Data Pribadi, ”Uranium”, dan RUU Perlindungan Data Pribadi Antony Lee ; Wartawan Kompas

                                                         KOMPAS, 14 April 2021

 

 

                                                           

Pengistilahan data sebagai ”minyak baru” di ekonomi digital semakin banyak muncul di ruang publik, termasuk di Indonesia. Istilah itu mengisyaratkan adanya peluang ekonomi. Belakangan muncul pula perspektif bernuansa lebih mawas, bahwa alih-alih  ”minyak”, data dianggap lebih dekat dengan ”uranium” yang sulit disimpan dan punya konsekuensi berbahaya jika tak terkelola baik.   Di Indonesia, pengaturan pengelolaan data pribadi dengan menempatkan individu sebagai subyek yang berkuasa atas datanya masih digodok di Dewan Perwakilan Rakyat (DPR) melalui Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP). RUU ini tentu belum sempurna, tetapi secara prinsip telah menempatkan pemilik data sebagai subyek yang harus dimintai persetujuannya, misalnya setiap akan ada pemindahan data, oleh pengelola data; baik pemerintah maupun pihak swasta.   Selain itu, ada pengaturan kewajiban bagi pengelola data untuk benar-benar memastikan data pribadi tidak disalahgunakan. Sanksi terhadap pelanggarnya juga diatur di RUU ini. Hanya saja, setelah melewati tiga masa sidang, RUU ini belum juga tuntas dibahas. Ada sejumlah isu yang belum disepakati pemerintah dan DPR. Salah satunya soal apakah lembaga yang berwenang mengawasi implementasi regulasi itu dibawah kendali lembaga negara yang sudah eksis atau dipegang oleh badan independen baru.   Perdebatan yang berujung pada belum rampungnya RUU PDP ini membuat Indonesia tertinggal dari cukup banyak negara yang lebih dahulu menetapkan regulasi perlindungan data pribadi.   Setidaknya 128 dari 194 negara di dunia yang memiliki legislasi perlindungan data pribadi. Hal ini berpotensi menimbulkan kendala bisnis dan kerja sama yang melibatkan data pribadi warga negara Indonesia di tingkat regional ataupun internasional (Kompas, 23/3/2021).   Lebih dari itu, hal ini juga membuat data pribadi lebih dari 200 juta penduduk Indonesia tidak terlindungi dengan maksimal. Kebocoran data, pencurian data, dan pemanfaatan data pribadi tanpa persetujuan pemilik data demi kepentingan monetasi oleh pengelola data rentan terjadi karena tak ada mekanisme pencegahan, mitigasi risiko, serta pengawasan dan sanksi yang tegas.   Sadar ataupun tidak, kita terus-menerus menghasilkan data, terutama di era di mana manusia semakin terhubung dengan perangkat teknologi informasi. Data pribadi tidak lagi sebatas informasi ”konvensional” seperti nama, alamat rumah, tempat tanggal lahir, dan nomor induk kependudukan. Telepon genggam pintar atau jam tangan pintar yang bisa mengukur detak jantung, aktivitas olahraga, kualitas dan waktu tidur, pencarian di laman daring, media sosial, perjalanan, dan lokasi, semua mengalirkan data pribadi kita secara terus-menerus ke berbagai penyedia platform.   Ilustrasi data lokasi   Data pribadi terkesan teknis dan berada di awang-awang sehingga terkadang tak dianggap benar-benar penting oleh masyarakat. RUU Perlindungan Data Pribadi, misalnya, mendefinisikan data pribadi sebagai ”setiap data tentang seseorang baik yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasikan dengan informasi lain baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik”.   Untuk mengilustrasikan data pribadi yang dikumpulkan penyedia platform dalam bentuk yang lebih mudah dipahami, saya mencoba menggunakan salah satu bagian kecil dari data pribadi saya yang dikumpulkan Google, yakni lokasi. Data tersebut saya ambil dari Google Takeout. Melalui layanan ini, pengguna bisa mengakses data pribadinya yang dikumpulkan Google.   Ada banyak data yang bisa dipilih, seperti lokasi, peta, foto, dan lain-lain. Dari Google Takeout, saya mengambil file riwayat poin data lokasi (location history) yang dikumpulkan Google dari perangkat elektronik saya dari tahun 2014 sampai awal April 2021. Sebagai catatan, General Data Protection Regulation Uni Eropa (GDPR) menyebut data lokasi sebagai data pribadi.   Data berformat JSON (JavaScript Object Notation) itu mencapai 608 megabit (MB). Data kemudian diolah dan divisualisasikan menggunakan pemrograman R melalui RStudio. Ada sejumlah paket R yang digunakan, antara lain, jsonlite, tidyverse, ggmap, dan ggplot2. Sebagian kode untuk analisis Google Location History direplikasi dari kode yang dibuat Martijn van Vreeden (2020). Namun, dengan sejumlah modifikasi.   