agustus 2018 perlindungan data pribadi
TRANSCRIPT
CASE STUDy SERIES #31
Perlindungan Data Pribadi:Studi Komparasi terhadap Praktik di
Singapura, Amerika Serikat, dan Malaysia
Agustus 2018
Kompleksitas dan kemajuan teknologi digital dalam satu dekade belakangan tidak hanya memberikan manfaat, namun juga membawa ancaman dalam bentuk baru terhadap keamanan manusia, khususnya dalam konteks dunia maya. Gagasan dalam menangkal ancaman siber tersebut kemudian dijabarkan dalam konsep keamanan siber (cybersecurity). Konsep keamanan siber sendiri mencakup bidang yang sangat luas sehingga belum terdapat definisi pasti yang digunakan secara seragam di seluruh dunia.
Salah satu isu keamanan siber yang belakangan ini mulai banyak dibahas adalah mengenai isu privasi dan perlindungan data pribadi. Isu tersebut menjadi salah satu dimensi penting dalam kajian keamanan siber, terutama dalam dimensi keamanan informasi. Beberapa kasus yang terjadi seperti insiden kebocoran data pengguna Facebook dalam kasus Cambridge Analytica di Amerika Serikat yang juga berdampak
1pada pengguna Indonesia, serta dugaan kebocoran data NIK dan KK dalam proses 2registrasi kartu SIM di Indonesia beberapa waktu lalu, kembali menaikkan atensi
masyarakat mengenai isu perlindungan data pribadi.
Lebih lanjut, dalam sudut pandang HAM misalnya, perlindungan data pribadi menjadi bagian yang penting dalam kerangka perlindungan hak pribadi (privacy rights) yang dilindungi oleh ketentuan hukum internasional seperti Universal Declaration of Human Rights (UDHR) dan International Covenant on Civil and Political Rights (ICCPR). Kehadiran instrumen hukum terkait perlindungan data pribadi menurut Yvonne McDermott dapat menegakkan empat prinsip HAM yakni privacy, trancparency,
3autonomy, dan non-discrimintation. Kendati demikian, belum semua negara menaruh perhatian yang sama terhadap perlindungan data pribadi dalam hukum masing-masing negaranya.
Dari beberapa contoh fenomena ancaman terhadap data pribadi sebagaimana disebutkan di atas, Penulis mencoba untuk mendalami isu mengenai urgensi perlindungan data pribadi. Terdapat dua rumusan masalah yang dibahas dalam studi kasus ini: (1) bagaimana praktik perlindungan data pribadi di Singapura, Amerika Serikat, dan Malaysia?; dan (2) bagaimana status quo perlindungan data pribadi di Indonesia?
Pemilihan tiga negara sebagaimana disebutkan dalam rumusan masalah di atas didasarkan pada peringkat Global Cybersecurity Indeks (GCI) tahun 2017 yang dikeluarkan oleh International Telecommunication Union (ITU), yang mana Singapura, Amerika
PenulisFahreza Daniswara Faiz RahmanEditor Dirgayuza Setiawan Desainer & Penyusun Tata LetakMasgustian
Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia 1
Pendahuluan
Kompleksitas dan kemajuan teknologi digital dalam satu dekade belakangan tidak hanya memberikan manfaat, namun juga membawa ancaman dalam bentuk baru terhadap keamanan manusia, khususnya dalam konteks dunia maya. Gagasan dalam menangkal ancaman siber tersebut kemudian dijabarkan dalam konsep keamanan siber (cybersecurity). Konsep keamanan siber sendiri mencakup bidang yang sangat luas sehingga belum terdapat definisi pasti yang digunakan secara seragam di seluruh dunia.
Salah satu isu keamanan siber yang belakangan ini mulai banyak dibahas adalah mengenai isu privasi dan perlindungan data pribadi. Isu tersebut menjadi salah satu dimensi penting dalam kajian keamanan siber, terutama dalam dimensi keamanan informasi. Beberapa kasus yang terjadi seperti insiden kebocoran data pengguna Facebook dalam kasus Cambridge Analytica di Amerika Serikat yang juga berdampak
1pada pengguna Indonesia, serta dugaan kebocoran data NIK dan KK dalam proses 2registrasi kartu SIM di Indonesia beberapa waktu lalu, kembali menaikkan atensi
masyarakat mengenai isu perlindungan data pribadi.
Lebih lanjut, dalam sudut pandang HAM misalnya, perlindungan data pribadi menjadi bagian yang penting dalam kerangka perlindungan hak pribadi (privacy rights) yang dilindungi oleh ketentuan hukum internasional seperti Universal Declaration of Human Rights (UDHR) dan International Covenant on Civil and Political Rights (ICCPR). Kehadiran instrumen hukum terkait perlindungan data pribadi menurut Yvonne McDermott dapat menegakkan empat prinsip HAM yakni privacy, trancparency,
3autonomy, dan non-discrimintation. Kendati demikian, belum semua negara menaruh perhatian yang sama terhadap perlindungan data pribadi dalam hukum masing-masing negaranya.
Dari beberapa contoh fenomena ancaman terhadap data pribadi sebagaimana disebutkan di atas, Penulis mencoba untuk mendalami isu mengenai urgensi perlindungan data pribadi. Terdapat dua rumusan masalah yang dibahas dalam studi kasus ini: (1) bagaimana praktik perlindungan data pribadi di Singapura, Amerika Serikat, dan Malaysia?; dan (2) bagaimana status quo perlindungan data pribadi di Indonesia?
Pemilihan tiga negara sebagaimana disebutkan dalam rumusan masalah di atas didasarkan pada peringkat Global Cybersecurity Indeks (GCI) tahun 2017 yang dikeluarkan oleh International Telecommunication Union (ITU), yang mana Singapura, Amerika
PenulisFahreza Daniswara Faiz RahmanEditor Dirgayuza Setiawan Desainer & Penyusun Tata LetakMasgustian
Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia 1
Pendahuluan
Serikat, dan Malaysia menempati tiga peringkat teratas dalam survei tersebut. GCI sendiri merupakan indeks untuk mengukur kesiapan dan komitmen negara dalam hal keamanan siber. Mengingat perlindungan data pribadi merupakan salah satu aspek penting dalam konteks keamanan siber, khususnya dalam dimensi keamanan informasi, menjadi menarik untuk ditelaah apakah kemudian tingginya peringkat negara dalam hal keamanan siber juga menghasilkan sistem perlindungan data pribadi yang baik pula. Lebih lanjut, metode yang digunakan dalam studi kasus ini adalah menggunakan studi literatur. Dengan demikian, Penulis melakukan telaah terhadap data-data sekunder seperti buku, jurnal, artikel dan berita, serta peraturan perundang-undangan terkait perlindungan data pribadi dari negara-negara yang diteliti.
Sebelum melakukan pembahasan terhadap permasalahan yang diangkat dalam penelitian ini, terlebih dahulu perlu dipahami beberapa terminologi penting yang terkait dengan permasalahan yang diangkat. Pertama, mengenai perlindungan data secara umum; dan kedua, mengenai data pribadi yang merupakan objek yang dilindungi.
Frasa “perlindungan data” dalam penelitian ini merujuk kepada terminologi data protection dalam bahasa inggris yang secara umum adalah segala proses atau upaya yang bersifat teknis maupun legal untuk melindungi data dari adanya kerusakan atau eror, serangan terhadap data, dan juga berkaitan dengan privasi data. Terminologi data 4
protection ini juga kerap disamakan dengan data privacy dan data security, yang pada prinsipnya juga berkaitan dengan upaya untuk melindungi suatu data dari kerusakan dan serangan dari luar. Berkaitan dengan definisi data protection, terdapat hal yang menarik bahwa definisi terminologi tersebut kerap dikaitkan dengan upaya perlindungan terhadap data pribadi (personal data protection). Hal ini dapat dilihat dari salah satu 5
definisi dari perlindungan data yang dikemukakan oleh Gutwirth and De Hert yakni “seluruh usaha yang berkaitan dengan upaya untuk memproses data pribadi”.6
Namun demikian, untuk mencegah adanya kerancuan terminologi dalam penelitian ini, kiranya tetap perlu dibedakan antara “perlindungan data” yang merujuk pada perlindungan data secara umum dengan “perlindungan data pribadi” yang spesifik berbicara mengenai perlindungan terhadap data pribadi. Berbagai definisi perlindungan
data di atas sejatinya memiliki keterkaitan yang erat dengan keamanan siber, mengingat perlindungan data sendiri merupakan salah satu bagian dari keamanan siber. Sebagai contoh, Craigen, Diakun-Thibault, dan Purse mendefinisikan keamanan siber sebagai sekumpulan sumber daya, proses, dan struktur yang digunakan untuk melindungi dunia
7maya dari hal-hal yang tidak diinginkan. Berdasarkan definisi tersebut, dapat dikatakan bahwa “data” itu sendiri merupakan bagian yang tidak terpisahkan dari dunia maya.
Sebagaimana dijelaskan di atas, proses atau perlindungan data salah satunya ditujukan untuk melindungi 'data' dari serangan atau ancaman yang datang. Beberapa jenis ancaman terhadap data tersebut dapat berupa kejahatan dunia maya seperti peretasan, upaya mata-mata untuk mendapatkan informasi-informasi rahasia milik pemerintah maupun swasta, 'pencurian' data, perusakan data, maupun serangan
8teroris. Berdasarkan beberapa jenis serangan tersebut, secara implisit dapat dikatakan bahwa tujuan dari adanya serangan-serangan tersebut dapat berupa motif ekonomi (untuk mendapatkan keuntungan dari serangan data yang didapatkan) maupun berupa motif politik. Dengan demikian, adanya upaya perlindungan data menjadi hal yang krusial, terutama bagi pemerintah yang notabene memegang berbagai data milik masyarakatnya. Hal ini juga tercermin dari tiga dimensi keamanan siber yakni keamanan
9informasi, kejahatan siber, dan konflik siber.
Dalam konteks keamanan siber, terdapat tiga upaya yang dilakukan dalam mengatasi ancaman-ancaman yang timbul di dunia maya, yakni upaya teknis, upaya
10hukum, dan upaya terkait prosedural dan paduan dalam pelaksanaan keamanan siber. Upaya teknis berkaitan dengan peningkatan keamanan perangkan keras dan piranti
11lunak yang mencakup sistem dan jaringan informasi. Contoh-contoh upaya teknis yang umum digunakan dalam keamanan siber antara lain menggunakan teknik autentikasi, enkripsi, penggunaan antivirus, dan firewall. Upaya hukum berkaitan dengan pengaturan mengenai keamanan siber seperti syarat memproses atau membagi informasi pribadi oleh lembaga swasta maupun publik, sedangkan upaya terkait
12prosedur berkaitan dengan paduan dalam pelaksanaan keamanan siber.
Data pribadi (personal data) secara umum dapat didefinisikan sebagai segala informasi yang berkaitan terhadap individu tertentu dan dapat mengidentifikasi secara spesifik individu tersebut dari data terkait. Sehingga, apabila seseorang dapat mengidentifikasi secara spesifik individu tertentu melalui suatu informasi, maka
3Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia2 Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
A. Perlindungan Data
B. Data Pribadi
Serikat, dan Malaysia menempati tiga peringkat teratas dalam survei tersebut. GCI sendiri merupakan indeks untuk mengukur kesiapan dan komitmen negara dalam hal keamanan siber. Mengingat perlindungan data pribadi merupakan salah satu aspek penting dalam konteks keamanan siber, khususnya dalam dimensi keamanan informasi, menjadi menarik untuk ditelaah apakah kemudian tingginya peringkat negara dalam hal keamanan siber juga menghasilkan sistem perlindungan data pribadi yang baik pula. Lebih lanjut, metode yang digunakan dalam studi kasus ini adalah menggunakan studi literatur. Dengan demikian, Penulis melakukan telaah terhadap data-data sekunder seperti buku, jurnal, artikel dan berita, serta peraturan perundang-undangan terkait perlindungan data pribadi dari negara-negara yang diteliti.
Sebelum melakukan pembahasan terhadap permasalahan yang diangkat dalam penelitian ini, terlebih dahulu perlu dipahami beberapa terminologi penting yang terkait dengan permasalahan yang diangkat. Pertama, mengenai perlindungan data secara umum; dan kedua, mengenai data pribadi yang merupakan objek yang dilindungi.
Frasa “perlindungan data” dalam penelitian ini merujuk kepada terminologi data protection dalam bahasa inggris yang secara umum adalah segala proses atau upaya yang bersifat teknis maupun legal untuk melindungi data dari adanya kerusakan atau eror, serangan terhadap data, dan juga berkaitan dengan privasi data. Terminologi data 4
protection ini juga kerap disamakan dengan data privacy dan data security, yang pada prinsipnya juga berkaitan dengan upaya untuk melindungi suatu data dari kerusakan dan serangan dari luar. Berkaitan dengan definisi data protection, terdapat hal yang menarik bahwa definisi terminologi tersebut kerap dikaitkan dengan upaya perlindungan terhadap data pribadi (personal data protection). Hal ini dapat dilihat dari salah satu 5
definisi dari perlindungan data yang dikemukakan oleh Gutwirth and De Hert yakni “seluruh usaha yang berkaitan dengan upaya untuk memproses data pribadi”.6
Namun demikian, untuk mencegah adanya kerancuan terminologi dalam penelitian ini, kiranya tetap perlu dibedakan antara “perlindungan data” yang merujuk pada perlindungan data secara umum dengan “perlindungan data pribadi” yang spesifik berbicara mengenai perlindungan terhadap data pribadi. Berbagai definisi perlindungan
data di atas sejatinya memiliki keterkaitan yang erat dengan keamanan siber, mengingat perlindungan data sendiri merupakan salah satu bagian dari keamanan siber. Sebagai contoh, Craigen, Diakun-Thibault, dan Purse mendefinisikan keamanan siber sebagai sekumpulan sumber daya, proses, dan struktur yang digunakan untuk melindungi dunia
7maya dari hal-hal yang tidak diinginkan. Berdasarkan definisi tersebut, dapat dikatakan bahwa “data” itu sendiri merupakan bagian yang tidak terpisahkan dari dunia maya.
