Menyelisik Kebijakan Privasi di Indonesia
“data is the new oil”
Tidak perlu lagi menyebutkan angka-angka yang mencengangkan mengenai pertumbuhan volume data karena Anda pasti sudah sering mendengar atau membacanya. Mirip dengan minyak bumi yang menjadi primadona perusahaan energi pada masanya, saat ini data ditambang oleh berbagai perusahaan teknologi dan menjadi sumber penghasilan. Selain Gross Domestic Product, ada kepanjangan GDP yang menjadi tolok ukur produktivitas suatu negara memiliki kepanjangan baru: Gross Data Product. Sudah menjadi rahasia umum bahwa negara yang bisa menguasai pengelolaan data adalah calon pemimpin perkembangan ekonomi di masa depan.
Selama tahun 2018, keamanan data pribadi menjadi tema yang gencar diperbincangkan di dunia. Secara resmi mulai tanggal 25 Mei 2018, setiap perusahaan yang beroperasi di negara Uni Eropa memiliki kiblat baru dalam pemrosesan data pribadi bertajuk General Data Protection Law (GDPR). Di belahan dunia lainnya, skandal Cambridge Analytica membuat Facebook dalam pengawasan ketat oleh pemerintah Amerika Serikat hingga kini. Intervensi pembuat kebijakan semakin kentara terasa, termasuk juga di Indonesia.
Saat sedang mengakses beberapa portal berita, saya bertemu dengan artikel mengenai RUU Perlindungan Data Pribadi/PDP (contoh di sini dan di sini). Setelah lanjut menelaah mengenai alasan dibuatnya RUU tersebut, memang disayangkan bahwa di Indonesia, hingga saat ini, belum ada UU mengenai perlindungan data pribadi yang terpusat. Jika membandingkan dengan negara tetangga, Singapura dan Malaysia memiliki aturan mengenai data pribadi yang sudah berlaku selama beberapa tahun.
Melalui mesin pencarian, saya gagal mendapatkan draft RUU PDP yang terbaru. Entah masih relevan atau tidak, ada satu tautan yang mengacu pada sebuah dokumen terkait RUU PDP di Slideshare. Sayangnya, pada dokumen tersebut tertulis bahwa draft masih tertanggal 10 Juli 2015. Tentunya, kalau pun dokumen ini adalah dokumen yang sesungguhnya, besar kemungkinan sudah banyak pengubahan di draft terbaru. Dirundung rasa penasaran, saya memutuskan tetap membaca apa isi draft tersebut.
Membandingkan RUU PDP dengan GDPR
Mereka yang pernah membaca salinan GDPR dapat langsung merasakan kemiripannya dengan draft RUU PDP. Di mana resonansinya? Sebatas pemahaman saya tentang GDPR, ada beberapa tema penting terkandung di dalamnya yang disadur oleh RUU PDP:
- Apa yang termasuk data pribadi? Kata kunci pada RUU PDP sama persis dengan definisi di GDPR (Informasi, identifikasi).
- Siapa saja aktor yang terlibat dalam pemrosesan data pribadi? GDPR mengenal data controller dan data processor, yang hak dan kewajibannya bersinonim dengan peran “penyelenggara data” dan “pemroses data” pada RUU PDP.
- Bagaimana aturan mengelola data pribadi? Beberapa kesamaan seperti consent atau persetujuan pemilik data pribadi, pengecualian untuk beberapa kasus, dan perlakuan khusus untuk data pribadi yang dianggap sensitif (menyangkut SARA).
- Apa hak pemilik data pribadi? Bab IV dari RUU PDP memaparkan 4 hak: (saya sederhanakan menjadi) hak untuk akses, memperbaharui atau memperbaiki, melengkapi, dan pemusnahan. Dalam bahasan ini pun ada kemiripan, walau GDPR memang memiliki tambahan yang belum tercakup di RUU PDP misalnya data portability dan right to object.
Sekarang pertanyaannya: memangnya apa yang salah dengan membuat UU yang mirip dengan peraturan di negara lain? Tidak ada yang salah. Justru belajar dari negara lain yang telah lebih dulu menerapkan aturan serupa adalah langkah yang tepat. Jika saya sudah mempelajari UU perlindungan data pribadi milik Malaysia dan Singapura, maka saya akan membandingkan pula dengan keduanya untuk membentuk aturan yang paling sesuai di Indonesia. Menimbang RUU PDP yang terinspirasi oleh GDPR, saya ingin membahas mengenai tema penting yang ada di GPDR namun belum diadopsi RUU PDP yaitu purpose limitation principle.
Butuh data pribadi kita untuk apa?