Setelah data dalam format JSON itu diimpor dalam format yang bisa dibaca pemrograman R, ukuran file data menjadi 2,6 gigabit (GB). Data file merekam poin lokasi saya dari 8 Februari 2014 sampai 3 April 2021. Data mencakup, antara lain, waktu, tanggal, ketinggian, posisi garis lintang (latitude), garis bujur (longitude), kecepatan, serta aktivitas dan akurasi prakiraannya. Aktivitas yang ditandai, antara lain, berjalan kaki, diam, naik sepeda, atau sedang di kendaraan.   Hasil olah data menunjukkan, dalam kurun waktu sekitar delapan tahun, Google mengumpulkan 1,65 juta titik poin lokasi saya. Jumlah titik poin yang dikumpulkan jumlahnya tidak sama setiap hari. Namun, apabila diambil rata-rata, ada 764 poin data yang dikumpulkan tiap hari. Hal itu berarti ada satu titik data yang direkam Google setiap dua menit. Ada empat hari di mana Google mengumpulkan titik data lebih dari 4.000 dalam sehari, yakni tiga hari di tahun 2019 dan satu hari di tahun 2020.   Selain itu, apabila data dikelompokkan per pekan, antara tahun 2019 dan 2021, terlihat ada penurunan drastis poin data yang dikumpulkan di pekan ke-13 di tahun 2020, dibandingkan pekan-pekan sebelumnya. Setelah itu, jumlah poin data tersebut cenderung rendah hingga tahun 2021.   Pekan ke-13 di tahun 2020, ada di akhir Maret. Sebagai catatan, di awal Maret pemerintah mengumumkan temuan kasus Covid-19 di Indonesia, sedangkan pembatasan sosial berskala besar (PSBB) pertama di Jakarta berlangsung awal April. Namun, harian Kompas sudah menerapkan kerja dari rumah sebelum PSBB berlangsung, pada pertengahan atau akhir Maret. Penurunan data poin ini  memberi sinyal perjalanan saya berkurang drastis setelah pandemi Covid-19.   Selain itu, data poin lokasi tersebut apabila disandingkan dengan peta, bisa menunjukkan kecenderungan di lokasi mana saja pemilik data berada. Saya memvisualisasikan hal ini menggunakan data tahun 2014, saat saya tinggal di Lund, kota kecil di bagian selatan Swedia untuk studi. Alasan pemilihan tahun dan lokasi itu sederhana saja, karena saya sudah tak lagi berada di sana.   Dari peta visualisasi data dengan skala kota, terlihat titik merah yang merepresentasikan poin lokasi, banyak berada di pusat kota, di sekitar area Kampus Lund University. Selain itu, poin lokasi cukup banyak di sisi utara karena pada pertengahan tahun 2014 saya mulai pindah tempat tinggal dari akomodasi kampus di pusat kota ke apartemen di sisi utara kota.   Saat peta tersebut dipersempit di pusat kota, terlihat titik merah banyak terkumpul pada dua sumbu lokasi yakni di Universitetsbiblioteket atau perpustakaan universitas serta di Lunds stadsbibliotek, yakni perpustakaan yang dikelola Pemerintah Kota Lund.   Kedua area tersebut memang menjadi lokasi favorit saya membaca dan mengerjakan tugas kuliah. Dua lokasi itu juga relatif berdekatan. Keduanya juga mengapit gedung-gedung yang menjadi lokasi perkuliahan. Data poin lokasi tersebut dalam skala tertentu bisa menunjukkan ”kebiasaan” dan pola perilaku.   Selain itu, dengan data yang sama, juga bisa terlihat rute perjalanan. Sebagai contoh, saya menyaring data poin lokasi hanya di satu hari saja, yakni pada 10 September 2014. Di satu hari itu, ada 754 poin lokasi yang dikumpulkan Google.   Setelah dipadukan dengan peta, kemudian poin-poin lokasi dihubungkan berdasar alur perjalanan, terlihat rute perjalanan yang saya lalui di satu hari itu. Ada dua titik utama yang terhubung, yakni di pusat kota, di area Kampus Lund University, serta di area Norra Faladen, di bagian utara kota, tempat saya tinggal.   Rute perjalanan dari apartemen ke kampus, kemudian dari kampus ke apartemen juga bisa terlihat dari data tersebut. Jalan mana yang dilewati terlihat. Tidak hanya itu, peta perjalanan saya menuju Willys, supermarket yang berada tak jauh dari apartemen juga tergambar dari untaian poin-poin data lokasi tersebut.   Kebiasaan lain yang bisa terlihat dari data Google Location History ialah jenis aktivitas yang dilakukan penggunanya pada saat titik data lokasi itu dikumpulkan. Memang prakiraan ini tidak 100 persen akurat, karena Google juga memberikan beberapa probabilitas aktivitas untuk tiap poin data lokasi.   Namun, data ini setidaknya dalam skala tertentu juga bisa memberikan prakiraan ”profil” seseorang. Selain itu, juga ada data kecepatan dan jarak yang ditempuh yang juga bisa dikalkulasi dari data tersebut.   