Sebagaimana dijelaskan di atas, proses atau perlindungan data salah satunya ditujukan untuk melindungi 'data' dari serangan atau ancaman yang datang. Beberapa jenis ancaman terhadap data tersebut dapat berupa kejahatan dunia maya seperti peretasan, upaya mata-mata untuk mendapatkan informasi-informasi rahasia milik pemerintah maupun swasta, 'pencurian' data, perusakan data, maupun serangan
8teroris. Berdasarkan beberapa jenis serangan tersebut, secara implisit dapat dikatakan bahwa tujuan dari adanya serangan-serangan tersebut dapat berupa motif ekonomi (untuk mendapatkan keuntungan dari serangan data yang didapatkan) maupun berupa motif politik. Dengan demikian, adanya upaya perlindungan data menjadi hal yang krusial, terutama bagi pemerintah yang notabene memegang berbagai data milik masyarakatnya. Hal ini juga tercermin dari tiga dimensi keamanan siber yakni keamanan
9informasi, kejahatan siber, dan konflik siber.
Dalam konteks keamanan siber, terdapat tiga upaya yang dilakukan dalam mengatasi ancaman-ancaman yang timbul di dunia maya, yakni upaya teknis, upaya
10hukum, dan upaya terkait prosedural dan paduan dalam pelaksanaan keamanan siber. Upaya teknis berkaitan dengan peningkatan keamanan perangkan keras dan piranti
11lunak yang mencakup sistem dan jaringan informasi. Contoh-contoh upaya teknis yang umum digunakan dalam keamanan siber antara lain menggunakan teknik autentikasi, enkripsi, penggunaan antivirus, dan firewall. Upaya hukum berkaitan dengan pengaturan mengenai keamanan siber seperti syarat memproses atau membagi informasi pribadi oleh lembaga swasta maupun publik, sedangkan upaya terkait
12prosedur berkaitan dengan paduan dalam pelaksanaan keamanan siber.
Data pribadi (personal data) secara umum dapat didefinisikan sebagai segala informasi yang berkaitan terhadap individu tertentu dan dapat mengidentifikasi secara spesifik individu tersebut dari data terkait. Sehingga, apabila seseorang dapat mengidentifikasi secara spesifik individu tertentu melalui suatu informasi, maka
3Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia2 Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
A. Perlindungan Data
B. Data Pribadi
informasi tersebut dapat dikatakan 13sebagai data pribadi. Sebagaimana
disebutkan pada bagian sebelumnya, adanya pendefinisian dan pengaturan yang
jelas mengenai data pribadi ini menjadi penting sebagai salah satu upaya dalam
menegakkan prinsip-prinsip hak asasi manusia. Selain itu, mengingat di era big data seperti sekarang ini, pengumpulan data
oleh pemerintah maupun swasta menjadi hal yang tidak sulit dilakukan, adanya upaya perlindungan terhadap data pribadi masyarakat yang dipegang oleh
pihak-pihak terkait tersebut menjadi salah satu hal yang krusial untuk ditangani.
Pengertian data pribadi sendiri sejatinya dapat berbeda antara satu negara dengan negara lain. Sebagai contoh, di Indonesia, data pribadi secara hukum didefinisikan sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga
14kebenaran serta dilindungi kerahasiaannya. Sedangkan di Korea Selatan misalnya, data pribadi (personal information) didefinisikan sebagai informasi yang berkaitan dengan seseorang yang memungkinkan untuk mengidentifikasi individu tersebut melalui
15namanya atau NIK, gambar, dll. Lebih lanjut, definisi yang sejenis dengan Korea Selatan tersebut juga dapat ditemukan di Peraturan Data Pribadi Hong Kong dan juga GDPR Uni
16Eropa.
Berdasarkan berbagai definisi di atas, terlihat bahwa cakupan dari data pribadi itu bisa jadi sangat luas seperti nama, NIK, data lokasi/alamat, data genetis, dll. Bahkan, dalam GDPR, tanda pengenal daring (online identifier) seperti alamat IP dan cookie identifiers juga termasuk dalam klasifikasi data pribadi. Dalam beberapa peraturan seperti GDPR dan Undang-Undang Perlindungan Informasi Pribadi (UU PIP) Korea Selatan, terdapat pula klasifikasi data pribadi, yakni data pribadi umum (personal data)
17dan data pribadi sensitif (sensitive data). Data sensitif atau data yang termasuk dalam kategori khusus tersebut baik dalam GDPR maupun UU PIP Korea Selatan adalah data-data yang berkaitan dengan misalnya ideologi, kepercayaan, data kesehatan atau
18perawatan medis, orientasi seksual, dan profil genetik (data biometrik).
Dengan demikian, adanya klasifikasi terhadap data pribadi tersebut akan sangat membantu pemerintah dan pihak-pihak berwajib dalam memproses jenis data pribadi masyarakat yang dipegang oleh instansi tersebut. Tentunya, adanya perbedaan jenis tersebut dapat berimplikasi pada perbedaan penanganan terhadap jenis-jenis data tersebut.
Untuk mengetahui bagaimana sejatinya praktik perlindungan data pribadi, satu hal yang dapat dilakukan adalah melakukan studi komparasi dengan negara-negara lain yang sudah lebih maju. Sebagaimana telah dijelaskan di bagian pendahuluan, terdapat tiga negara yang dipilih sebagai perbandingan, yakni Singapura, Amerika Serikat, dan Malaysia. Tiga negara yang dipilih sebagai perbandingan adalah negara-negara yang menempati tiga peringkat teratas pada GCI tahun 2017. Tabel peringkat GCI tahun 2017 dapat dilihat di bawah ini:
Menjadi menarik kemudian mengingat dua dari tiga negara yang menempati peringkat teratas tersebut merupakan negara ASEAN, dan salah satu diantaranya, yakni Malaysia, berdasarkan publikasi IMF pada tahun 2018, masih masuk dalam kategori
2 0negara berkembang (emerging and developing country). Aspek-aspek yang diperbandingkan dalam penelitian ini adalah aspek legal (terkait bagaimana kerangka hukum perlindungan data pribadi) serta aspek teknis (berkaitan dengan implementasi pengaturan dan kelembagaan).
Berdasarkan survey Global Cybersecurity Index (GCI) pada tahun 2017, Singapura dinilai sebagai negara terbaik dalam urusan penerapan keamanan siber. Perjalanan Singapura dalam urusan keamanan siber sudah dimulai satu dekade silam sejak disahkannya cybersecurity masterplan pada tahun 2005. Rencana induk awal ini dijalankan selama tiga tahun melalui pendekatan multistakeholders dan berfokus
21kepada perlindungan data perseorangan, publik dan privat. Selain membangun infrastruktur, rencana induk ini juga menegaskan terhadap pembangunan sumber daya
// 54 Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
A. Singapura
Kanada
Negara Skor GCI
Singapura
Amerika Serikat
Malaysia
Oman
Estonia
Mauritius
Australia
Georgia
Prancis
Legal Teknik Organisasi CapacityBuilding Kerja Sama
0.92
0.91
0.89
0.87
0.84
0.82
0.82
0.81
0.81
0.81
0.95
1
0.87
0.98
0.99
0.85
0.94
0.91
0.94
0.94
0.96
0.96
0.96
0.82
0.82
0.96
0.96
0.77
0.96
0.93
0.88
0.92
0.77
0.85
0.85
0.74
0.86
0.82
0.60
0.71
0.97
1
1
0.95
0.94
0.91
0.94
0.90
1
0.82
0.87
0.73
0.87
0.75
0.64
0.70
0.44
0.70
0.61
0.70
Tabel 1. Sepuluh Besar Negara dalam Global Cybersecurity Index 2017 (ITU, 2017)19
informasi tersebut dapat dikatakan 13sebagai data pribadi. Sebagaimana
disebutkan pada bagian sebelumnya, adanya pendefinisian dan pengaturan yang
jelas mengenai data pribadi ini menjadi penting sebagai salah satu upaya dalam
menegakkan prinsip-prinsip hak asasi manusia. Selain itu, mengingat di era big data seperti sekarang ini, pengumpulan data
oleh pemerintah maupun swasta menjadi hal yang tidak sulit dilakukan, adanya upaya perlindungan terhadap data pribadi masyarakat yang dipegang oleh
pihak-pihak terkait tersebut menjadi salah satu hal yang krusial untuk ditangani.
Pengertian data pribadi sendiri sejatinya dapat berbeda antara satu negara dengan negara lain. Sebagai contoh, di Indonesia, data pribadi secara hukum didefinisikan sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga
14kebenaran serta dilindungi kerahasiaannya. Sedangkan di Korea Selatan misalnya, data pribadi (personal information) didefinisikan sebagai informasi yang berkaitan dengan seseorang yang memungkinkan untuk mengidentifikasi individu tersebut melalui
15namanya atau NIK, gambar, dll. Lebih lanjut, definisi yang sejenis dengan Korea Selatan tersebut juga dapat ditemukan di Peraturan Data Pribadi Hong Kong dan juga GDPR Uni
16Eropa.
Berdasarkan berbagai definisi di atas, terlihat bahwa cakupan dari data pribadi itu bisa jadi sangat luas seperti nama, NIK, data lokasi/alamat, data genetis, dll. Bahkan, dalam GDPR, tanda pengenal daring (online identifier) seperti alamat IP dan cookie identifiers juga termasuk dalam klasifikasi data pribadi. Dalam beberapa peraturan seperti GDPR dan Undang-Undang Perlindungan Informasi Pribadi (UU PIP) Korea Selatan, terdapat pula klasifikasi data pribadi, yakni data pribadi umum (personal data)
17dan data pribadi sensitif (sensitive data). Data sensitif atau data yang termasuk dalam kategori khusus tersebut baik dalam GDPR maupun UU PIP Korea Selatan adalah data-data yang berkaitan dengan misalnya ideologi, kepercayaan, data kesehatan atau
18perawatan medis, orientasi seksual, dan profil genetik (data biometrik).
Dengan demikian, adanya klasifikasi terhadap data pribadi tersebut akan sangat membantu pemerintah dan pihak-pihak berwajib dalam memproses jenis data pribadi masyarakat yang dipegang oleh instansi tersebut. Tentunya, adanya perbedaan jenis tersebut dapat berimplikasi pada perbedaan penanganan terhadap jenis-jenis data tersebut.
Untuk mengetahui bagaimana sejatinya praktik perlindungan data pribadi, satu hal yang dapat dilakukan adalah melakukan studi komparasi dengan negara-negara lain yang sudah lebih maju. Sebagaimana telah dijelaskan di bagian pendahuluan, terdapat tiga negara yang dipilih sebagai perbandingan, yakni Singapura, Amerika Serikat, dan Malaysia. Tiga negara yang dipilih sebagai perbandingan adalah negara-negara yang menempati tiga peringkat teratas pada GCI tahun 2017. Tabel peringkat GCI tahun 2017 dapat dilihat di bawah ini:
Menjadi menarik kemudian mengingat dua dari tiga negara yang menempati peringkat teratas tersebut merupakan negara ASEAN, dan salah satu diantaranya, yakni Malaysia, berdasarkan publikasi IMF pada tahun 2018, masih masuk dalam kategori
2 0negara berkembang (emerging and developing country). Aspek-aspek yang diperbandingkan dalam penelitian ini adalah aspek legal (terkait bagaimana kerangka hukum perlindungan data pribadi) serta aspek teknis (berkaitan dengan implementasi pengaturan dan kelembagaan).
Berdasarkan survey Global Cybersecurity Index (GCI) pada tahun 2017, Singapura dinilai sebagai negara terbaik dalam urusan penerapan keamanan siber. Perjalanan Singapura dalam urusan keamanan siber sudah dimulai satu dekade silam sejak disahkannya cybersecurity masterplan pada tahun 2005. Rencana induk awal ini dijalankan selama tiga tahun melalui pendekatan multistakeholders dan berfokus
21kepada perlindungan data perseorangan, publik dan privat. Selain membangun infrastruktur, rencana induk ini juga menegaskan terhadap pembangunan sumber daya
// 54 Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
A. Singapura
Kanada
Negara Skor GCI
Singapura
Amerika Serikat
Malaysia
Oman
Estonia
Mauritius
Australia
Georgia
Prancis
Legal Teknik Organisasi CapacityBuilding Kerja Sama
0.92
0.91
0.89
0.87
0.84
0.82
0.82
0.81
0.81
0.81
0.95
1
0.87
0.98
0.99
0.85
0.94
0.91
0.94
0.94
0.96
0.96
0.96
0.82
0.82
0.96
0.96
0.77
0.96
0.93
0.88
0.92
0.77
0.85
0.85
0.74
0.86
0.82
0.60
0.71
0.97
1
1
0.95
0.94
0.91
0.94
0.90
1
0.82
0.87
0.73
0.87
0.75
0.64
0.70
0.44
0.70
0.61
0.70
Tabel 1. Sepuluh Besar Negara dalam Global Cybersecurity Index 2017 (ITU, 2017)19
manusia lewat program capacity building untuk meningkatkan pemahaman dan kewaspadaan terhadap isu keamanan siber. Kemudian di tahun 2016, Singapura mengeluarkan Singapore's Cybersecurity Strategy yang berfokus pada empat pilar; penguatan infrastruktur kritis, tanggung jawab kolektif keamanan siber, pengembangan ekosistem keamanan siber yang dinamis, dan memperkuat kerjasama keamanan siber
22internasional.
Terkait dengan perlindungan data pribadi, Singapura telah mengundangkan Personal Data Protection Act (PDPA) pada tahun 2012, yang merupakan dasar hukum perlindungan data pribadi di Singapura. Dalam undang-undang tersebut diatur secara lengkap mengenai prinsip-prinsip perlindungan data pribadi, pengumpulan, penggunaan, dan pembukaan data pribadi, akses dan koreksi terhadap data pribadi, perawatan data pribadi, serta mekanisme penegakan hukum. Lebih lanjut, UU tersebut juga mengamanatkan pembentukan Personal Data Protection Commission (PDPC)
23sebagai badan yang berwenang dalam pengawasan dan pelaksanaan PDPA.
Salah satu kritik yang muncul terhadap PDPA mengatakan bahwa hukum ini tidak berlaku untuk pemerintah sehingga belum ada batasan yang jelas atas otoritas dan batas
24pemerintah dalam penggunaan data pribadi pengguna internet di Singapura. Selain itu, dalam PDPA tersebut tidak terdapat adanya klasifikasi data pribadi seperti yang ada di GDPR Uni Eropa dan UU PIP Korea Selatan sebagaimana dijelaskan di atas. Meskipun begitu, PDPA memiliki peran yang penting dan jelas dalam hal perlindungan data pribadi yang patut dicontoh oleh negara-negara lain di seluruh dunia.