Jika ada satu artikel yang wajib dipahami dari GDPR — selain artikel mengenai definisi — maka saya menganjurkan artikel 5. Artikel tersebut membahas prinsip-prinsip yang ditetapkan untuk pengolahan data pribadi; seluruh prinsip harus dipegang oleh setiap data controller/penyelenggara data. Salah satu prinsip yang tertulis pada paragraf 1(b) adalah:
collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);
Seperti halnya sumber daya lain, konsep “mendingan kebanyakan daripada kekurangan” melekat pada aktivitas pengumpulan data di banyak perusahaan. Pendekatan ini sebetulnya merugikan pemilik data karena ada kemungkinan penggunaan data pribadi untuk tujuan yang tidak diinginkan di masa depan.
Bayangkan misalnya suatu aplikasi pemesanan makanan (food delivery) memutuskan untuk bekerja sama dengan sebuah perusahaan asuransi kesehatan. Salah satu klausul perjanjian mereka adalah saling membagikan data pengguna sehingga perusahaan asuransi mengetahui jenis makanan apa saja yang anda pesan. Tiba-tiba, premi anda menjadi lebih mahal karena mereka tahu anda sering sekali memesan junk food. Tanpa pembatasan tujuan pengolahan data (‘purpose limitation’), praktik seperti ini mungkin terjadi karena bisnis perusahaan asuransi utamanya adalah meminimalisasi risiko. Tambahan data yang berkaitan dengan kesehatan memang membuat kalkulasi mereka lebih baik, tapi apakah ini adil untuk pemilik data pribadi yang awalnya tidak tahu bahwa makanan yang mereka pesan berpengaruh pada premi asuransi?
Singkat cerita, pemilik data berhak mengetahui dan menentukan data apa yang mereka berikan dan juga untuk apa data tersebut digunakan. Tanpa batasan yang jelas, korporasi dapat mengeksploitasi data personal: kumpulkan sebanyak-banyaknya selagi bisa, pikirkan pemakaiannya — dan risikonya — belakangan.
Penggunaan Data Personal
Seberapa bahayakah absennya peraturan tentang pengelolaan data pribadi di Indonesia? Untuk mengetahui apakah perusahaan di Indonesia sudah memperhitungkan pentingnya pengawasan data personal, saya mencoba menelaah kebijakan privasi di 3 perusahaan rintisan: Gojek, Tokopedia, dan Bukalapak. 3 perusahaan ini cocok untuk dijadikan studi kasus sebagai garda depan perusahaan teknologi di Indonesia yang bergantung pada data pengguna dalam berinovasi. Secara khusus, ada dua pertanyaan yang ingin dijawab: (1) data personal apa yang diolah, (2) apa tujuan pengolahan data personal tersebut.
Dicuplik pada 6 Februari 2019
Melalui laman kebijakan privasi yang tersedia dalam dua bahasa, Gojek memberikan justifikasi yang lengkap mengenai data personal apa saja yang diolah. Data yang sudah jelas dibutuhkan seperti geo-location mendapat perhatian khusus dan perannya dijabarkan secara lengkap. E-mail dan nomor telepon juga dibutuhkan untuk komunikasi dengan pengguna. Kita dapat memahami, sebagai pengguna atau penyedia layanan, bahwa informasi tersebut memang dibutuhkan demi operasional aplikasi Gojek.
Satu hal yang menarik adalah praktik “jaga-jaga” — yang sebetulnya tidak asing dalam berbagai kebijakan — dipakai Gojek untuk mendaftar data apa saja yang dikumpulkan. Bisa kita perhatikan dua cuplikan paragraf berikut:
(2.8) …Sehubungan dengan fasilitas uang elektronik yang mungkin tersedia dalam Aplikasi, Kami akan mengumpulkan informasi terkait transaksi uang elektronik tersebut oleh Anda, termasuk namun tidak terbatas pada nama bank, nama pemegang rekening, nomor rekening dan jumlah dana yang ditransaksikan melalui fasilitas uang elektronik tersebut…
(2.11) …Ketika Anda menggunakan Aplikasi melalui perangkat bergerak/mobile device Anda, Kami akan melacak dan mengumpulkan informasi geo-location secara real-time dan informasi lainnya yang relevan untuk menunjang efisiensi kinerja dan fungsi Aplikasi…
Implikasinya, dengan alasan kebutuhan aplikasi uang elektronik dan menunjang efisiensi kinerja dan fungsi aplikasi, Gojek berhak mengumpulkan data yang mereka anggap relevan, bahkan tanpa persetujuan tambahan dari pengguna. Lalu, apa kegunaan data personal yang dikumpulkan oleh Gojek? Terdapat beberapa paragraf yang juga tidak spesifik, misalnya:
(2.2) …Sebagai tambahan, dalam beberapa hal, browser dapat menyarankan Anda agar mengaktifkan fungsi geo-location Anda untuk memungkinkan Kami memberikan Anda suatu pengalaman yang lebih baik dalam menggunakan internet dan/atau Aplikasi…
Tentu saja sebagai sebuah perusahaan akan berusaha memberikan pengalaman terbaik untuk pengguna. Sebagai konteks, data personal yang dibahas pada poin ini adalah geo-location pada browser. Secara awam, kita dapat mengira-ngira bahwa salah satu tujuan yang masuk akal adalah untuk menentukan secara otomatis bahasa yang digunakan pada website tergantung lokasi pengguna. Namun, karena bahasa yang tidak spesifik, kita tidak memastikan batasan pemakaian data geo-location pada browser. Kita bisa mendapatkan penjelasan tambahan mengenai “pengalaman yang lebih baik” pada bagian berikutnya:
(3.2) …Kami menggunakan geo-location dan informasi tujuan Pelanggan untuk (i) menemukan Penyedia Layanan yang berada di sekitar Pelanggan; (ii) membantu Penyedia Layanan memperhitungkan biaya; dan (iii) menganalisa pola penggunaan Aplikasi untuk meningkatkan kinerja Aplikasi.