Data sebagai ”uranium”?   Data Google Location History bagian kecil saja dari data individual yang dikumpulkan oleh penyedia platform digital. Google juga sudah memiliki regulasi terkait privasi penggunanya. Hal ini, misalnya, tergambar dari dokumen Google Privacy Policy setebal 28 halaman yang diperbarui pada 4 Februari 2021. Kebijakan privasi itu merupakan pengembangan secara bertahap dari kebijakan-kebijakan sebelumnya. Kebijakan pertama yang disebut di laman terkait kebijakan privasi Google ialah 9 Juni 1999.   Kendati perusahaan digital raksasa itu sudah lama memiliki kebijakan privasi, di sejumlah negara beberapa tahun terakhir muncul tuntutan terkait cara Google mengumpulkan data. Beberapa negara memiliki lembaga yang benar-benar mengawasi perlindungan data warga negaranya.   Beberapa contoh disebut Katharine Kemp, pengajar senior di Fakultas Hukum the University of New South Wales, Sydney, Australia, dalam tulisannya The ACCC is Suing Google Over Tracking Users. Here’s Why It Matters (theconversation.com, 29/10/2019).  Pada 2019, The Australian Competition and Consumer Commission (ACCC) menuntut Google karena dinilai memberi pengertian yang salah pada penggunanya soal kebijakan pengumpulan dan penggunaan data pribadi pada tahun 2017-2018.   Pangkal persoalannya, Google dianggap tidak secara patut mengungkapkan bahwa ada dua pengaturan berbeda yang harus dimatikan apabila penggunanya tidak ingin Google menyimpan dan menggunakan data lokasi mereka. Selain itu, juga karena tidak mengungkapkan bahwa data lokasi personal itu bisa digunakan untuk sejumlah tujuan yang tidak terkait dengan layanan Google yang digunakan penggunanya. Juru bicara Google menolak tuduhan itu.   Data pribadi menjadi penting bagi penyedia platform karena diperlukan untuk menghasilkan profil personal yang detail. ”Profil itu kemudian digunakan untuk menjual pelayanan periklanan,” ungkap Katharine dalam tulisannya.   Bentuk data pribadi tidak hanya kebiasaan. Namun, pemikiran yang diutarakan di media sosial dan kecenderungan mengomentari atau menyukai sesuatu, juga bisa disimpan dan diolah untuk membentuk profil seseorang.   Beberapa tahun lalu, dunia digegerkan oleh kasus Cambridge Analytica, yakni penggunaan data pribadi jutaan pengguna Facebook yang digunakan untuk memprofil dan menargetkan mereka dengan pesan politik maupun misinformasi tanpa persetujuan pemilik data (theguardian.com, 17/3/2019).   Data memang komoditas baru yang bisa menggerakkan ekonomi digital. Ungkapan bahwa data menjadi ”minyak baru” atau ”emas baru” cukup sering muncul dari para elite pemerintahan maupun sektor swasta. Istilah itu mengungkapkan adanya kesempatan besar yang bisa muncul dari pengumpulan dan pengolahan data individual. Misalnya untuk kepentingan iklan online yang sudah disesuaikan dengan profil detail target market pengiklan.   Peter Lewis dalam What If Our Personal Data is Less the ”New Oil”, and More Like Uranium? di theguardian.com (20/11/2019) mengungkapkan, hasil survei di Australia menunjukkan bahwa alternatif analogi energi dengan pengumpulan data pribadi lebih mirip dengan uranium ketimbang minyak.   Data pribadi disebut Peter sulit disimpan, berbahaya saat digunakan, dan hampir mustahil untuk dihilangkan dengan aman. Pengumpulan data pribadi juga berdampak pada individu pemilik data maupun kepada masyarakat yang harus hidup dengan konsekuensi ”radioaktif”-nya.   Kesadaran warga yang tinggi atas isu perlindungan data pribadi yang diikuti adanya regulasi yang kuat serta pengawasan dan penegakan hukum yang tegas di sejumlah negara patut jadi refleksi pembuat undang-undang di Indonesia. Sudah saatnya DPR dan pemerintah mengakselerasi pembahasan RUU Perlindungan Data Pribadi.   Sebab, semakin lama Indonesia tak memiliki UU Perlindungan Data Pribadi yang komprehensif dan jelas, berikut lembaga pengawas yang berperan mengeksekusi UU itu, makin besar potensi data pribadi warga negara Indonesia  disalahgunakan.   Pada saat membahas isu-isu yang berpotensi menyebabkan kebuntuan, DPR dan pemerintah perlu kembali mempertimbangkan tujuan utama penyusunan RUU Perlindungan Data Pribadi. Selain itu, menjadi penting bahwa mereka bertanya; pengaturan mana yang paling baik untuk kepentingan masyarakat? Pengaturan mana yang lebih mampu melindungi data pribadi masyarakat dari penyalahgunaan? ●