Ketatnya regulasi perlindungan data pribadi di Singapura tidak serta merta membuat tindakan penyalahgunaan data pengguna hilang sepenuhnya. Menariknya, PDPC merekapitulasi seluruh dugaan dan tindakan pelanggaran (breach) terhadap PDPA di situsnya sehingga data tersebut mudah diakses publik. Hal ini menunjukkan jika PDPC selaku pihak yang berwenang menyikapi seluruh pelanggaran perlindungan data pribadi secara serius terlepas dari besar-kecilnya skala ancaman yang ditimbulkan.
Misalnya, PDPC memberikan ultimatum kepada National University of Singapore (NUS) dalam 120 hari untuk memberikan pelatihan kepada mahasiswanya dalam hal perlindungan data pribadi. Tindakan ini diambil setelah PDPC menemukan ratusan data pribadi mahasiswa baru NUS (nama lengkap, nomor HP, preferensi makanan, alamat surel, dsb.) yang awalnya disimpan dalam layanan komputasi awan google sheet spreadsheet akhirnya tersebar ke publik karena kecerobohan salah satu pemilik dokumen yang tidak teridentifikasi untuk mengubah aturan dokumen tersebut agar
25menjadi dapat diakses publik secara bebas. Selain itu, PDPC juga tidak segan memberi
denda sebesar S$10.000 kepada Perusahaan besar seperti JP Pepperdine Group dan Propnex Reality yang lalai menjaga privasi data penggunanya di situs masing-masing
26sehingga dapat dilihat oleh publik. Akan tetapi, Singapura rupanya juga tidak luput dari skandal Cambridge Analytica. Kasus ini pun saat ini tengah menjadi perhatian dari PDPC dan investigasi mendalam masih dilakukan.
Dalam survei GCI pada tahun 2017, Amerika Serikat menempati posisi kedua setelah Singapura sebagai negara dengan tingkat keamanan siber terbaik. Dalam hal tata kelola internet, Amerika Serikat memiliki peran yang vital baik sebagai pelaku maupun regulator. Pada awalnya, internet sendiri diatur oleh Kementerian Pertahanan Amerika Serikat sebelum akhirnya diserahkan ke badan-badan non-negara internasional seperti ICANN, ITU dan sebagainya lewat lobi politik dan kerjasama antar stakeholders di seluruh dunia demi mewujudkan tata kelola internet (internet governance) yang lebih adil dan transparan.
Sebagai negara tempat internet pertama kali dikembangkan, uniknya Amerika Serikat hingga saat ini belum memiliki undang-undang di level federal yang secara khusus mengatur tentang perlindungan data pribadi. Pada tahun 2008, pemerintah Amerika Serikat di bawah Presiden George W. Bush memperkenalkan Comprehensive National Cybersecurity Initiative yang tidak berfungsi sebagai undang-undang melainkan hanya sebagai garis haluan dalam pengembangan kerangka keamanan siber di Amerika
27Serikat. Selebihnya, Peraturan perlindungan data pribadi di Amerika Serikat yang ada saat ini dikembangkan di negara bagian masing-masing dan sektor publik/pemerintahan tertentu (misalnya di sektor kesehatan dan keuangan). Sistem perundang-undangan yang tidak terintegrasi ini dikhawatirkan memunculkan peraturan yang tumpang tindih dan gagal melaksanakan tugasnya untuk melindungi keamanan data pengguna
28internet. Selain itu, Amerika Serikat juga tidak memiliki lembaga khusus yang 29menangani perlindungan data pribadi. Isu-isu terkait dengan keamanan data
kebanyakan dipegang oleh Federal Trade Commission (FTC).
Meskipun begitu, Amerika Serikat mendapatkan nilai 1 untuk aspek legal dan 0.96 untuk aspek teknis dalam penilaian GCI 2017. Alasan dibalik tingginya skor Amerika Serikat dalam hal legal ditengarai adanya beberapa tindakan pemerintah pusat yang mampu menghubungkan kebijakan-kebijakan di level sektoral. Misalnya, terbentuknya Resource Center for State Cybersecurity sebagai wadah bagi pemangku kepentingan di level negara bagian untuk saling berkoordinasi, memberi informasi dan advokasi kepada
76 Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
B. Amerika Serikat
manusia lewat program capacity building untuk meningkatkan pemahaman dan kewaspadaan terhadap isu keamanan siber. Kemudian di tahun 2016, Singapura mengeluarkan Singapore's Cybersecurity Strategy yang berfokus pada empat pilar; penguatan infrastruktur kritis, tanggung jawab kolektif keamanan siber, pengembangan ekosistem keamanan siber yang dinamis, dan memperkuat kerjasama keamanan siber
22internasional.
Terkait dengan perlindungan data pribadi, Singapura telah mengundangkan Personal Data Protection Act (PDPA) pada tahun 2012, yang merupakan dasar hukum perlindungan data pribadi di Singapura. Dalam undang-undang tersebut diatur secara lengkap mengenai prinsip-prinsip perlindungan data pribadi, pengumpulan, penggunaan, dan pembukaan data pribadi, akses dan koreksi terhadap data pribadi, perawatan data pribadi, serta mekanisme penegakan hukum. Lebih lanjut, UU tersebut juga mengamanatkan pembentukan Personal Data Protection Commission (PDPC)
23sebagai badan yang berwenang dalam pengawasan dan pelaksanaan PDPA.
Salah satu kritik yang muncul terhadap PDPA mengatakan bahwa hukum ini tidak berlaku untuk pemerintah sehingga belum ada batasan yang jelas atas otoritas dan batas
24pemerintah dalam penggunaan data pribadi pengguna internet di Singapura. Selain itu, dalam PDPA tersebut tidak terdapat adanya klasifikasi data pribadi seperti yang ada di GDPR Uni Eropa dan UU PIP Korea Selatan sebagaimana dijelaskan di atas. Meskipun begitu, PDPA memiliki peran yang penting dan jelas dalam hal perlindungan data pribadi yang patut dicontoh oleh negara-negara lain di seluruh dunia.
Ketatnya regulasi perlindungan data pribadi di Singapura tidak serta merta membuat tindakan penyalahgunaan data pengguna hilang sepenuhnya. Menariknya, PDPC merekapitulasi seluruh dugaan dan tindakan pelanggaran (breach) terhadap PDPA di situsnya sehingga data tersebut mudah diakses publik. Hal ini menunjukkan jika PDPC selaku pihak yang berwenang menyikapi seluruh pelanggaran perlindungan data pribadi secara serius terlepas dari besar-kecilnya skala ancaman yang ditimbulkan.
Misalnya, PDPC memberikan ultimatum kepada National University of Singapore (NUS) dalam 120 hari untuk memberikan pelatihan kepada mahasiswanya dalam hal perlindungan data pribadi. Tindakan ini diambil setelah PDPC menemukan ratusan data pribadi mahasiswa baru NUS (nama lengkap, nomor HP, preferensi makanan, alamat surel, dsb.) yang awalnya disimpan dalam layanan komputasi awan google sheet spreadsheet akhirnya tersebar ke publik karena kecerobohan salah satu pemilik dokumen yang tidak teridentifikasi untuk mengubah aturan dokumen tersebut agar
25menjadi dapat diakses publik secara bebas. Selain itu, PDPC juga tidak segan memberi
denda sebesar S$10.000 kepada Perusahaan besar seperti JP Pepperdine Group dan Propnex Reality yang lalai menjaga privasi data penggunanya di situs masing-masing
26sehingga dapat dilihat oleh publik. Akan tetapi, Singapura rupanya juga tidak luput dari skandal Cambridge Analytica. Kasus ini pun saat ini tengah menjadi perhatian dari PDPC dan investigasi mendalam masih dilakukan.
Dalam survei GCI pada tahun 2017, Amerika Serikat menempati posisi kedua setelah Singapura sebagai negara dengan tingkat keamanan siber terbaik. Dalam hal tata kelola internet, Amerika Serikat memiliki peran yang vital baik sebagai pelaku maupun regulator. Pada awalnya, internet sendiri diatur oleh Kementerian Pertahanan Amerika Serikat sebelum akhirnya diserahkan ke badan-badan non-negara internasional seperti ICANN, ITU dan sebagainya lewat lobi politik dan kerjasama antar stakeholders di seluruh dunia demi mewujudkan tata kelola internet (internet governance) yang lebih adil dan transparan.
Sebagai negara tempat internet pertama kali dikembangkan, uniknya Amerika Serikat hingga saat ini belum memiliki undang-undang di level federal yang secara khusus mengatur tentang perlindungan data pribadi. Pada tahun 2008, pemerintah Amerika Serikat di bawah Presiden George W. Bush memperkenalkan Comprehensive National Cybersecurity Initiative yang tidak berfungsi sebagai undang-undang melainkan hanya sebagai garis haluan dalam pengembangan kerangka keamanan siber di Amerika
27Serikat. Selebihnya, Peraturan perlindungan data pribadi di Amerika Serikat yang ada saat ini dikembangkan di negara bagian masing-masing dan sektor publik/pemerintahan tertentu (misalnya di sektor kesehatan dan keuangan). Sistem perundang-undangan yang tidak terintegrasi ini dikhawatirkan memunculkan peraturan yang tumpang tindih dan gagal melaksanakan tugasnya untuk melindungi keamanan data pengguna
28internet. Selain itu, Amerika Serikat juga tidak memiliki lembaga khusus yang 29menangani perlindungan data pribadi. Isu-isu terkait dengan keamanan data
kebanyakan dipegang oleh Federal Trade Commission (FTC).
Meskipun begitu, Amerika Serikat mendapatkan nilai 1 untuk aspek legal dan 0.96 untuk aspek teknis dalam penilaian GCI 2017. Alasan dibalik tingginya skor Amerika Serikat dalam hal legal ditengarai adanya beberapa tindakan pemerintah pusat yang mampu menghubungkan kebijakan-kebijakan di level sektoral. Misalnya, terbentuknya Resource Center for State Cybersecurity sebagai wadah bagi pemangku kepentingan di level negara bagian untuk saling berkoordinasi, memberi informasi dan advokasi kepada
76 Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
B. Amerika Serikat
8
Sebagaimana disebutkan sebelumnya, Malaysia merupakan negara yang menempati peringkat ketiga dalam GCI pada tahun 2017 setelah Singapura dan Amerika Serikat. Upaya pengembangan keamanan siber sudah dimulai bahkan sejak tahun 1997 melalui pendirian Malaysian Computer Emergency Response Team (MyCERT) atau yang sekarang dikenal sebagai Cybersecurity Malaysia. Lembaga tersebut merupakan organisasi pemerintah di bawah Kementerian Sains, Teknologi dan Inovasi yang bertanggung jawab atas keamanan siber di Malaysia serta mempromosikan keamanan
35internet di kalangan pengguna internet di Malaysia.
Dalam konteks perlindungan data pribadi, pada tahun 2000, pemerintah Malaysia memperkenalkan Rancangan Undang-Undang Perlindungan Data Pribadi yang perancangannya didasarkan pada Standar Perlindungan Data Eropa, meskipun RUU tersebut pada akhirnya tidak sampai dibahas di Parlemen karena menuai oposisi yang
36besar dari industri komunikasi dan multimedia. Pembahasan mengenai RUU Perlindungan Data Pribadi di Malaysia telah melalui perjalanan yang panjang, hingga akhirnya pada tahun 2010, Undang-Undang Perlindungan Data Pribadi (UU PDP 2010) diundangkan. UU PDP 2010 yang terdiri dari 146 pasal tersebut dapat dibilang cukup spesifik mengatur mengenai perlindungan data pribadi. Beberapa poin penting yang diatur dalam UU tersebut berkaitan dengan klasifikasi data pribadi, prinsip-prinsip perlindungan data pribadi, hak-hak pemilik data, pembentukan badan khusus terkait perlindungan data pribadi, serta prosedur penegakan hukum terkait pelanggaran
37maupun kejahatan yang terkait dengan data pribadi. UU PDP 2010 berfokus pada pemrosesan data pribadi dalam transaksi komersial dan untuk mencegah penyalahgunaan data pribadi.
Hal yang menarik adalah dalam UU tersebut, data pribadi (personal data) didefinisikan sebagai segala informasi yang berkaitan dengan transaksi komersial, yang secara langsung maupun tidak langsung dengan subjek data yang mana subjek data
38tersebut dapat diidentifikasi dari informasi tersebut. Transaksi komersial dalam UU tersebut didefinisikan sebagai segala transaksi yang bersifat komersial (baik terkait jual
39beli barang atau jasa, agensi, investasi, finansial, perbankan dan asuransi). Sehingga, cakupannya bisa dibilang cukup sempit karena hanya berkaitan dengan transaksi komersial (commercial transaction), meskipun definisi tersebut mirip dengan beberapa definisi data pribadi sebagaimana terdapat dalam UU PIP Korea Selatan dan GDPR. UU tersebut juga membedakan data pribadi dengan data pribadi sensitif (sensitive personal data), yakni segala data pribadi yang berkaitan dengan kesehatan, opini politik, maupun
40kepercayaan pemilik data.
9Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
30negara bagian lainnya dalam menghadapi isu keamanan siber. Selain itu, Amerika Serikat juga memiliki US Cybersecurity Information Sharing Act (CISA) 2015. Elemen yang menarik dari aturan ini adalah keleluasaan bagi pihak pemerintah, swasta dan individu untuk bekerjasama dalam berbagi informasi mengenai ancaman keamanan siber. Hasilnya pada tahun 2017, laporan dari Office of the Inspector General of the Intelligence Community melaporkan bahwa sembilan dari 10 lembaga pemerintah federal telah
31mengadopsi prinsip yang ada pada CISA.
Kendati demikian, ketiadaan satu payung hukum yang khusus mengatur perlindungan data pribadi membuat Amerika Serikat banyak dikritisi oleh pengamat, ahli dan warga negara mereka sendiri. Skandal Cambridge Analytica yang mulai terbongkar pada awal tahun 2018 misalnya, menjadi tamparan keras pemegang kepentingan di Amerika Serikat mengenai pentingnya perlindungan data pribadi. Dalam skandal tersebut, data pengguna Facebook yang dikumpulkan oleh peneliti Aleksander Kogan untuk kepentingan penelitian kemudian dibeli oleh perusahaan analisis data bernama Cambridge Analytica. Perusahaan ini memanfaatkan data pengguna untuk membantu klien politik memenangi pemilu dan menurut laporan yang beredar, perusahaan ini
32 disewa jasanya oleh presiden terpilih Amerika Serikat terpilih saat ini, Donald Trump.Pada akhirnya, CEO Facebook, Mark Zuckerberg dipanggil oleh Kongres Amerika Serikat untuk dimintai keterangan.