(3.5) …Kami menggunakan Informasi Pribadi secara keseluruhan untuk menganalisa pola penggunaan Aplikasi. Anda dengan ini setuju bahwa data Anda akan digunakan oleh sistem pemrosesan data internal Kami untuk memastikan diberikannya fungsi yang terbaik dalam Aplikasi untuk Anda.
Poin 3.2.iii dan 3.5 terlihat seperti klausul “lain-lain” yang disiapkan oleh Gojek. Utamanya, kedua poin tersebut bisa digunakan sewaktu-waktu untuk melindungi kegiatan analisis data pada data apapun yang dimiliki. Paragraf 3.5 adalah yang perlu diperhatikan dengan seksama, karena dengan satu persetujuan maka pihak perusahaan berhak memproses seluruh informasi pribadi yang dimiliki dengan tujuan yang sangat luas: fungsi yang terbaik dalam aplikasi.
2. Tokopedia
Dicuplik pada 6 Februari 2019
Kebijakan privasi yang diterapkan oleh Tokopedia secara sekilas lebih detil daripada Gojek. Satu persatu kategori data pribadi dijabarkan dengan lengkap. Contoh spesifik dari data yang dikumpulkan adalah sebagai berikut
Perolehan dan Pengumpulan Data Pengguna
(2d) Data perangkat, diantaranya jenis perangkat yang digunakan untuk mengakses Situs, termasuk model perangkat keras, sistem operasi dan versinya, perangkat lunak, nama file dan versinya, pilihan bahasa, pengenal perangkat unik, pengenal iklan, nomor seri, informasi gerakan perangkat, dan/atau informasi jaringan seluler;
(2e) Data catatan (log), diantaranya catatan pada server yang menerima data seperti alamat IP perangkat, tanggal dan waktu akses, fitur aplikasi atau laman yang dilihat, proses kerja aplikasi dan aktivitas sistem lainnya, jenis peramban, dan/atau situs atau layanan pihak ketiga yang Anda gunakan sebelum berinteraksi dengan Situs.
Dengan memberikan secara rinci data apa saja yang dikumpulkan, sebagai pelanggan kita bisa menentukan apakah data tersebut memang diperlukan untuk operasional aplikasi/web atau tidak. Misalnya, pada poin 2e kita mendapatkan bahwa mereka menyimpan “situs atau layanan pihak ketiga” yang kita akses sebelum situs Tokopedia. Sekali lagi: apakah data ini penting dan untuk apa data ini dikumpulkan? Saya mengasumsikan data tersebut digunakan untuk kebutuhan analisis referral dengan tujuan pemasaran, tetapi tidak bisa dipastikan hanya melalui teks kebijakan privasi.
Biarpun secara umum cukup rinci, Tokopedia menyukai tambahan prosa “lain-lain” dalam daftar data personal yang dikumpulkan. Beberapa contoh:
Perolehan dan Pengumpulan Data Pengguna
(1f) Mengisi data-data pembayaran pada saat Pengguna melakukan aktivitas transaksi pembayaran melalui Situs, termasuk namun tidak terbatas pada data rekening bank, kartu kredit, virtual account, instant payment, internet banking, gerai ritel;
(2a) Data lokasi riil atau perkiraannya seperti alamat IP, lokasi Wi-Fi, geo-location, dan sebagainya;
(2b) Data berupa waktu dari setiap aktivitas Pengguna, termasuk aktivitas pendaftaran, login, transaksi, dan lain sebagainya;
Selain karena batasannya yang tidak jelas, poin 1f menarik perhatian karena tertulis bahwa Tokopedia menyimpan data kartu kredit pengguna. Lebih tepatnya data apa yang disimpan juga tidak tertulis, sehingga jelas keamanan dari penyimpanan data harus memenuhi standar penyimpanan data finansial. Poin 2a dan 2b sebetulnya bisa dianggap wajar, terutama pada 2b tertulis bahwa data yang dikumpulkan hanya “waktu” dari aktivitas. Bagaimanapun, poin 2a mengimplikasikan bahwa Tokopedia berhak mengumpulkan data personal apapun yang bisa memberikan lokasi riil atau perkiraan dari pengguna. Apakah IP dan geo-location tidak cukup?
