Badan Regulasi Telekomunikasi Indonesia (BRTI) mengeluarkan surat edaran bagi operator telekomunikasi dalam penanganan pergantian Kartu SIM. BRTI berencana mengevaluasi standar operasional prosedur (SOP) penggantian Kartu SIM pada telepon selular untuk mencegah penyalahgunaan nomor SIM Card. Termasuk, didalamya ada penerapan pengumpulan data biometrik, seperti sidik jari dan retina mata dalam registrasi kartu SIM.
Menanggapi rencana kebijakan ini, Deputi Direktur Riset ELSAM Wahyudi Djafar mendukung rencana tersebut. Namun, dia menilai khusus rencana penerapan pengumpulan data biometrik dalam registrasi Kartu SIM pada telepon seluler berpotensi menimbulkan ancaman bagi perlindungan hak atas privasi dan perlindungan data pribadi warga negara.
Dia melanjutkan terdapat tiga hal yang perlu dicermati terkait pengumpulan data biometrik. Pertama, data biometrik merupakan data pribadi yang tergolong sensitif. Pengumpulan dan pemrosesan datanya harus dilakukan melalui mekanisme khusus dan kehati-hatian yang lebih tinggi.
Baginya, rencana pengumpulan data biometrik oleh perusahaan operator seluler tanpa jaminan perlindungan data pribadi yang komprehensif rentan menimbulkan penyalahgunaan data pribadi dan menempatkan keamanan data pribadi dalam resiko tinggi. “Perusahaan telekomunikasi juga tak luput dari ancaman kebocoran data pribadi penggunanya. Pada November 2019 lalu misalnya, data pribadi (nama, alamat, nomor telepon) lebih dari satu juta pengguna T-Mobile dikabarkan bocor,” ujar Wahyudi dalam keterangannya di Jakarta, Jumat (24/1/2020). Baca Juga: Cegah Penyalahgunaan Sim Card, BRTI Ingatkan Prinsip Know Your Customer
Menurutnya, data biometrik memang sangat unik. Selain hasil dari karakteristik manusia, biometerik pun dapat digunakan untuk melacak dan membuat profil seseorang di seluruh kehidupan mereka. Biometrik menggambarkan karakteristik fisiologis dan perilaku individu, bisa berupa sidik jari, suara, wajah, retina dan pola iris, geometri tangan, gaya berjalan, atau profil DNA.
Data biometrik dapat mengidentifikasi seseorang seumur hidup mereka, sehingga pembuatan database biometrik seringkali bermasalah. Karena itu, pengelola harus mengantisipasi risiko ini jauh di masa depan. Ia menilai ketika diadopsi dan dimanfaatkan dengan tidak adanya kerangka hukum yang kuat dan pengamanan yang ketat, teknologi biometrik akan menimbulkan ancaman besar terhadap privasi dan keamanan pribadi.
“Karena kesalahan dalam penggunaannya akan berdampak pada terjadinya diskriminasi, kesalahan identifikasi, penipuan, pengecualian atau ekslusivisme terhadap kelompok rentan, hingga tindakan surveillance massal,” kata Wahyudi.
Kedua, potensi ancaman terhadap hak atas privasi warga negara. Meskipun, pengumpulan data dilakukan secara tersentral oleh pemerintah dengan mengirimkan short message service (SMS) ke nomor tertentu, namun proses validasi data tetap dilakukan oleh operator. Artinya, pihak pertama yang melakukan pengumpulan dan pemrosesan seluruh data (pribadi) pelanggan adalah pihak penyedia layanan. Secara teknis bekerjanya SMS seluruh pesan yang dikirimkan kepada pelanggan (subscriber), juga terlebih dahulu akan masuk ke Short Message Service Center (SMSC) yang dikelola operator.
“Lalu, mekanisme atau aturan seperti apa yang bisa memastikan data pribadi pelanggan dilindungi dalam proses tersebut? Kekhawatiran ini menguat seiring adanya dugaan kebocoran data pribadi dalam pemberlakuan kebijakan registrasi ulang Kartu SIM pengguna layanan telepon seluler,” lanjutnya.