Skandal itu lantas memicu perdebatan sengit di publik Amerika Serikat mengenai urgensi penyusunan undang-undang perlindungan data pribadi. Ada dua macam tekanan yang diteriakkan oleh kalangan masyarakat, akademisi maupun aktivis, yakni menggabungkan beberapa peraturan perlindungan data pribadi yang ada untuk memiliki kekuatan hukum yang lebih kuat, serta mengadopsi prinsip GDPR di Uni Eropa yang menempatkan pemilik data sebagai penanggung jawab penuh atas data-data
33mereka di dunia maya. Hal ini dapat mengurangi keleluasaan perusahaan berbasis internet seperti Facebook dalam mengakses data pribadi para penggunanya.
Meski Amerika Serikat telah memiliki berbagai macam instrumen hukum terkait keamanan siber, skandal Cambridge Analytica menunjukkan celah kelemahan Amerika Serikat dalam urusan perlindungan data pribadi, dan hal ini telah menjadi salah satu agenda utama yang akan dikerjakan oleh Kongres dan Senat Amerika Serikat, mengingat perlindungan data pribadi di Amerika Serikat terlihat belum terdapat perkembangan yang signifikan dalam beberapa dekade terakhir.34
C. Malaysia
8
Sebagaimana disebutkan sebelumnya, Malaysia merupakan negara yang menempati peringkat ketiga dalam GCI pada tahun 2017 setelah Singapura dan Amerika Serikat. Upaya pengembangan keamanan siber sudah dimulai bahkan sejak tahun 1997 melalui pendirian Malaysian Computer Emergency Response Team (MyCERT) atau yang sekarang dikenal sebagai Cybersecurity Malaysia. Lembaga tersebut merupakan organisasi pemerintah di bawah Kementerian Sains, Teknologi dan Inovasi yang bertanggung jawab atas keamanan siber di Malaysia serta mempromosikan keamanan
35internet di kalangan pengguna internet di Malaysia.
Dalam konteks perlindungan data pribadi, pada tahun 2000, pemerintah Malaysia memperkenalkan Rancangan Undang-Undang Perlindungan Data Pribadi yang perancangannya didasarkan pada Standar Perlindungan Data Eropa, meskipun RUU tersebut pada akhirnya tidak sampai dibahas di Parlemen karena menuai oposisi yang
36besar dari industri komunikasi dan multimedia. Pembahasan mengenai RUU Perlindungan Data Pribadi di Malaysia telah melalui perjalanan yang panjang, hingga akhirnya pada tahun 2010, Undang-Undang Perlindungan Data Pribadi (UU PDP 2010) diundangkan. UU PDP 2010 yang terdiri dari 146 pasal tersebut dapat dibilang cukup spesifik mengatur mengenai perlindungan data pribadi. Beberapa poin penting yang diatur dalam UU tersebut berkaitan dengan klasifikasi data pribadi, prinsip-prinsip perlindungan data pribadi, hak-hak pemilik data, pembentukan badan khusus terkait perlindungan data pribadi, serta prosedur penegakan hukum terkait pelanggaran
37maupun kejahatan yang terkait dengan data pribadi. UU PDP 2010 berfokus pada pemrosesan data pribadi dalam transaksi komersial dan untuk mencegah penyalahgunaan data pribadi.
Hal yang menarik adalah dalam UU tersebut, data pribadi (personal data) didefinisikan sebagai segala informasi yang berkaitan dengan transaksi komersial, yang secara langsung maupun tidak langsung dengan subjek data yang mana subjek data
38tersebut dapat diidentifikasi dari informasi tersebut. Transaksi komersial dalam UU tersebut didefinisikan sebagai segala transaksi yang bersifat komersial (baik terkait jual
39beli barang atau jasa, agensi, investasi, finansial, perbankan dan asuransi). Sehingga, cakupannya bisa dibilang cukup sempit karena hanya berkaitan dengan transaksi komersial (commercial transaction), meskipun definisi tersebut mirip dengan beberapa definisi data pribadi sebagaimana terdapat dalam UU PIP Korea Selatan dan GDPR. UU tersebut juga membedakan data pribadi dengan data pribadi sensitif (sensitive personal data), yakni segala data pribadi yang berkaitan dengan kesehatan, opini politik, maupun
40kepercayaan pemilik data.
9Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
30negara bagian lainnya dalam menghadapi isu keamanan siber. Selain itu, Amerika Serikat juga memiliki US Cybersecurity Information Sharing Act (CISA) 2015. Elemen yang menarik dari aturan ini adalah keleluasaan bagi pihak pemerintah, swasta dan individu untuk bekerjasama dalam berbagi informasi mengenai ancaman keamanan siber. Hasilnya pada tahun 2017, laporan dari Office of the Inspector General of the Intelligence Community melaporkan bahwa sembilan dari 10 lembaga pemerintah federal telah
31mengadopsi prinsip yang ada pada CISA.
Kendati demikian, ketiadaan satu payung hukum yang khusus mengatur perlindungan data pribadi membuat Amerika Serikat banyak dikritisi oleh pengamat, ahli dan warga negara mereka sendiri. Skandal Cambridge Analytica yang mulai terbongkar pada awal tahun 2018 misalnya, menjadi tamparan keras pemegang kepentingan di Amerika Serikat mengenai pentingnya perlindungan data pribadi. Dalam skandal tersebut, data pengguna Facebook yang dikumpulkan oleh peneliti Aleksander Kogan untuk kepentingan penelitian kemudian dibeli oleh perusahaan analisis data bernama Cambridge Analytica. Perusahaan ini memanfaatkan data pengguna untuk membantu klien politik memenangi pemilu dan menurut laporan yang beredar, perusahaan ini
32 disewa jasanya oleh presiden terpilih Amerika Serikat terpilih saat ini, Donald Trump.Pada akhirnya, CEO Facebook, Mark Zuckerberg dipanggil oleh Kongres Amerika Serikat untuk dimintai keterangan.
Skandal itu lantas memicu perdebatan sengit di publik Amerika Serikat mengenai urgensi penyusunan undang-undang perlindungan data pribadi. Ada dua macam tekanan yang diteriakkan oleh kalangan masyarakat, akademisi maupun aktivis, yakni menggabungkan beberapa peraturan perlindungan data pribadi yang ada untuk memiliki kekuatan hukum yang lebih kuat, serta mengadopsi prinsip GDPR di Uni Eropa yang menempatkan pemilik data sebagai penanggung jawab penuh atas data-data
33mereka di dunia maya. Hal ini dapat mengurangi keleluasaan perusahaan berbasis internet seperti Facebook dalam mengakses data pribadi para penggunanya.
Meski Amerika Serikat telah memiliki berbagai macam instrumen hukum terkait keamanan siber, skandal Cambridge Analytica menunjukkan celah kelemahan Amerika Serikat dalam urusan perlindungan data pribadi, dan hal ini telah menjadi salah satu agenda utama yang akan dikerjakan oleh Kongres dan Senat Amerika Serikat, mengingat perlindungan data pribadi di Amerika Serikat terlihat belum terdapat perkembangan yang signifikan dalam beberapa dekade terakhir.34
C. Malaysia
// 11
permasalahan terkait data pribadi, terutama data-data pribadi di luar klasifikasi sebagaimana dimaksud dalam UU PDP 2010 tersebut. Namun setidaknya, Malaysia telah memiliki dasar hukum serta lembaga khusus yang berkaitan dengan perlindungan data pribadi. Meskipun data pribadi yang dimaksud hanya berkaitan dengan data pribadi mengenai transaksi komersial, akan tetapi hal tersebut merupakan langkah yang baik mengingat di era ekonomi digital ini adanya perlindungan data pribadi merupakan hal yang sangat krusial dilakukan oleh pemerintah.
Untuk melihat bagaimana status perlindungan data pribadi di Indonesia saat ini, dapat dilihat setidaknya dari dua aspek, yakni aspek legal dan aspek teknis, dua aspek yang juga diperbandingkan pada bagian sebelumnya. Sebelum melihat bagaimana kondisi perlindungan data pribadi di Indonesia, patut diketahui juga bagaimana posisi Indonesia dalam GCI guna mengetahui bagaimana kesiapan keamanan siber di Indonesia. Dalam laporan GCI tahun 2017, Indonesia menempati peringkat 70 dengan skor total 0.424, dan masuk kategori negara maturing stage (negara-negara yang sudah
45mulai mengembangkan komitmen, program dan inisiatif keamanan siber).
Beberapa poin yang patut diperhatikan dan menjadi titik lemah Indonesia berdasarkan laporan GCI tahun 2017 tersebut, terutama dari aspek teknis adalah belum adanya standar keamanan siber bagi organisasi (pemerintahan) serta minimnya strategi
46dan metrik keamanan siber. Dari aspek legal sendiri, Indonesia masih dalam kategori maturing stage, khususnya dalam hal legislasi keamanan siber dan pelatihan keamanan
47siber. Berkaca pada kondisi keamanan siber Indonesia tersebut, menjadi menarik kemudian melihat bagaimana perlindungan data, khususnya data pribadi, yang notabene juga merupakan bagian dari keamanan siber Indonesia.
Berkaitan dengan aspek legal, hingga saat ini, Indonesia tidak memiliki undang-undang yang secara khusus mengatur perlindungan data pribadi seperti halnya di Singapura dan Malaysia. Kendati demikian, wacana pembentukan Undang-Undang
48Perlindungan Data Pribadi sejatinya telah muncul sejak tahun 2015, bahkan Naskah Akademik dan Rancangan Undang-Undang tersebut sudah dapat diunduh melalui situs
49resmi Badan Pembinaan Hukum Nasional. Lebih lanjut, pasca insiden Cambridge Analytica dan kebocoran data pribadi pada saat registrasi kartu SIM beberapa waktu
Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
Namun demikian, mengingat dasar pengertian dari data pribadi dalam UU tersebut adalah data yang berkaitan dengan transaksi komersial, maka cakupan data pribadi sensitif tersebut juga masih berkaitan dengan transaksi komersial. Konsekuensinya, data-data terkait dengan kesehatan atau penanganan medis (secara umum), maupun data-data pribadi yang didapatkan melalui sosial media, tidak dapat diklasifikasikan sebagai data pribadi sebagaimana dimaksud dalam UU PDP 2010 karena
41data-data tersebut tidak didapatkan dari hasil transaksi komersial.
Pelaksanaan dari UU PDP 2010 tersebut sebagian besar dilakukan oleh Departemen Perlindungan Data Pribadi (JPDP) yang merupakan lembaga di bawah Kementerian Komunikasi dan Multimedia yang dibentuk sejak Mei 2011 setelah Rancangan Undang-Undang Perlindungan Data Pribadi disetujui untuk diundangkan
42oleh Parlemen. Selain hadirnya lembaga yang bersifat spesifik mengenai perlindungan data pribadi tersebut, sebagaimana disebutkan di atas, Malaysia juga memiliki lembaga lain seperti Cybersecurity Malaysia yang merupakan institusi teknis yang khusus menangani permasalahan keamanan siber di Malaysia. Tidak heran dengan hadirnya lembaga-lembaga tersebut, Malaysia bisa memperoleh poin yang tinggi dalam aspek teknis di GCI 2017, yakni dengan perolehan 0.96 poin.
Meskipun Malaysia telah memiliki dasar hukum dalam perlindungan data pribadi serta lembaga yang dibentuk khusus untuk melaksanakan UU tersebut, rupanya masih terdapat pula permasalahan dalam implementasinya. Hal ini salah satunya dikarenakan definisi data pribadi sebagaimana diatur dalam UU PDP 2010 tersebut didasarkan pada data terkait dengan transaksi komersial (sehingga tidak bisa mencakup data pribadi di luar transaksi komersial), dan transaksi komersial sendiri didefinisikan secara luas. Bahkan, berdasarkan penelitian yang dilakukan oleh Noriswadi Ismail, seorang akademisi hukum dari Malaysia, definisi transaksi komersial yang luas tersebut menimbulkan ketidakpastian bagi pemegang data (data users), mengingat definisi tersebut juga mencakup pengumpulan, perekaman, penyimpanan, bahkan segala tindakan yang berkaitan dengan data pribadi (seperti pengorganisasian data, adaptasi,
43pembukaan data, dan pengiriman serta pertukaran data). Selain itu, terdapat pula isu mengenai keterlibatan Cambridge Analytica dalam pemilu di Malaysia, yang tentunya mengindikasikan adanya penyalahgunaan penggunaan data pribadi masyarakat
44Malaysia.
Berdasarkan pemaparan di atas, meskipun dalam konteks keamanan siber Malaysia mampu meraih peringkat ketiga GCI, dalam konteks perlindungan data pribadi, Malaysia sepertinya masih perlu melakukan pembenahan untuk mengatasi berbagai
10 Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
A. Status Quo Perlindungan Data Pribadi di Indonesia
// 11
permasalahan terkait data pribadi, terutama data-data pribadi di luar klasifikasi sebagaimana dimaksud dalam UU PDP 2010 tersebut. Namun setidaknya, Malaysia telah memiliki dasar hukum serta lembaga khusus yang berkaitan dengan perlindungan data pribadi. Meskipun data pribadi yang dimaksud hanya berkaitan dengan data pribadi mengenai transaksi komersial, akan tetapi hal tersebut merupakan langkah yang baik mengingat di era ekonomi digital ini adanya perlindungan data pribadi merupakan hal yang sangat krusial dilakukan oleh pemerintah.
Untuk melihat bagaimana status perlindungan data pribadi di Indonesia saat ini, dapat dilihat setidaknya dari dua aspek, yakni aspek legal dan aspek teknis, dua aspek yang juga diperbandingkan pada bagian sebelumnya. Sebelum melihat bagaimana kondisi perlindungan data pribadi di Indonesia, patut diketahui juga bagaimana posisi Indonesia dalam GCI guna mengetahui bagaimana kesiapan keamanan siber di Indonesia. Dalam laporan GCI tahun 2017, Indonesia menempati peringkat 70 dengan skor total 0.424, dan masuk kategori negara maturing stage (negara-negara yang sudah
45mulai mengembangkan komitmen, program dan inisiatif keamanan siber).