3. Bukalapak
Dicuplik pada 8 Februari 2019
Mengacu pada laman kebijakan privasi yang tersedia di website Bukalapak, saya mendapatkan penjelasan yang relatif singkat dibanding 2 perusahaan sebelumnya. Untuk menjawab data apa saja yang diolah dan apa tujuannya, berikut informasi yang diberikan:
Kebijakan privasi yang dimaksud di Bukalapak adalah acuan yang mengatur dan melindungi penggunaan data dan informasi penting para Pengguna Bukalapak. Data dan informasi yang telah dikumpulkan pada saat mendaftar, mengakses, dan menggunakan layanan di Bukalapak, seperti alamat, nomor kontak, alamat e-mail, foto, gambar, dan lain-lain.
Kebijakan-kebijakan tersebut di antaranya:
…Bukalapak tunduk terhadap kebijakan perlindungan data pribadi Pengguna sebagaimana yang diatur dalam Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik yang mengatur dan melindungi penggunaan data dan informasi penting para Pengguna…
…Bukalapak melindungi segala informasi yang diberikan Pengguna pada saat pendaftaran, mengakses, dan menggunakan seluruh layanan Bukalapak…
…Bukalapak berhak menggunakan data dan informasi para Pengguna demi meningkatkan mutu dan pelayanan di Bukalapak…
Data apa saja yang diolah? Jika hanya berdasarkan poin di atas: data apapun yang diberikan pengguna selama pendaftaran, mengakses, dan menggunakan.
Apa makna “diberikan pengguna” disini, apakah hanya data yang diisi atau mencakup aktivitas pengguna selama di web/aplikasi? Kegiatan apa saja yang termasuk di dalam “meningkatkan mutu dan pelayanan”?
Kebijakan privasi yang tidak spesifik memunculkan pertanyaan-pertanyaan terkait penggunaan data pribadi yang dikumpulkan. Semoga Bukalapak segera memperjelas informasi mengenai data pribadi yang dikumpulkan dan tujuan pengolahannya.
Pemrosesan yang Proporsional
Untuk apa sih peduli dengan kebijakan privasi, kayak ada yang baca aja? Biasanya juga langsung klik “setuju”.
Saya bisa membayangkan bahwa banyak dari pengguna layanan daring di Indonesia masih berpikir bahwa privasi bukan hal yang perlu mendapat perhatian. Ditambah lagi belum ada aturan yang memayungi keamanan pengelolaan data, sebelum RUU PDP disahkan. Kita tidak bisa begitu saja berserah kepada pemerintah untuk menjaga data personal kita, kesadaran sebaiknya muncul dari diri kita sendiri. Risiko kebocoran data, bias/diskriminasi, ataupun manipulasi menghantui praktik yang berat sebelah.
Sebagai pelanggan, kita perlu memastikan bahwa pengolahan data yang dilakukan oleh perusahaan proporsional terhadap layanan yang diterima. Makna proporsional di sini adalah memperhatikan hak dari pengguna sebagai individu dan hanya mengolah data yang memang diperlukan untuk tujuan yang telah disepakati. Misalnya, data gaji atau tempat tinggal dapat membantu meningkatkan performa aplikasi, tetapi apakah keuntungan yang didapatkan pengguna sebanding dengan risiko kebocoran data dan tindakan diskriminasi — baik disengaja ataupun tidak — yang mungkin terjadi? Masih ingat dengan kasus teror oleh perusahaan fintech ilegal? (baca di sini dan di sini)
Memiliki kebijakan privasi yang spesifik adalah langkah awal untuk menghadirkan lingkungan pengolahan data yang sehat. Pertama, pastikan kejelasan penggunaan data yang termasuk kategori data personal (terutama data sensitif, seperti agama, suku, dan orientasi politik). Kedua, kebijakan privasi mesti mengandung tujuan pengolahan setiap data personal secara spesifik. Menimbang bahwa data yang diberikan pengguna merupakan kontributor bagi profit, maka perusahaan sudah semestinya ikut berperan dalam mengedukasi tentang pentingnya data personal. Salah satu upaya misalnya dengan menghadirkan aturan yang komprehensif namun tetap mudah dimengerti oleh pengguna.
Bagi perusahaan, data adalah bahan mentah yang bisa diolah menjadi sumber uang. Sudah waktunya sebagai pengguna pun memperlakukan data personal masing-masing sebagai identitas yang bernilai.
