Belajar dari salah satu insiden kebocoran data pribadi terbesar di dunia yaitu kasus Equifax, suatu perusahaan credit reporting agencies terbesar di Amerika Serikat, yang terjadi pada tahun 2017 dimana sekitar 145 juta data pribadi warga negara Amerika Serikat bocor akibat serangan hackers. Dalam kasus tersebut, setidaknya, terdapat dua hal yang menarik untuk dipelajari untuk Indonesia:
- Amerika Serikat merupakan negara yang sampai saat ini tidak memiliki undang-undang tentang perlindungan data pribadi di tingkat federal. Perlindungan data pribadi diatur dalam peraturan negara bagian, namun tidak semua negara bagian memiliki aturan khusus mengenai data pribadi. Namun, nyatanya, Equifax dipaksa mengeluarkan dana lebih dari 400 juta dollar Amerika sebagai ganti rugi kepada para pemilik data yang dirugikan akibat adanya kebocoran data pribadi. Uniknya, Lembaga-lembaga pemerintah yang “memaksa” Equifax tersebut salah satunya adalah Federal Trade Commission (“FTC”), lembaga yang bekerja untuk mencegah praktik usaha tidak jujur dan curang serta memastikan praktik usaha yang sehat, hal mana di Indonesia, lembaga tersebut ialah Komisi Perlindungan Persaingan Usaha.
FTC berargumen bahwa kebocoran data pribadi yang dikelola oleh Equifax, salah satunya, disebabkan karena Equifax tidak menerapkan sistem keamanan digital (reasonable business steps) yang sewajarnya dimiliki oleh perusahaan untuk mengamankan jaringan miliknya. Meskipun, perluasan wewenang FTC ke ranah data pribadi banyak dipertanyakan oleh praktisi hukum di Amerika Serikat, kasus Equifax secara tidak langsung memaksa perusahaan-perusahaan di Amerika untuk meningkatkan sistem keamanan digital yang mereka miliki meskipun Amerika tidak memiliki aturan federal khusus mengenai hal itu.
Apa yang dilakukan FTC tersebut merupakan salah satu strategi untuk melindungi data pribadi dengan menunjukkan pada perusahaan-perusahaan bahwa biaya yang akan timbul akibat tidak memadainya sistem keamanan digital akan lebih besar dari biaya untuk memiliki sistem keamanan yang memadai (oleh Professor Robert Chesney dari Texas School of Law disebut sebagai deterrence strategy). Fakta ini juga menunjukkan bahwa komitmen dan strategi penegakan merupakan kunci untuk menciptakan iklim yang aman bagi data pribadi di suatu negara.
- Sebagaimana disebutkan di atas bahwa ancaman siber muncul tidak hanya dari dalam negeri. Dalam kasus Equifax, setelah dilakukan penyelidikan, Jaksa Agung Amerika Serikat saat itu, William P. Barr mengumumkan bahwa yang melakukan penyerangan ke Equifax adalah empat orang perwira militer China. Amerika Serikat akhirnya melakukan penuntutan terhadap keempat orang tersebut. Perbedaan yurisdiksi antara perusahaan yang diserang dan penyerang menjadi tantangan dalam penegakan aturan keamanan siber.
Dalam kasus seperti ini, Professor Chesney dalam tulisannya berjudul Cybersecurity Law, Policy and Institutions menjelaskan bahwa pemerintah memiliki beberapa opsi strategi seperti: komunikasi atau komplain diplomatik, sanksi ekonomi, gugatan perdata, tuntutan pidana dan lain sebagainya. Opsi sanksi yang didapat dipilih tentu tidak terlepas dari seberapa besar kekuatan negara tersebut. Misalnya, sanksi embargo ekonomi tentunya hanya dapat dilaksanakan oleh negara-negara tertentu. Di sisi lain, sanksi seperti tuntutan pidana memiliki efektifitas yang rendah karena adanya perbedaan yurisdiksi. Indonesia harus memformulasikan sanksi yang tepat sesuai dengan kondisi Indonesia.
Hal di atas hanyalah dua dari banyak pekerjaan rumah yang dimiliki Indonesia dalam melakukan perlindungan data pribadi warga negaranya. UU PDP merupakan awal yang baik dan dasar penegakan hukum yang akan dilakukan, akan tetapi Indonesia tidak boleh berpuas diri dengan disahkannya UU PDP. Indonesia harus terus mengejar perkembangan teknologi dan informasi di dunia yang amat berkaitan dengan perlindungan data pribadi.
*)Muhamad Krishna Vesa adalah advokat di Jakarta.
Artikel Kolom ini adalah tulisan pribadi Penulis, isinya tidak mewakili pandangan Redaksi Hukumonline. |