Beberapa poin yang patut diperhatikan dan menjadi titik lemah Indonesia berdasarkan laporan GCI tahun 2017 tersebut, terutama dari aspek teknis adalah belum adanya standar keamanan siber bagi organisasi (pemerintahan) serta minimnya strategi
46dan metrik keamanan siber. Dari aspek legal sendiri, Indonesia masih dalam kategori maturing stage, khususnya dalam hal legislasi keamanan siber dan pelatihan keamanan
47siber. Berkaca pada kondisi keamanan siber Indonesia tersebut, menjadi menarik kemudian melihat bagaimana perlindungan data, khususnya data pribadi, yang notabene juga merupakan bagian dari keamanan siber Indonesia.
Berkaitan dengan aspek legal, hingga saat ini, Indonesia tidak memiliki undang-undang yang secara khusus mengatur perlindungan data pribadi seperti halnya di Singapura dan Malaysia. Kendati demikian, wacana pembentukan Undang-Undang
48Perlindungan Data Pribadi sejatinya telah muncul sejak tahun 2015, bahkan Naskah Akademik dan Rancangan Undang-Undang tersebut sudah dapat diunduh melalui situs
49resmi Badan Pembinaan Hukum Nasional. Lebih lanjut, pasca insiden Cambridge Analytica dan kebocoran data pribadi pada saat registrasi kartu SIM beberapa waktu
Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
Namun demikian, mengingat dasar pengertian dari data pribadi dalam UU tersebut adalah data yang berkaitan dengan transaksi komersial, maka cakupan data pribadi sensitif tersebut juga masih berkaitan dengan transaksi komersial. Konsekuensinya, data-data terkait dengan kesehatan atau penanganan medis (secara umum), maupun data-data pribadi yang didapatkan melalui sosial media, tidak dapat diklasifikasikan sebagai data pribadi sebagaimana dimaksud dalam UU PDP 2010 karena
41data-data tersebut tidak didapatkan dari hasil transaksi komersial.
Pelaksanaan dari UU PDP 2010 tersebut sebagian besar dilakukan oleh Departemen Perlindungan Data Pribadi (JPDP) yang merupakan lembaga di bawah Kementerian Komunikasi dan Multimedia yang dibentuk sejak Mei 2011 setelah Rancangan Undang-Undang Perlindungan Data Pribadi disetujui untuk diundangkan
42oleh Parlemen. Selain hadirnya lembaga yang bersifat spesifik mengenai perlindungan data pribadi tersebut, sebagaimana disebutkan di atas, Malaysia juga memiliki lembaga lain seperti Cybersecurity Malaysia yang merupakan institusi teknis yang khusus menangani permasalahan keamanan siber di Malaysia. Tidak heran dengan hadirnya lembaga-lembaga tersebut, Malaysia bisa memperoleh poin yang tinggi dalam aspek teknis di GCI 2017, yakni dengan perolehan 0.96 poin.
Meskipun Malaysia telah memiliki dasar hukum dalam perlindungan data pribadi serta lembaga yang dibentuk khusus untuk melaksanakan UU tersebut, rupanya masih terdapat pula permasalahan dalam implementasinya. Hal ini salah satunya dikarenakan definisi data pribadi sebagaimana diatur dalam UU PDP 2010 tersebut didasarkan pada data terkait dengan transaksi komersial (sehingga tidak bisa mencakup data pribadi di luar transaksi komersial), dan transaksi komersial sendiri didefinisikan secara luas. Bahkan, berdasarkan penelitian yang dilakukan oleh Noriswadi Ismail, seorang akademisi hukum dari Malaysia, definisi transaksi komersial yang luas tersebut menimbulkan ketidakpastian bagi pemegang data (data users), mengingat definisi tersebut juga mencakup pengumpulan, perekaman, penyimpanan, bahkan segala tindakan yang berkaitan dengan data pribadi (seperti pengorganisasian data, adaptasi,
43pembukaan data, dan pengiriman serta pertukaran data). Selain itu, terdapat pula isu mengenai keterlibatan Cambridge Analytica dalam pemilu di Malaysia, yang tentunya mengindikasikan adanya penyalahgunaan penggunaan data pribadi masyarakat
44Malaysia.
Berdasarkan pemaparan di atas, meskipun dalam konteks keamanan siber Malaysia mampu meraih peringkat ketiga GCI, dalam konteks perlindungan data pribadi, Malaysia sepertinya masih perlu melakukan pembenahan untuk mengatasi berbagai
10 Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
A. Status Quo Perlindungan Data Pribadi di Indonesia
13
silam, dorongan untuk segera mengesahkan RUU Perlindungan Data Pribadi (RUU PDP) tersebut semakin menguat. Namun hingga saat ini, masih belum terdapat kepastian mengenai nasib RUU tersebut.
Hingga saat ini, payung hukum perlindungan data pribadi pada level undang-undang dapat dikatakan “tersebar” dalam beberapa undang-undang seperti Undang-Undang No. 23 Tahun 2006 jo. Undang-Undang No. 24 Tahun 2013 tentang Adminsitrasi Kependudukan (UU Adminduk), Undang-Undang No. 11 Tahun 2008 jo. Undang-Undang No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE), dan Undang-Undang No. 14 Tahun 2008 tentang Keterbukaan Informasi Publik (UU KIP).
Dalam UU Adminduk, terdapat satu Bab yang mengatur mengenai perlindungan data pribadi penduduk, yakni Bab IX tentang Perlindungan Data Pribadi Penduduk yang terdiri dari empat buah pasal. Bab tersebut pada prinsipnya hanya mengatur mengenai jenis data pribadi yang dilindungi, sedangkan ketentuan mengenai penyimpanan dan perlindungan terhadap data pribadi diamanatkan untuk diatur lebih lanjut dalam
50Peraturan Pemerintah. Lebih lanjut, terdapat perubahan jenis data pribadi dalam UU Adminduk 2006 dan UU Adminduk 2013. Lebih jelasnya dapat dilihat pada tabel berikut:
Adanya perubahan terhadap jenis data pribadi tersebut, apabila dilihat secara historis, dilakukan sebagai salah satu upaya perlindungan data-data yang digunakan dalam
52proses implementasi KTP elektronik, yang proyeknya dimulai sejak tahun 2010. Da�ar jenis data pribadi yang terdapat dalam UU Adminduk tersebut sejatinya masih dapat ditafsirkan lebih luas apabila merujuk pada ketentuan Pasal 84 ayat (1) huruf e dalam UU Adminduk 2013 di atas.
Selain dalam UU Adminduk, jenis “data pribadi” juga dapat ditemukan dalam UU KIP. Dalam UU tersebut, “data pribadi” disebut sebagai “informasi yang berkaitan dengan
43hak-hak pribadi” atau “rahasia pribadi”, yakni:a. riwayat dan kondisi anggota keluarga; b. riwayat, kondisi dan perawatan, pengobatan kesehatan fisik, dan psikis
seseorang; c. kondisi keuangan, aset, pendapatan, dan rekening bank seseorang; d. hasil-hasil evaluasi sehubungan dengan kapabilitas, intelektualitas, dan
rekomendasi kemampuan seseorang; dan/atau e. catatan yang menyangkut pribadi seseorang yang berkaitan dengan kegiatan
satuan pendidikan formal dan satuan pendidikan nonformal.
Kendati sudah terdapat jenis data pribadi sebagaimana disebutkan dalam kedua UU di atas, dapat dikatakan bahwa jenis data pribadi tersebut bersifat spesifik. Dalam UU Adminduk, misalnya, data pribadi yang dimaksud adalah yang berkaitan dengan administrasi kependudukan, sedangkan dalam UU KIP adalah data-data yang terkait dengan informasi publik.
Lebih lanjut, terkait dengan definisi data pribadi sendiri, dapat ditemukan dalam UU Adminduk, yakni data perseorangan tertentu yang disimpan, dirawat, dan dijaga
54kebenaran serta dilindungi kerahasiaannya. Pengertian data pribadi dalam UU Adminduk tersebut digunakan di dalam Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), untuk menjelaskan apa data pribadi dalam konteks PSTE tersebut. Penggunaan definisi yang sama dalam PP PSTE tersebut merupakan sesuatu yang wajar untuk menghindari adanya pertentangan antara peraturan yang tingkatannya lebih rendah dengan yang lebih tinggi. Akan tetapi, definisi dalam kedua peraturan tersebut masih bersifat sangat umum dan dapat ditafsirkan secara luas.
Selanjutnya, dalam UU ITE sebagai UU yang saat ini dapat dikatakan sebagai payung pengaturan terkait dengan konteks digital, hanya terdapat satu buah pasal yang mengatur mengenai data pribadi, yakni dalam Pasal 26 yang menyatakan bahwa
55penggunaan data pribadi harus dilakukan atas persetujuan orang yang bersangkutan. Dalam penjelasan pasal tersebut, ditekankan bahwa perlindungan data pribadi
56merupakan bagian dari hak pribadi (privacy rights). Bahkan, dalam UU ITE sendiri tidak diatur mengenai definisi data pribadi. Pengaturan lebih lanjut mengenai perlindungan data pribadi secara lebih spesifik baru dapat ditemukan di level Peraturan Menteri, meskipun pada level Peraturan Pemerintah sudah terdapat sedikit pengaturan mengenai
12 Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
Pasal 84(1) Data Pribadi Penduduk yang harus dilindungi memuat:
a. nomor KK;b. NIK;c. tanggal / bulan / tahun lahir;d. keterangan tentang kecacatan fisik dan/atau mental;e. NIK ibu kandung;f. NIK ayah; dang. Beberapa isi catatan peristiwa Penting
(catatan mengenai data yang bersifat pribadi dan berkaitan dengan peristiwa penting yang perlu dilindungi;
Pasal 84(1) Data Pribadi Penduduk yang harus dilindungi memuat:
a. keterangan tentang cacat fisik dan/atau mental;b. sidik jari; c. iris mata;d. tanda tangan; dan e. elemen data lainnya yang merupakan aib seseorang
UU Adminduk 2006 UU Adminduk 2013
51Tabel 2. Perbandingan Jenis Data Pribadi dalam UU Adminduk 2006 dan UU Adminduk 2013
13
silam, dorongan untuk segera mengesahkan RUU Perlindungan Data Pribadi (RUU PDP) tersebut semakin menguat. Namun hingga saat ini, masih belum terdapat kepastian mengenai nasib RUU tersebut.
Hingga saat ini, payung hukum perlindungan data pribadi pada level undang-undang dapat dikatakan “tersebar” dalam beberapa undang-undang seperti Undang-Undang No. 23 Tahun 2006 jo. Undang-Undang No. 24 Tahun 2013 tentang Adminsitrasi Kependudukan (UU Adminduk), Undang-Undang No. 11 Tahun 2008 jo. Undang-Undang No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE), dan Undang-Undang No. 14 Tahun 2008 tentang Keterbukaan Informasi Publik (UU KIP).
Dalam UU Adminduk, terdapat satu Bab yang mengatur mengenai perlindungan data pribadi penduduk, yakni Bab IX tentang Perlindungan Data Pribadi Penduduk yang terdiri dari empat buah pasal. Bab tersebut pada prinsipnya hanya mengatur mengenai jenis data pribadi yang dilindungi, sedangkan ketentuan mengenai penyimpanan dan perlindungan terhadap data pribadi diamanatkan untuk diatur lebih lanjut dalam
50Peraturan Pemerintah. Lebih lanjut, terdapat perubahan jenis data pribadi dalam UU Adminduk 2006 dan UU Adminduk 2013. Lebih jelasnya dapat dilihat pada tabel berikut:
Adanya perubahan terhadap jenis data pribadi tersebut, apabila dilihat secara historis, dilakukan sebagai salah satu upaya perlindungan data-data yang digunakan dalam
52proses implementasi KTP elektronik, yang proyeknya dimulai sejak tahun 2010. Da�ar jenis data pribadi yang terdapat dalam UU Adminduk tersebut sejatinya masih dapat ditafsirkan lebih luas apabila merujuk pada ketentuan Pasal 84 ayat (1) huruf e dalam UU Adminduk 2013 di atas.
Selain dalam UU Adminduk, jenis “data pribadi” juga dapat ditemukan dalam UU KIP. Dalam UU tersebut, “data pribadi” disebut sebagai “informasi yang berkaitan dengan
43hak-hak pribadi” atau “rahasia pribadi”, yakni:a. riwayat dan kondisi anggota keluarga; b. riwayat, kondisi dan perawatan, pengobatan kesehatan fisik, dan psikis
seseorang; c. kondisi keuangan, aset, pendapatan, dan rekening bank seseorang; d. hasil-hasil evaluasi sehubungan dengan kapabilitas, intelektualitas, dan
rekomendasi kemampuan seseorang; dan/atau e. catatan yang menyangkut pribadi seseorang yang berkaitan dengan kegiatan
satuan pendidikan formal dan satuan pendidikan nonformal.
Kendati sudah terdapat jenis data pribadi sebagaimana disebutkan dalam kedua UU di atas, dapat dikatakan bahwa jenis data pribadi tersebut bersifat spesifik. Dalam UU Adminduk, misalnya, data pribadi yang dimaksud adalah yang berkaitan dengan administrasi kependudukan, sedangkan dalam UU KIP adalah data-data yang terkait dengan informasi publik.
Lebih lanjut, terkait dengan definisi data pribadi sendiri, dapat ditemukan dalam UU Adminduk, yakni data perseorangan tertentu yang disimpan, dirawat, dan dijaga
54kebenaran serta dilindungi kerahasiaannya. Pengertian data pribadi dalam UU Adminduk tersebut digunakan di dalam Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), untuk menjelaskan apa data pribadi dalam konteks PSTE tersebut. Penggunaan definisi yang sama dalam PP PSTE tersebut merupakan sesuatu yang wajar untuk menghindari adanya pertentangan antara peraturan yang tingkatannya lebih rendah dengan yang lebih tinggi. Akan tetapi, definisi dalam kedua peraturan tersebut masih bersifat sangat umum dan dapat ditafsirkan secara luas.
