendiri atau orang lain, yang dapat mengakibatkan kerugian subyek data pribadi.

UU PDP juga mengatur larangan mengungkapkan data pribadi yang bukan miliknya atau menggunakan data pribadi yang bukan miliknya, dengan sanksi pidana antara 4 sampai 5 tahun dan/atau denda 4 sampai Rp 5 miliar rupiah.

Ada perbedaan antara delik pada UU ITE dan UU PDP. Jika pada UU ITE pendekatannya adalah pada perbuatan yang dilakukan secara elektronik (online, virtual, digital), sedangkan pada UU PDP berlaku pada perbuatan baik elektronik maupun non-elektronik.

UU PDP adalah regulasi yang lebih mengutamakan aspek denda administratif dan perdata, ketimbang pendekatan pidana. Saatnya kita menjadikan internet dan platform digital sebagai ruang yang sehat untuk menebar kebaikan, bermanfaat, bermartabat, dan produktif.