Kasus Kebocoran Data Marak Terjadi, Bisakah Konsumen Menuntut?

KOMPAS.com - Kasus kebocoran data pribadi di dunia maya kian marak terjadi. Kasus terakhir yang terungkap belum lama ini adalah bocornya data milik pengguna RedDoorz Indonesia.

Akhir September lalu, pihak RedDoorz menemukan akses tidak sah pada sistem mereka yang berisi data pribadi pengguna.

Kemudian baru-baru ini, ethical hacker Indonesia, Teguh Aprianto mengungkap adanya 5,8 juta daya pengguna RedDoorz yang dijual seharga 2.000 dollar AS atau sekitar Rp 28,2 juta rupiah.

Data itu dijual di situs raid forum yang bisa diakses secara terbuka. Situs yang sama juga pernah menjual 91 juta data pengguna Tokopedia pertengahan tahun 2020. Adapun data pengguna RedDoorz yang bcoor adalah nama, e-mail, password bcrypt, gender, hingga nomor ponsel.

5,8 juta data pengguna https://t.co/nlnN20EauJ saat ini dijual seharga $2000 USD atau sekitar 28 juta rupiah. Insiden ini telah dikonfirmasi oleh @RedDoorzID akhir September lalu.

Data yang bocor :

- Nama
- Password (Bcrypt)
- Email
- Nomor HP
- Jenis kelamin
- Foto profil pic.twitter.com/XfHMBXitYL

— Teguh Aprianto (@secgron) November 8, 2020

Kepada KompasTekno, pihak RedDoorz mengatakan bahwa data personal dan informasi finansial pengguna, seperti informasi kartu kredit atau password yang disamarkan tidak termasuk dalam data yang dibobol.

Baca juga: Data Pengguna Aplikasi Pinjaman Online Cermati.com Disebut Bocor dan Dijual di Internet

Ini bukan kasus pertama di tahun ini. Selain Tokopedia, setidaknya ada empat kasus lain, di antaranya 2,3 juta data KPU, data 1,2 juta konsumen Bhinneka, 13 juta data pengguna Bukalapak, dan 2,9 juta data pengguna cermati.com.

Lantas, dengan Undang-Undang Perlindungan Data Pribadi (UU PDP) yang belum rampung, bisakah pengguna menuntut platform penyedia layanan jika data pribadi mereka bocor?

Tidak bisa asal tuntut

Chairman Lembaga Riset Siber Indonesia CISSReC (Communication and Information System Security Research Center), Pratama Persadha, mengatakan Undang-Undang Perlindungan Data Pribadi (UU PDP) tetaplah menjadi solusi utama.

Sebab di Indonesia, konsumen sulit untuk melakukan tuntutan hukum jika terjadi kebocoran data pribadi yang dikelola Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE), seperti platform e-commmerce dan lain lain.

Paling maksimal adalah menuntut penghentian kegiatan PSTE seperti yang diatur dalam Permenkominfo No 20 tahun 2016.

"Adapun konsumen atau masyarakat dalam posisi sangat lemah untuk meminta pertanggungjawaban PSTE," kata Pratama.

Indonesia bukan sama sekali tidak memiliki payung hukum soal perlindungan data pribadi. Saat ini, aturan perlindungan data pribadi dimuat dalam beberapa peraturan terpisah, seperti UU ITE atau UU Kependudukan.

Pemerintah juga telah memiliki PP 71 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

Dalam peraturan ini, dijelaskan bahwa penyelenggara sistem elektronik harus bertanggung jawab terhadap sistemnya. Sementara pemerintah bertindak sebagai pengawas.

Baca juga: Pembahasan RUU PDP Ditargetkan Rampung November 2020