Selanjutnya, dalam UU ITE sebagai UU yang saat ini dapat dikatakan sebagai payung pengaturan terkait dengan konteks digital, hanya terdapat satu buah pasal yang mengatur mengenai data pribadi, yakni dalam Pasal 26 yang menyatakan bahwa
55penggunaan data pribadi harus dilakukan atas persetujuan orang yang bersangkutan. Dalam penjelasan pasal tersebut, ditekankan bahwa perlindungan data pribadi
56merupakan bagian dari hak pribadi (privacy rights). Bahkan, dalam UU ITE sendiri tidak diatur mengenai definisi data pribadi. Pengaturan lebih lanjut mengenai perlindungan data pribadi secara lebih spesifik baru dapat ditemukan di level Peraturan Menteri, meskipun pada level Peraturan Pemerintah sudah terdapat sedikit pengaturan mengenai
12 Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
Pasal 84(1) Data Pribadi Penduduk yang harus dilindungi memuat:
a. nomor KK;b. NIK;c. tanggal / bulan / tahun lahir;d. keterangan tentang kecacatan fisik dan/atau mental;e. NIK ibu kandung;f. NIK ayah; dang. Beberapa isi catatan peristiwa Penting
(catatan mengenai data yang bersifat pribadi dan berkaitan dengan peristiwa penting yang perlu dilindungi;
Pasal 84(1) Data Pribadi Penduduk yang harus dilindungi memuat:
a. keterangan tentang cacat fisik dan/atau mental;b. sidik jari; c. iris mata;d. tanda tangan; dan e. elemen data lainnya yang merupakan aib seseorang
UU Adminduk 2006 UU Adminduk 2013
51Tabel 2. Perbandingan Jenis Data Pribadi dalam UU Adminduk 2006 dan UU Adminduk 2013
//14
57kewajiban penyelenggara sistem elektronik terhadap data pribadi yang dipegangnya.
Pengaturan mengenai perlindungan data pribadi diatur dalam Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permen Kominfo PDPSE). Dalam Permen Kominfo PDPSE diatur beberapa hal yang cukup penting diantaranya mengenai cakupan perlindungan data pribadi, hak pemilik data pribadi, kewajiban pengguna data pribadi, kewajiban penyelenggara sistem elektronik, penyelesaian sengketa terkait data pribadi, pengawasan, dan sanksi administratif. Akan tetapi, dalam peraturan menteri tersebut masih belum terlihat adanya klasifikasi data pribadi seperti halnya dalam UU PDP Malaysia, UU PIP Korea Selatan, dan juga GDPR Uni Eropa.
Apabila merujuk pada NA dan RUU PDP yang disusun oleh BPHN, materi muatan yang diatur sejatinya sudah cukup komprehensif. Untuk lebih jelasnya, berikut adalah perbandingan pengaturan dalam UU PDP di Singapura dan Malaysia, serta RUU PDP Indonesia:
Apabila melihat materi muatan di atas, dapat dikatakan bahwa RUU PDP t e r s e b u t s u d a h c u k u p b a i k d a n mencakup berbagai isu penting dalam konteks perlindungan data pribadi. D a pa t te r l i h a t ba h wa kete n tu a n -ketentuan yang diatur dalam RUU PDP Indonesia tersebut memiliki kemiripan dengan yang terdapat dalam beberapa UU PDP Malaysia dan Singapura, mengingat UU PDP di kedua negara tersebut merupakan beberapa UU yang menjadi acuan dalam pembentukan RUU PDP di Indonesia. Lebih lanjut, hal yang menarik dalam RUU PDP Indonesia adalah upaya untuk mengakomodir kehadiran Komisi Informasi sebagaimana diatur dalam UU KIP, sebagai lembaga yang bertugas menyelesaikan permasalahan terkait dengan perlindungan data pribadi. Dalam perancangannya pun, juga telah dilakukan adanya analisis terhadap beberapa undang-undang yang berkaitan dengan data pribadi seperti UU Perbankan, UU
58Telekomunikasi, UU Perlindungan Konsumen, UU Adminduk, UU KIP, dan UU ITE.
Adanya usaha untuk melakukan harmonisasi terhadap berbagai undang-undang yang juga mengatur tentang data pribadi di sektor-sektor terkait merupakan langkah yang baik untuk meminimalisir adanya permasalahan yang timbul dari tumpang tindihnya undang-undang. Setidaknya terdapat 30 undang-undang yang berkaitan dengan data pribadi, namun demikian berbagai undang-undang tersebut masih tumpang tindih, terutama dalam hal tujuan penggunaan dan pembukaan data, notifikasi
59atau pemberitahuan penggunaan data, serta sanksi dan ketentuan pidana. Lebih lanjut, di luar potensi tumpang tindih peraturan, adanya keinginan politik dari DPR menjadi poin yang sangat penting agar RUU PDP tersebut dapat segera disahkan dan diimplementasikan, mengingat sampai Januari 2018, RUU PDP belum masuk dalam
60program legislasi nasional 2018.
Apabila melihat konteks hukum positif saat ini, pengaturan perlindungan data pribadi dalam Permen Kominfo PDPSE dinilai masih belum cukup kuat, terutama dalam hal penegakan hukumnya. Sebagai contoh, salah satu hal yang membedakan peraturan menteri dengan undang-undang adalah tidak memungkinkannya diatur mengenai
61sanksi pidana dalam peraturan menteri, sehingga tidak mungkin untuk memberikan pidana seperti penjara maupun denda kepada pihak-pihak yang melanggar ketentuan peraturan menteri tersebut. Terlebih, mengingat dunia maya yang bersifat tanpa batas, risiko pelanggaran terhadap data pribadi tidak hanya dilakukan oleh orang Indonesia, namun bisa juga dilakukan oleh pihak asing. Sehingga, sanksi administratif yang dinilai
// 15Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
1. Preliminary2. Personal Data Protection
Commission and Administration3. General Rules with Respect to
Protection of Personal Data4. Collection, Use and Disclosure of
Personal Data (consent, purpose)5. Access to and Correction of
Personal Data6. Care of Personal Data7. Enforcement of Parts III to VI8. Appeals to Data Protection
Appeal Committee, High Court and Court of Appeal
9. Do Not Call Registry (preliminary, administration, dan specified message to Singapore telephone number
10.General
Tabel 3. Perbandingan Materi Muatan UU PDP Singapura dan Malaysia dengan RUU PDP Indonesia
UU PDP Singapura UU PDP Malaysia RUU PDP Indonesia
1. Preliminary2. Personal Data Protection
(principles, registration, data user forum and code of practice, rights of data subject)
3. Exemption4. Appointment, Function, and
Powers of Commissioner5. Personal Data Protection
Fund6. Personal Data Protection
Advisory Committee7. Appeal Tribunal8. Inspection, Complaint, and
Investigation9. Enforcement10. Miscellaneous11. Savings and Transitional
Provisions
1. Ketentuan Umum2. Asas dan Tujuan, Ruang Lingkup, Prinsip-Prinsip
Perlindungan Data Pribadi3. Penyelenggaraan Data Pribadi (jenis data pribadi,
penyelenggara Data Pribadi dan Pemroses Data Pribadi, Penyelenggaraan Data Pribadi)
4. Hak Pemilik Data Pribadi5. Kewajiban Penyelenggara Data Pribadi
(persetujuan penyelenggara data pribadi, keamanan data pribadi, akses dan perbaikan data pribadi, pengawasan, akurasi, pelindungan dan pemusnahan data pribadi, alat pemroses/pengolah data visual/CCTV, data pribadi yang terungkap)
6. Pengecualian terhadap Perlindungan Data Pribadi
7. Komisi (fungsi, tugas dan wewenang)8. Transfer Data Pribadi (kepada pihak ketiga dalam
wilayah NKRI; dalam penggabungan, pemisahan, peleburan perusahaan atau transaksi bisnis lainnya; yang sifatnya lintas batas nasional)
9. Pemasaran Langsung10. Pembentukan Pedoman Perilaku Penyelenggara
Data Pribadi11. Kerjasama Internasional12. Partisipasi Masyarakat13. Penyelesaian Sengketa14. Ketentuan Pidana15. Hukum Acara Komisi (mediasi, ajudikasi, melalui
Komisi Informasi, pemeriksaan, putusan Komisi Informasi)
16. Aturan Peralihan17. Ketentuan Penutup
Total: 68 Pasal Total: 146 Pasal Total: 55 Pasal
//14
57kewajiban penyelenggara sistem elektronik terhadap data pribadi yang dipegangnya.
Pengaturan mengenai perlindungan data pribadi diatur dalam Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permen Kominfo PDPSE). Dalam Permen Kominfo PDPSE diatur beberapa hal yang cukup penting diantaranya mengenai cakupan perlindungan data pribadi, hak pemilik data pribadi, kewajiban pengguna data pribadi, kewajiban penyelenggara sistem elektronik, penyelesaian sengketa terkait data pribadi, pengawasan, dan sanksi administratif. Akan tetapi, dalam peraturan menteri tersebut masih belum terlihat adanya klasifikasi data pribadi seperti halnya dalam UU PDP Malaysia, UU PIP Korea Selatan, dan juga GDPR Uni Eropa.
Apabila merujuk pada NA dan RUU PDP yang disusun oleh BPHN, materi muatan yang diatur sejatinya sudah cukup komprehensif. Untuk lebih jelasnya, berikut adalah perbandingan pengaturan dalam UU PDP di Singapura dan Malaysia, serta RUU PDP Indonesia:
Apabila melihat materi muatan di atas, dapat dikatakan bahwa RUU PDP t e r s e b u t s u d a h c u k u p b a i k d a n mencakup berbagai isu penting dalam konteks perlindungan data pribadi. D a pa t te r l i h a t ba h wa kete n tu a n -ketentuan yang diatur dalam RUU PDP Indonesia tersebut memiliki kemiripan dengan yang terdapat dalam beberapa UU PDP Malaysia dan Singapura, mengingat UU PDP di kedua negara tersebut merupakan beberapa UU yang menjadi acuan dalam pembentukan RUU PDP di Indonesia. Lebih lanjut, hal yang menarik dalam RUU PDP Indonesia adalah upaya untuk mengakomodir kehadiran Komisi Informasi sebagaimana diatur dalam UU KIP, sebagai lembaga yang bertugas menyelesaikan permasalahan terkait dengan perlindungan data pribadi. Dalam perancangannya pun, juga telah dilakukan adanya analisis terhadap beberapa undang-undang yang berkaitan dengan data pribadi seperti UU Perbankan, UU
58Telekomunikasi, UU Perlindungan Konsumen, UU Adminduk, UU KIP, dan UU ITE.
Adanya usaha untuk melakukan harmonisasi terhadap berbagai undang-undang yang juga mengatur tentang data pribadi di sektor-sektor terkait merupakan langkah yang baik untuk meminimalisir adanya permasalahan yang timbul dari tumpang tindihnya undang-undang. Setidaknya terdapat 30 undang-undang yang berkaitan dengan data pribadi, namun demikian berbagai undang-undang tersebut masih tumpang tindih, terutama dalam hal tujuan penggunaan dan pembukaan data, notifikasi
59atau pemberitahuan penggunaan data, serta sanksi dan ketentuan pidana. Lebih lanjut, di luar potensi tumpang tindih peraturan, adanya keinginan politik dari DPR menjadi poin yang sangat penting agar RUU PDP tersebut dapat segera disahkan dan diimplementasikan, mengingat sampai Januari 2018, RUU PDP belum masuk dalam
60program legislasi nasional 2018.
Apabila melihat konteks hukum positif saat ini, pengaturan perlindungan data pribadi dalam Permen Kominfo PDPSE dinilai masih belum cukup kuat, terutama dalam hal penegakan hukumnya. Sebagai contoh, salah satu hal yang membedakan peraturan menteri dengan undang-undang adalah tidak memungkinkannya diatur mengenai
61sanksi pidana dalam peraturan menteri, sehingga tidak mungkin untuk memberikan pidana seperti penjara maupun denda kepada pihak-pihak yang melanggar ketentuan peraturan menteri tersebut. Terlebih, mengingat dunia maya yang bersifat tanpa batas, risiko pelanggaran terhadap data pribadi tidak hanya dilakukan oleh orang Indonesia, namun bisa juga dilakukan oleh pihak asing. Sehingga, sanksi administratif yang dinilai
// 15Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia
1. Preliminary2. Personal Data Protection
Commission and Administration3. General Rules with Respect to
Protection of Personal Data4. Collection, Use and Disclosure of
Personal Data (consent, purpose)5. Access to and Correction of
Personal Data6. Care of Personal Data7. Enforcement of Parts III to VI8. Appeals to Data Protection
Appeal Committee, High Court and Court of Appeal
9. Do Not Call Registry (preliminary, administration, dan specified message to Singapore telephone number
10.General
Tabel 3. Perbandingan Materi Muatan UU PDP Singapura dan Malaysia dengan RUU PDP Indonesia
UU PDP Singapura UU PDP Malaysia RUU PDP Indonesia
1. Preliminary2. Personal Data Protection
(principles, registration, data user forum and code of practice, rights of data subject)
3. Exemption4. Appointment, Function, and
Powers of Commissioner5. Personal Data Protection
Fund6. Personal Data Protection
Advisory Committee7. Appeal Tribunal8. Inspection, Complaint, and
Investigation9. Enforcement10. Miscellaneous11. Savings and Transitional
Provisions
1. Ketentuan Umum2. Asas dan Tujuan, Ruang Lingkup, Prinsip-Prinsip
Perlindungan Data Pribadi3. Penyelenggaraan Data Pribadi (jenis data pribadi,
penyelenggara Data Pribadi dan Pemroses Data Pribadi, Penyelenggaraan Data Pribadi)
4. Hak Pemilik Data Pribadi5. Kewajiban Penyelenggara Data Pribadi
(persetujuan penyelenggara data pribadi, keamanan data pribadi, akses dan perbaikan data pribadi, pengawasan, akurasi, pelindungan dan pemusnahan data pribadi, alat pemroses/pengolah data visual/CCTV, data pribadi yang terungkap)
6. Pengecualian terhadap Perlindungan Data Pribadi
7. Komisi (fungsi, tugas dan wewenang)8. Transfer Data Pribadi (kepada pihak ketiga dalam
wilayah NKRI; dalam penggabungan, pemisahan, peleburan perusahaan atau transaksi bisnis lainnya; yang sifatnya lintas batas nasional)
9. Pemasaran Langsung10. Pembentukan Pedoman Perilaku Penyelenggara
Data Pribadi11. Kerjasama Internasional12. Partisipasi Masyarakat13. Penyelesaian Sengketa14. Ketentuan Pidana15. Hukum Acara Komisi (mediasi, ajudikasi, melalui
Komisi Informasi, pemeriksaan, putusan Komisi Informasi)
16. Aturan Peralihan17. Ketentuan Penutup
Total: 68 Pasal Total: 146 Pasal Total: 55 Pasal
belum cukup kuat tersebut akan sulit untuk menangani pelanggaran-pelanggaran yang dilakukan pihak asing, contohnya seperti kasus bocornya 1,1 juta data Facebook
62pengguna Indonesia dalam insiden Cambridge Analytica. Dengan demikian, hadirnya peraturan menteri saja dinilai belum cukup, sehingga diperlukan adanya aturan yang setara di tingkat undang-undang guna menyelesaikan berbagai permasalahan tersebut.
