Database pengaduan Komisi Perlindungan Anak Indonesia (KPAI) mengalami kebocoran setelah informasi hal tersebut tersebar di media sosial yang pertama kali dikabarkan oleh akun Twitter @txtdarionlshop. Akun tersebut menemukan salah satu akun bernama C77 menjual dua file database pengaduan KPAI dengan nama “Leaked Database KPAI” di situs Raidforums, yang diunggah pada 13 Oktober 2021.
KPAI mengakui dan sedang menyelidiki kebocoran data tersebut. Selain itu, KPAI juga telah melaporkan kepada Direktorat Tindak Pidana Siber Bareskrim Mabes Polri pada 18 Oktober. Selain itu, KPAI juga menyurati Badan Siber dan Sandi Negara dan Kementerian Komunikasi dan Informatika pada 19 dan 21 Oktober.
“Menindaklanjuti surat tersebut, Direktorat Siber Mabes Polri dan Badan Siber dan Sandi Negara telah berkoordinasi dengan KPAI untuk langkah–langkah selanjutnya dan KPAI telah melakukan mitigasi untuk menjaga keamanan data. Adanya kasus pencurian data ini tidak mengganggu layanan pengaduan KPAI. Layanan tetap berjalan dan aman,” jelas Ketua KPAI, Susanto dalam keterangan persnya, Jumat (22/10).
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar, menyayangkan kebocoran data pribadi pada lembaga negara tersebut. Dia menjelaskan berdasarkan sampel data yang diunggah, data yang diduga mengalami kebocoran meliputi 13 elemen data pribadi (nama, nomor identitas, email, telepon, pekerjaan, pendidikan, tempat dan tanggal lahir, alamat, kota, provinsi, dan kewarganegaraan), serta sejumlah data pribadi yang bersifat sensitif (agama dan jenis kelamin).
Dia menilai berulangnya insiden kebocoran data ini memperlihatkan lemahnya sistem perlindungan data pribadi dan mekanisme penegakannya. Bahkan akun C77 yang menjual database pengaduan KPAI, dalam unggahannya di Raidforums menyatakan, bahwa situs lembaga negara rentan diretas, terutama yang menggunakan domain ‘go.id’. (Baca: Urgensi Dunia Hukum Mengejar Kecepatan Transformasi Siber)
Padahal mengacu pada Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik, semestinya sistem elektronik pemerintah telah menerapkan sistem keamanan yang kuat, termasuk memastikan perlindungan data pribadi yang diprosesnya. “KPAI yang memiliki mandat untuk melakukan monitoring realisasi hak anak, semestinya bekerja berdasarkan pendekatan berbasis hak anak atau child rights-based approach, termasuk dalam melakukan pemrosesan data pribadi terkait anak,” terang Wahyudi.
Pendekatan tersebut merupakan kerangka komprehensif yang mengatur semua tindakan yang berkaitan dengan anak dan seluruh institusi HAM nasional. Monitoring dengan pendekatan berbasis hak anak bertumpu pada sejumlah prinsip utama, termasuk di dalamnya ketentuan jangan membahayakan atau do no harm, menghormati harkat dan martabat anak, kepentingan terbaik bagi anak, serta perlindungan dan kerahasiaan. Khusus terkait dengan pelaksanaan prinsip perlindungan dan kerahasiaan, seluruh Interaksi dengan anak-anak selama proses pemantauan, harus mencakup aspek perlindungan terhadap hak anak di dalamnya.
“KPAI harus memiliki kemampuan untuk mengambil tindakan apabila mengetahui bahwa anak-anak terkena risiko yang signifikan. Selain itu, kerahasiaan informasi yang dikumpulkan dari individu, dan pengelolaan data pribadi, merupakan bagian integral dari strategi perlindungan yang baik, yang juga berlaku untuk staf KPAI dan orang lain yang mungkin terlibat,” tambah Wahyudi.
Dia menyarankan laporan pemantauan perlu disusun sedemikian rupa untuk melindungi sumber dan menghindari merujuk atau mengidentifikasi pada individu tertentu. Sebab, menurut Wahyudi, kasus kebocoran tersebut menunjukkan kegagalan KPAI menjalankan mandat pemantauan hak anak berdasarkan pendekatan berbasis hak anak.