Ketiga, terdapat berbagai upaya tidak beresiko tinggi dalam melakukan mitigasi terhadap kejahatan SIM Swap. Seperti beberapa perusahaan telekomunikasi menerapkan lapisan keamanan tambahan dengan menyediakan sebuah fitur yakni pelanggan dapat memasang PIN (mobile carrier pin) untuk mengamankan nomor teleponnya.
Meski pelaku kejahatan berhasil menggandakan Kartu SIM, terdapat lapisan keamanan tambahan untuk mencegah pelaku kejahatan mengaktifkan dan menggunakan kartu SIM tersebut. Menurutnya, opsi otentikasi yang lumrah digunakan dengan menggunakan aplikasi otentikasi atau metode otentikasi menggunakan alat seperti token.
Wahyudi melanjutkan pengalaman di berbagai negara menunjukan kewajiban registrasi SIM Card justru menciptakan banyak permasalahan baru. Seperti mitos melawan kejahatan, namun sebaliknya justru muncul jenis kejahatan baru. Antara lain SIM Swap, hingga menciptakan diskriminasi atau kesenjangan baru, khususnya bagi kelompok minoritas.
Karena itu, ELSAM mendorong agar BRTI mengkaji ulang rencana pengumpulan data biometrik dalam registrasi kartu SIM dengan mengacu pada prinsip-prinsip perlindungan data pribadi, khususnya prinsip minimalisasi data. Kemudian, perusahaan telekomunikasi agar menambahkan lapisan keamanan tambahan dalam proses otentikasi pelanggannya, yang dapat dilakukan salah satunya dengan menyediakan fitur mobile carrier pin.
Sebelumnya, Wakil Ketua BRTI Semuel Abrijani Pangerapan mengatakan Kementerian Komunikasi dan Informasi (Kemenkominfo) bersama BRTI bakal memeriksa ulang standar operasional prosedur dari pergantian Kartu SIM yang telah dilakukan masing-masing operator. Hal itu termaktub dalam surat edaran yang telah diterbitkan bagi operator telekomunikasi.
BRTI mengingatkan agar tetap memegang prinsip “Know Your Customer” untuk mencegah penyalagunaan nomor SIM Card. Semuel yang juga menjabat Dirjen Aplikasi Informatika Kemenkominfo itu mengatakan pengecekan identitas pelanggan jasa operator seluler biasanya dilakukan dengan beberapa cara, mulai dari pemberian pertanyaan yang hanya diketahui konsumen bersangkutan.
"Seperti memastikan nomor yang sering dihubungi hingga total tagihan terakhir yang dibayarkan pelanggan tersebut. Know your customer bisa banyak cara, orang ini benar atau nggak di cek identitasnya. Kita juga ingin semua operator me-review kembali apakah ada lubang-lubang yang bisa dimanfaatkan oleh orang-orang yang tidak bertanggung jawab tadi karena banyak metodenya,” ujarnya sebagaimana dilansir dari laman Kemenkominfo.
Sekretaris Jenderal Asosiasi Penyelenggara Telekomunikasi Seluruh Indonesia (ATSI), Marwan O Baasir mengatakan masing-masing operator sudah memiliki SOP dalam penanganan penggantian kartu. Bahkan, seluruh perusahaan anggota ATSI telah memiliki sertifikasi ISO 27001.
“SOP tersebut pasti sudah mencakup aspek keamanan, kerahasiaan, dan proses verifikasi yang akuntabel,” jelasnya.
Seperti diketahui, wartawan senior Ilham Bintang mengalami peristiwa tidak menyenangkan. Yakni, nomor kartu ponselnya dicuri dan uang ratusan juta rupiah di dalam rekening bank miliknya dikuras pelaku pencurian nomor kartu seluler tersebut. Lalu, Ilham melaporkan dugaan pencurian nomor kartu subscriber identity module (SIM) ponsel dan pembobolan uang di rekening bank miliknya ini kepada pihak kepolisian. Dalam laporannya, Ilham menyertakan semua data yang dibutuhkan untuk proses hukum.