Selain permasalahan terkait regulasi, dari sisi teknis sendiri Indonesia masih belum memiliki lembaga yang khusus menangani perlindungan data pribadi seperti halnya di Malaysia melalui JPDP di bawah Kementerian Komunikasi dan Multimedia. Ketidakhadiran lembaga khusus ini dikarenakan oleh tidak adanya amanat dari peraturan terkait data pribadi seperti halnya Singapura dan Malaysia yang mengamanatkan adanya lembaga khusus melalui UU Perlindungan Data Pribadi masing-masing. Dalam konteks Indonesia pun, akan menjadi tantangan tersendiri untuk mengamanatkan pembentukan lembaga atau instansi khusus melalui peraturan menteri. Lebih lanjut, Wacana penambahan fungsi Komisi Informasi sebagaimana tercantum dalam RUU PDP Indonesia di atas dapat menjadi langkah yang baik. Akan tetapi, perlu diperhatikan pula beban kerja dari Komisi Informasi tersebut, mengingat fokus dari Komisi Informasi tidak hanya berkaitan dengan permasalahan perlindungan data pribadi, sehingga penyelesaian permasalahan terkait dengan data pribadi akan dapat diselesaikan dengan lebih baik pula.
Kehadiran aturan mengenai perlindungan data pribadi di Indonesia, khususnya pada level undang-undang menjadi krusial, terutama dengan terjadinya beberapa
63insiden seperti bocornya data NIK dan KK pada registrasi kartu SIM, dan insiden Cambridge Analytica yang juga berdampak pada data pengguna Indonesia beberapa waktu lalu. Di era big data seperti sekarang ini, potensi pelanggaran dan kejahatan terkait dengan penggunaan data pribadi menjadi semakin tinggi karena data-data tersebut semakin mudah untuk dikumpulkan. Sebagai contoh, dalam proses pembuatan E-KTP, Pemerintah bisa mendapatkan data-data pribadi seluruh warga negara Indonesia, misalnya seperti data biometrik, yang bahkan menurut UU PDP Malaysia dan GDPR Uni Eropa disebut sebagai data pribadi sensitif.
Berkaca pada praktik-praktik yang dilakukan di Singapura, Amerika Serikat, dan Malaysia, dalam rangka melindungi data pribadi masyarakat, hal yang sangat penting untuk dilakukan adalah pembentukan undang-undang yang secara spesifik mengatur
//16
mengenai perlindungan data pribadi, khususnya terkait dengan klasifikasi data pribadi, prinsip-prinsip perlindungan data pribadi, hak pemilik data, kewajiban pengguna dan pemroses data, pelaksanaan perlindungan data (termasuk perlunya pembentukan atau penentuan lembaga khusus), mekanisme penegakan hukum, serta pemberian sanksi (terutama sanksi pidana) kepada pihak-pihak yang melanggar ketentuan tersebut.
Singapura dan Malaysia telah memiliki undang-undang perlindungan data pribadinya masing-masing. Berbeda dengan Amerika Serikat yang hingga saat ini masih belum memiliki undang-undang khusus di level pemerintah federal tentang perlindungan data pribadi. Ketentuan-ketentuan mengenai data pribadi banyak diatur oleh negara-negara bagian. Ketiadaan aturan di level pemerintah federal ini kemudian menjadi permasalahan yang banyak dikritisi dan dibahas, terutama setelah insiden Cambridge Analytica yang terjadi beberapa waktu lalu. Indonesia dapat melihat beberapa contoh pengaturan mengenai perlindungan data pribadi yang ada di negara-negara tetangga seperti Singapura dan Malaysia sebagaimana dijelaskan sebelumnya.
Lebih lanjut, dalam rangka pembentukan undang-undang perlindungan data pribadi di Indonesia, perlu juga diperhatikan cakupan data pribadi yang dilindungi. Sebagai contoh, di Malaysia, hanya data-data pribadi terkait dengan transaksi komersial saja yang dilindungi. Sedangkan di Singapura, data pribadi yang dimaksud lebih luas cakupannya tidak hanya data pribadi yang berkaitan dengan transaksi komersial. Apabila merujuk pada RUU PDP Indonesia, data pribadi yang dimaksud tidak hanya mencakup data-data terkait dengan transaksi komersial seperti halnya di Malaysia, namun cakupannya lebih luas seperti dalam UU PDP Singapura. Dalam RUU tersebut juga telah terdapat klasifikasi data pribadi yakni data pribadi umum dan data pribadi sensitif.
Selain itu, penerapan undang-undang tersebut juga harus memiliki kejelasan mengenai cakupan keberlakuannya. UU PDP harus bisa mencakup ranah publik dan privat, mengingat tidak hanya instansi swasta saja yang dapat mengumpulkan data pengguna, pemerintah pun juga dapat melakukan hal yang sama. Hal ini menjadi krusial terutama dalam konteks implementasi peraturan sehingga tidak menimbulkan adanya ketidakpastian dan ketidakjelasan dalam pelaksanaannya. Kemudian, upaya sinkronisasi dan harmonisasi undang-undang sangat perlu untuk dilakukan sehingga dapat menyelesaikan permasalahan tumpang tindihnya undang-undang sebagaimana penelitian ELSAM di atas.
Selanjutnya, hadirnya lembaga khusus yang menangani permasalahan terkait data pribadi juga menjadi salah satu hal yang penting dalam pelaksanaan perlindungan data pribadi. Wacana memaksimalkan Komisi Informasi sebagai lembaga yang
Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia //17
B. Masa Depan Perlindungan Data Pribadi di Indonesia: Belajar dari Praktik di Singapura, Amerika Serikat, dan Malaysia
belum cukup kuat tersebut akan sulit untuk menangani pelanggaran-pelanggaran yang dilakukan pihak asing, contohnya seperti kasus bocornya 1,1 juta data Facebook
62pengguna Indonesia dalam insiden Cambridge Analytica. Dengan demikian, hadirnya peraturan menteri saja dinilai belum cukup, sehingga diperlukan adanya aturan yang setara di tingkat undang-undang guna menyelesaikan berbagai permasalahan tersebut.
Selain permasalahan terkait regulasi, dari sisi teknis sendiri Indonesia masih belum memiliki lembaga yang khusus menangani perlindungan data pribadi seperti halnya di Malaysia melalui JPDP di bawah Kementerian Komunikasi dan Multimedia. Ketidakhadiran lembaga khusus ini dikarenakan oleh tidak adanya amanat dari peraturan terkait data pribadi seperti halnya Singapura dan Malaysia yang mengamanatkan adanya lembaga khusus melalui UU Perlindungan Data Pribadi masing-masing. Dalam konteks Indonesia pun, akan menjadi tantangan tersendiri untuk mengamanatkan pembentukan lembaga atau instansi khusus melalui peraturan menteri. Lebih lanjut, Wacana penambahan fungsi Komisi Informasi sebagaimana tercantum dalam RUU PDP Indonesia di atas dapat menjadi langkah yang baik. Akan tetapi, perlu diperhatikan pula beban kerja dari Komisi Informasi tersebut, mengingat fokus dari Komisi Informasi tidak hanya berkaitan dengan permasalahan perlindungan data pribadi, sehingga penyelesaian permasalahan terkait dengan data pribadi akan dapat diselesaikan dengan lebih baik pula.
Kehadiran aturan mengenai perlindungan data pribadi di Indonesia, khususnya pada level undang-undang menjadi krusial, terutama dengan terjadinya beberapa
63insiden seperti bocornya data NIK dan KK pada registrasi kartu SIM, dan insiden Cambridge Analytica yang juga berdampak pada data pengguna Indonesia beberapa waktu lalu. Di era big data seperti sekarang ini, potensi pelanggaran dan kejahatan terkait dengan penggunaan data pribadi menjadi semakin tinggi karena data-data tersebut semakin mudah untuk dikumpulkan. Sebagai contoh, dalam proses pembuatan E-KTP, Pemerintah bisa mendapatkan data-data pribadi seluruh warga negara Indonesia, misalnya seperti data biometrik, yang bahkan menurut UU PDP Malaysia dan GDPR Uni Eropa disebut sebagai data pribadi sensitif.
Berkaca pada praktik-praktik yang dilakukan di Singapura, Amerika Serikat, dan Malaysia, dalam rangka melindungi data pribadi masyarakat, hal yang sangat penting untuk dilakukan adalah pembentukan undang-undang yang secara spesifik mengatur
//16
mengenai perlindungan data pribadi, khususnya terkait dengan klasifikasi data pribadi, prinsip-prinsip perlindungan data pribadi, hak pemilik data, kewajiban pengguna dan pemroses data, pelaksanaan perlindungan data (termasuk perlunya pembentukan atau penentuan lembaga khusus), mekanisme penegakan hukum, serta pemberian sanksi (terutama sanksi pidana) kepada pihak-pihak yang melanggar ketentuan tersebut.
Singapura dan Malaysia telah memiliki undang-undang perlindungan data pribadinya masing-masing. Berbeda dengan Amerika Serikat yang hingga saat ini masih belum memiliki undang-undang khusus di level pemerintah federal tentang perlindungan data pribadi. Ketentuan-ketentuan mengenai data pribadi banyak diatur oleh negara-negara bagian. Ketiadaan aturan di level pemerintah federal ini kemudian menjadi permasalahan yang banyak dikritisi dan dibahas, terutama setelah insiden Cambridge Analytica yang terjadi beberapa waktu lalu. Indonesia dapat melihat beberapa contoh pengaturan mengenai perlindungan data pribadi yang ada di negara-negara tetangga seperti Singapura dan Malaysia sebagaimana dijelaskan sebelumnya.
Lebih lanjut, dalam rangka pembentukan undang-undang perlindungan data pribadi di Indonesia, perlu juga diperhatikan cakupan data pribadi yang dilindungi. Sebagai contoh, di Malaysia, hanya data-data pribadi terkait dengan transaksi komersial saja yang dilindungi. Sedangkan di Singapura, data pribadi yang dimaksud lebih luas cakupannya tidak hanya data pribadi yang berkaitan dengan transaksi komersial. Apabila merujuk pada RUU PDP Indonesia, data pribadi yang dimaksud tidak hanya mencakup data-data terkait dengan transaksi komersial seperti halnya di Malaysia, namun cakupannya lebih luas seperti dalam UU PDP Singapura. Dalam RUU tersebut juga telah terdapat klasifikasi data pribadi yakni data pribadi umum dan data pribadi sensitif.
Selain itu, penerapan undang-undang tersebut juga harus memiliki kejelasan mengenai cakupan keberlakuannya. UU PDP harus bisa mencakup ranah publik dan privat, mengingat tidak hanya instansi swasta saja yang dapat mengumpulkan data pengguna, pemerintah pun juga dapat melakukan hal yang sama. Hal ini menjadi krusial terutama dalam konteks implementasi peraturan sehingga tidak menimbulkan adanya ketidakpastian dan ketidakjelasan dalam pelaksanaannya. Kemudian, upaya sinkronisasi dan harmonisasi undang-undang sangat perlu untuk dilakukan sehingga dapat menyelesaikan permasalahan tumpang tindihnya undang-undang sebagaimana penelitian ELSAM di atas.
Selanjutnya, hadirnya lembaga khusus yang menangani permasalahan terkait data pribadi juga menjadi salah satu hal yang penting dalam pelaksanaan perlindungan data pribadi. Wacana memaksimalkan Komisi Informasi sebagai lembaga yang
Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia //17
B. Masa Depan Perlindungan Data Pribadi di Indonesia: Belajar dari Praktik di Singapura, Amerika Serikat, dan Malaysia
menyelesaikan permasalahan data pribadi sebagaimana dijelaskan di atas perlu untuk dipertimbangkan. Apabila melihat praktik yang dilakukan di ketiga negara di atas, Singapura dan Malaysia telah memiliki lembaga khusus yang menangani perlindungan data pribadi, yakni PDPC di Singapura dan JPDP di Malaysia sebagai dua instansi yang diamanatkan oleh UU Perlindungan Data Pribadi masing-masing. Berbeda dengan Amerika Serikat yang hingga saat ini belum memiliki lembaga khusus berkaitan dengan perlindungan data pribadi. Melalui lembaga khusus seperti yang ada di Singapura dan Malaysia, tindakan-tindakan yang diperlukan berkaitan dengan upaya perlindungan data pribadi dan penegakan peraturan dalam undang-undang perlindungan data pribadi dapat dilakukan dengan lebih efektif.
Berkaca pada praktik yang terjadi di Singapura, Amerika Serikat, dan Malaysia, dapat dikatakan bahwa berada dalam posisi sebagai negara dengan peringkat keamanan siber yang tinggi tidak serta merta membuat negara tersebut memiliki sistem perlindungan data pribadi yang baik pula. Sebagai contoh, meskipun menempati peringkat kedua di GCI pada tahun 2017, hingga saat ini Amerika Serikat belum memiliki undang-undang yang khusus mengatur mengenai perlindungan data pribadi, begitu pula lembaga khusus yang menangani permasalahan tersebut. Indonesia dapat belajar dari praktik yang dilakukan oleh Singapura dan Malaysia. Kedua negara tersebut telah memiliki UU Perlindungan Data Pribadi masing-masing, meskipun dengan cakupan data pribadi yang berbeda. Namun demikian, masing-masing UU tersebut telah mengatur secara baik mengenai mekanisme penegakan aturan apabila terjadi pelanggaran maupun kejahatan terkait data pribadi. Selain itu, Singapura dan Malaysia juga telah memiliki lembaga yang khusus dibentuk dalam pelaksanaan perlindungan data pribadi. Hadirnya undang-undang yang khusus mengatur mengenai perlindungan data pribadi, mekanisme penegakan hukum yang jelas, serta lembaga yang membantu pelaksanaan perlindungan data pribadi, menjadi hal yang penting di era big data ini, sehingga pemerintah dapat meminimalisir terjadinya penyalahgunaan data pribadi baik oleh pihak-pihak lain yang memegang maupun memproses data pribadi seseorang.
1Yusuf, O. (2018). Data 1 Juna Pengguna Facebook Indonesia Dicuri [daring] Kompas. Tersedia di: https://tekno.kompas.com/read/2018/04/05/10133697/data-1-juta-pengguna-facebook-indonesia-dicuri [diakses 24 Juni 2018].
