Kedua, dari sisi regulasi. Otoritas Jasa Keuangan (OJK) sendiri baru saja menerbitkan POJK No.21 Tahun 2023 tentang Layanan Digital oleh Bank Umum. Regulasi ini memiliki kompleksitas dan konsekuensi hukum tersendiri yang harus dipahami oleh para pihak yang bergerak di bidang perbankan.
Adapun beberapa ketentuan yang memiliki konsekuensi hukum yakni data terkait two factor authentication, salah satunya something you are, dan pemanfaatan data yang disediakan oleh lembaga yang berwenang. Dalam konteks ini, bank wajib melindungi kerahasiaan data nasabah oleh bank, kecuali untuk kepentingan perpajakan, penyelesaian piutang bank, kepentingan peradilan pidana, dan perkara perdata antar bank. (Pasal 40 (1) UU No. 10/1998)
Lalu terkait kolaborasi. Aspek perjanjian kerjasama dengan mitra Bank, dengan prinsip resiprokal dalam pemanfaatan data nasabah, tanggung jawab keamanan data nasabah. Terkait hal ini, Bagus mengingatkan perlunya customer consent terlebih dahulu untuk penggunaan informasi data pribadi melalui media elektronik. Pelanggaran atas ketentuan ini, orang yang dirugikan dapat menggugat kerugian (Pasal 26 UU ITE).
Kemudian data terkait prinsip pengamanan data dan transaksi nasabah dalam pemanfaatan TI. Dalam hal ini, bank bertanggung jawab terhadap kerahasiaan data calon nasabah dalam proses verifikasi (Pasal 22 ayat (4) POJK 8/2023).
Dan terakhir adalah Penggunaan tanda tangan elektronik dan adopsi TI dengan cybersecurity. Perlunya perlindungan data pribadi sebagai privacy rights di mana nasabah memiliki hak untuk menikmati kehidupan pribadi dan bebas dari gangguan; hak untuk berkomunikasi dengan orang lain tanpa tindakan memata-matai; hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang.
Ketiga adalah terkait open banking. Bagus menilai sejauh ini kontrak kerjasama, teknis API, dan keamanan masih belum terstandarisasi.
Belum ada standardisasi mencakup standard data (ruang lingkup dan jenis data yang perlu dibuka oleh bank dan fintech), teknis (protokol komunikasi, tipe arsitektur, format data, dan struktur data), keamanan (syarat minimum pemenuhan keamanan yang harus dipenuhi oleh bank dan fintech, termasuk autentikasi, otorisasi, dan enkripsi), dan governance (customer consent, dispute resolution, APLI life circle, dan standard governing body, aturan pemberian consent atas pembukaan data, tata cara akses dan modifikasi. Standarisasi tersebut diperlukan untuk mewujudkan inklusi keuangan dan juga mengurangi shadow banking.