“Dalam konteks perlindungan data pribadi sendiri, insiden kebocoran tersebut menunjukan bahwa KPAI belum sepenuhnya menerapkan prinsip-prinsip perlindungan data pribadi terhadap pemrosesan data pribadi yang dilakukannya. Terutama terkait dengan prinsip integritas dan kerahasiaan, yang salah satunya diturunkan dengan penerapan sistem keamanan yang kuat untuk mencegah terjadinya kebocoran,” kata Wahyudi.
Kekosongan rujukan hukum perlindungan data pribadi yang komprehensif dinilai menjadi alasan utama belum patuhnya pengendali data, termasuk badan publik, terhadap prinsip-prinsip perlindungan data pribadi. Sehingga, Wahyudi menegaskan karenanya keberadaan UU Perlindungan Data Pribadi penting disegerakan, agar lebih tegas mengatur kewajiban pengendali dan pemroses data, termasuk tindakan yang harus dilakukan dalam memastikan terlindunginya hak-hak subyek data.
Sebagai pengendali data, Wahyudi menerangkan KPAI setidaknya memiliki enam kewajiban utama dalam pemrosesan data pribadi, yakni tanggung jawab dan kepatuhan, memastikan keamanan pemrosesan, merekam kegiatan pemrosesan, kerahasiaan data pribadi, pemberitahuan ketika terjadi pelanggaran, dan melakukan penilaian dampak perlindungan data. Selain kewajiban di atas, jika secara khusus melakukan pemrosesan data anak, KPAI juga berkewajiban untuk menerapkan langkah-langkah perlindungan khusus untuk memastikan keamanan data pribadi anak.
“Insiden kebocoran data yang terjadi di KPAI sesungguhnya menunjukkan betapa rentannya potensi eksploitasi terhadap data pribadi anak. Risiko inilah yang mendorong adanya klausul khusus perlindungan data pribadi anak atau the protection of minors dalam sebuah legislasi perlindungan data pribadi,” jelas Wahyudi.
Dia menerangkan pengaturan ini berpijak dari pertimbangan, anak mungkin kurang menyadari risiko, konsekuensi, serta perlindungan dan hak-hak mereka sehubungan dengan pemrosesan data pribadinya. Sebagai contoh, di Eropa, apabila anak di bawah usia 16 tahun, pemrosesan data pribadinya akan sah jika dan sejauh persetujuan itu diberikan atau disahkan oleh orang tua atau pengampu atas anak tersebut.
Persetujuan tersebut tidak diperlukan hanya dalam konteks layanan pencegahan atau konseling yang ditawarkan langsung kepada anak. Sayangnya, RUU Perlindungan Data Pribadi yang saat ini dibahas di DPR masih luput mengatur standar perlindungan khusus terhadap pemrosesan data pribadi anak.
RUU justru menempatkan data anak sebagai data sensitif, padahal secara prinsipil pemrosesan terhadap data sensitif adalah dilarang, kecuali memenuhi persyaratan tertentu, salah satunya melalui persetujuan jelas atau explicit consent dari subjek datanya. Hal yang menjadi tantangan pemerolehan explicit consent dari anak yang statusnya masih di bawah pengampuan orang tua atau walinya. Padahal pemrosesan data pribadi anak adalah suatu hal yang niscaya dilakukan saat ini, misalnya untuk kepentingan pendidikan, kesehatan, atau ketika anak tersebut akan menggunakan aplikasi teknologi, seperti media sosial atau bermain game.
Menimbang situasi di atas, ELSAM merekomendasikan KPAI segera mengambil langkah-langkah khusus untuk memastikan insiden kebocoran data pribadi yang terjadi tidak menimbulkan pelanggaran hak lebih lanjut, termasuk memastikan perbaikan sistem keamanan dalam pemrosesan data pribadi untuk mencegah kebocoran data berulang. Kemudian, KPAI diimbau mengambil langkah-langkah pemulihan terhadap kemungkinan kerugian yang dialami oleh subyek data akibat insiden kebocoran data yang terjadi.
Sedangkan, BSSN perlu melakukan proses investigasi secara tuntas, untuk kemudian dapat memberikan rekomendasi perbaikan sistem keamanan, sebagai bagian dari memastikan keamanan sistem pemerintahan berbasis elektronik yang handal. Lalu, DPR dan Pemerintah memastikan adanya pengaturan khusus perlindungan data pribadi anak atau the protection of minors, dalam RUU PDP, dengan mengacu pada pendekatan berbasis hak anak.