2Ayuwuragil, K. (2018). Kominfo Akui 'Pencurian' NIK dan KK Saat Registrasi Kartu SIM [daring] CNN Indonesia. Tersedia di: https://www.cnnindonesia.com/teknologi/20180305204703-213-280691/kominfo-akui-pencurian-nik-dan-kk-saat-registrasi-kartu-sim [Diakses 6 Mar. 2018].
3McDermott, Y. (2017). Conceptualizing the Right to Data Protection in an Era of Big Data. Big Data & Society, hlm. 2-3.
4 T e c h n o p e d i a . D a t a P r o t e c t i o n [ d a r i n g ] T e c h n o p e d i a . T e r s e d i a d i https://www.techopedia.com/definition/29406/data-protection [diakses 22 Juni 2018].
5 I b i d ; C o l l i n s E n g l i s h D i c t i o n a r y. D a t a P r o t e c t i o n [ d a r i n g ] C o l l i n s . Te r s e d i a d i : https://www.collinsdictionary.com/dictionary/english/data-protection [diakses 22 Juni 2018]; VinciWorks. (2015). Data Protection vs Information Security vs Cyber Security [daring] LegalFutures. Tersedia di: https://www.legalfutures.co.uk/associate-news/data-protection-vs-information-security-vs-cyber-security [diakses 22 Juni 2018]; dan Cambridge Dictionary. Data Protection [daring] Cambridge Dictionary. Tersedia di: https://dictionary.cambridge.org/dictionary/ english/data-protection [diakses 22 Juni 2018].
6Bellanova, R. (2016). Digital, Politics and Algorithms: Governing Digital Data through the Lens of Data Protection. European Journal of Social Theory, Vol. 20, No. 3, hlm. 335.
7Craigen, D., Diakun-Thibault, N., dan Purse, R. (2014). Defining Cybersecurity. Technology Innovation Management Review, October 2014, hlm. 17. Dalam tulisan tersebut, Penulis juga memaparkan komparasi dari berbagai definisi mengenai keamanan siber yang telah ada sebelumnya. Lihat juga ITU, Organisation Internationale de la Francophonie, dan AfricaCERT. Introduction to Cyberspace, Cybercrime and Cybersecurity [daring] International Telecomunications Union. Tersedia di: h t t p s : / / w w w . i t u . i n t / e n / I T U - D / C y b e r s e c u r i t y / D o c u m e n t s / Introduction%20to%20the%20Concept%20of%20IT%20Security.pdf [diakses 22 Juni 2018].
8Fischer, E., A. (2016). Cybersecurity Issues and Challenges: In Brief. Congressional Research Service Report, 12 Agustus 2016, hlm. 2
9Donny, B.U (ed). (2018) Kebijakan Cybersecurity dalam Perspektif Multistakeholders. Creative Commons, ICT Watch dan Kementerian Komunikasi dan Informatika: Jakarta, hlm. 10.
10Ibid, hlm. 9.11Ibid.12Ibid.13Sebagai contoh definisi, lihat dalam Information Commissioner's Office. What is Personal Data? [daring]
ICO. Tersedia di https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/key-definitions/what-is-personal-data/ [diakses 22 Juni 2018]. Lihat juga Commission Nationale de l'Informatique et des Libertés (CNIL). Personal Data: Definition [daring] CNIL. Tersedia di https://www.cnil.fr/en/personal-data-definition [diakses 22 Juni 2018].
14Pasal 1 angka 27 Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
15Pasal 2 angka 1 Undang-Undang Perlindungan Informasi Pribadi Korea Selatan (2011).16Pasal 2 Ordonansi Data Pribadi (Privasi) CAP 486 Hong Kong. Dalam Pasal tersebut, data pribadi (personal
data) didefinisikan sebagai segala data yang berkaitan baik secara langsung maupun tidak langsung kepada individu, yang memungkinkan untuk mengidentifikasi individu tersebut. Lihat juga Pasal 4 ayat (1) Regulasi Umum Perlindungan Data Uni Eropa, yang mendefinisikan data pribadi (personal data) sebagai segala informasi yang berkaitan dengan individu, yang mana individu tersebut dapat diidentifikasi secara langsung atau tidak langsung berdasarkan data tersebut.
17Pasal 9 angka 1 Regulasi Umum Perlindungan Data Uni Eropa dan Pasal 23 Undang-Undang
18 Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia //19
menyelesaikan permasalahan data pribadi sebagaimana dijelaskan di atas perlu untuk dipertimbangkan. Apabila melihat praktik yang dilakukan di ketiga negara di atas, Singapura dan Malaysia telah memiliki lembaga khusus yang menangani perlindungan data pribadi, yakni PDPC di Singapura dan JPDP di Malaysia sebagai dua instansi yang diamanatkan oleh UU Perlindungan Data Pribadi masing-masing. Berbeda dengan Amerika Serikat yang hingga saat ini belum memiliki lembaga khusus berkaitan dengan perlindungan data pribadi. Melalui lembaga khusus seperti yang ada di Singapura dan Malaysia, tindakan-tindakan yang diperlukan berkaitan dengan upaya perlindungan data pribadi dan penegakan peraturan dalam undang-undang perlindungan data pribadi dapat dilakukan dengan lebih efektif.
Berkaca pada praktik yang terjadi di Singapura, Amerika Serikat, dan Malaysia, dapat dikatakan bahwa berada dalam posisi sebagai negara dengan peringkat keamanan siber yang tinggi tidak serta merta membuat negara tersebut memiliki sistem perlindungan data pribadi yang baik pula. Sebagai contoh, meskipun menempati peringkat kedua di GCI pada tahun 2017, hingga saat ini Amerika Serikat belum memiliki undang-undang yang khusus mengatur mengenai perlindungan data pribadi, begitu pula lembaga khusus yang menangani permasalahan tersebut. Indonesia dapat belajar dari praktik yang dilakukan oleh Singapura dan Malaysia. Kedua negara tersebut telah memiliki UU Perlindungan Data Pribadi masing-masing, meskipun dengan cakupan data pribadi yang berbeda. Namun demikian, masing-masing UU tersebut telah mengatur secara baik mengenai mekanisme penegakan aturan apabila terjadi pelanggaran maupun kejahatan terkait data pribadi. Selain itu, Singapura dan Malaysia juga telah memiliki lembaga yang khusus dibentuk dalam pelaksanaan perlindungan data pribadi. Hadirnya undang-undang yang khusus mengatur mengenai perlindungan data pribadi, mekanisme penegakan hukum yang jelas, serta lembaga yang membantu pelaksanaan perlindungan data pribadi, menjadi hal yang penting di era big data ini, sehingga pemerintah dapat meminimalisir terjadinya penyalahgunaan data pribadi baik oleh pihak-pihak lain yang memegang maupun memproses data pribadi seseorang.
1Yusuf, O. (2018). Data 1 Juna Pengguna Facebook Indonesia Dicuri [daring] Kompas. Tersedia di: https://tekno.kompas.com/read/2018/04/05/10133697/data-1-juta-pengguna-facebook-indonesia-dicuri [diakses 24 Juni 2018].
2Ayuwuragil, K. (2018). Kominfo Akui 'Pencurian' NIK dan KK Saat Registrasi Kartu SIM [daring] CNN Indonesia. Tersedia di: https://www.cnnindonesia.com/teknologi/20180305204703-213-280691/kominfo-akui-pencurian-nik-dan-kk-saat-registrasi-kartu-sim [Diakses 6 Mar. 2018].
3McDermott, Y. (2017). Conceptualizing the Right to Data Protection in an Era of Big Data. Big Data & Society, hlm. 2-3.
4 T e c h n o p e d i a . D a t a P r o t e c t i o n [ d a r i n g ] T e c h n o p e d i a . T e r s e d i a d i https://www.techopedia.com/definition/29406/data-protection [diakses 22 Juni 2018].
5 I b i d ; C o l l i n s E n g l i s h D i c t i o n a r y. D a t a P r o t e c t i o n [ d a r i n g ] C o l l i n s . Te r s e d i a d i : https://www.collinsdictionary.com/dictionary/english/data-protection [diakses 22 Juni 2018]; VinciWorks. (2015). Data Protection vs Information Security vs Cyber Security [daring] LegalFutures. Tersedia di: https://www.legalfutures.co.uk/associate-news/data-protection-vs-information-security-vs-cyber-security [diakses 22 Juni 2018]; dan Cambridge Dictionary. Data Protection [daring] Cambridge Dictionary. Tersedia di: https://dictionary.cambridge.org/dictionary/ english/data-protection [diakses 22 Juni 2018].
6Bellanova, R. (2016). Digital, Politics and Algorithms: Governing Digital Data through the Lens of Data Protection. European Journal of Social Theory, Vol. 20, No. 3, hlm. 335.
7Craigen, D., Diakun-Thibault, N., dan Purse, R. (2014). Defining Cybersecurity. Technology Innovation Management Review, October 2014, hlm. 17. Dalam tulisan tersebut, Penulis juga memaparkan komparasi dari berbagai definisi mengenai keamanan siber yang telah ada sebelumnya. Lihat juga ITU, Organisation Internationale de la Francophonie, dan AfricaCERT. Introduction to Cyberspace, Cybercrime and Cybersecurity [daring] International Telecomunications Union. Tersedia di: h t t p s : / / w w w . i t u . i n t / e n / I T U - D / C y b e r s e c u r i t y / D o c u m e n t s / Introduction%20to%20the%20Concept%20of%20IT%20Security.pdf [diakses 22 Juni 2018].
8Fischer, E., A. (2016). Cybersecurity Issues and Challenges: In Brief. Congressional Research Service Report, 12 Agustus 2016, hlm. 2
9Donny, B.U (ed). (2018) Kebijakan Cybersecurity dalam Perspektif Multistakeholders. Creative Commons, ICT Watch dan Kementerian Komunikasi dan Informatika: Jakarta, hlm. 10.
10Ibid, hlm. 9.11Ibid.12Ibid.13Sebagai contoh definisi, lihat dalam Information Commissioner's Office. What is Personal Data? [daring]
ICO. Tersedia di https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/key-definitions/what-is-personal-data/ [diakses 22 Juni 2018]. Lihat juga Commission Nationale de l'Informatique et des Libertés (CNIL). Personal Data: Definition [daring] CNIL. Tersedia di https://www.cnil.fr/en/personal-data-definition [diakses 22 Juni 2018].
14Pasal 1 angka 27 Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
15Pasal 2 angka 1 Undang-Undang Perlindungan Informasi Pribadi Korea Selatan (2011).16Pasal 2 Ordonansi Data Pribadi (Privasi) CAP 486 Hong Kong. Dalam Pasal tersebut, data pribadi (personal
data) didefinisikan sebagai segala data yang berkaitan baik secara langsung maupun tidak langsung kepada individu, yang memungkinkan untuk mengidentifikasi individu tersebut. Lihat juga Pasal 4 ayat (1) Regulasi Umum Perlindungan Data Uni Eropa, yang mendefinisikan data pribadi (personal data) sebagai segala informasi yang berkaitan dengan individu, yang mana individu tersebut dapat diidentifikasi secara langsung atau tidak langsung berdasarkan data tersebut.
17Pasal 9 angka 1 Regulasi Umum Perlindungan Data Uni Eropa dan Pasal 23 Undang-Undang
18 Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia //19
Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia 21
Perlindungan Informasi Pribadi Korea Selatan.18Ibid.19International Telecommunication Union. (2017). Global Cybersecurity Index (GCI) 2017. International
Telecommunication Union: Geneva, hlm. 17.20International Monetary Fund. (2018). World Economic Outlook, April 2018: Cyclical Upswing, Structural
Change. Internasional Monetary Fund: Washington DC, hlm. 63 dan 222.21Infocomm Media Development Authority (IMDA). (2017). Singapore Gears Up for Cyber Security [daring]
IMDA. Tersedia di: https://www.imda.gov.sg /about/newsroom/archived/ida/media-releases/2005/20050712110643 [diakses 24 Juni 2018].
22Ministry of Communications and Information. (2016). Singapore's Cybersecurity Strategy 2016 [daring] Ministry of Communications and Information. Tersedia di: https://www.csa.gov.sg/news/ publications/singapore-cybersecurity-strategy [diakses 24 Juni 2018].
23Personal Data Protection Commssion (PDPC) Singapore. Who We Are [daring] PDPC Singapore. Tersedia di: [diakses 24 Juni 2018]. https://www.pdpc.gov.sg/About-Us/Who-We-Are
24Ghui. (2018). Do We Have Enough Data Protection Laws? [daring] The Online Citizen. Tersedia di: https://www.theonlinecitizen.com/2018/06/15/do-we-have-enough-data-protection-laws/ [diakses 24 Juni 2018].
25Huiwen, N. (2017). NUS College breached Data Protection Law [daring] The Straits Times. Tersedia di: https://www.straitstimes.com/singapore/nus-college-breached-data-protection-law [diakses 24 Juni 2018].
26Channel News Asia. (2017). 2 Companies fined S$10.000 each for Breaching Data Protection Rules [daring] Channel News Asia. Tersedia di: https://www.channelnewsasia.com/news/singapore/2-companies-fined-s-10-000-each-for-breaching-data-protection-ru-7545814 [diakses 24 Juni 2018].
27National Governors Association (2014). Federal Cybersecurity Program A Resource Guide. National Governors Association; Washington DC, hlm. 2
28O'Connor, N. (2018). Reforming the US Approach to Data Protection and Privacy [daring] Council on Foreign Relations. Tersedia di: https://www.cfr.org/report/reforming-us-approach-data-protection[diakses 24 Juni 2018.].
29DLA Piper. Data Protection Laws of the World: United States [daring] DLA Piper. Tersedia di: https://www.dlapiperdataprotection.com/index.html?t=law&c=US [diakses 24 Juni 2018].
30National Governors Association. Resource Center for State Cybersecurity [daring] National Governors Association. Tersedia di:https://www.nga.org/bestpractices/divisions/hsps/statecyber/ [diakses 24 Juni 2018].
31Joint Report on the Implementation of the Cybersecurity Information Sharing Act of 2015 (Amerika Serikat), hlm. 15
32Langone, A. (2018). Facebook's Cambridge Analytica Controversy Could Be Big Trouble for the Social Network. Here's What to Know [daring] Time.Tersedia di: shttp://time.com/5205314/facebook-cambridge-analytica-breach/ [diakses 24 Juni 2018].
33The Economist. (2018). America Should Borrow from Europe's Data-Privacy Law [daring] The Economist. Tersedia di: https://www.economist.com/leaders/2018/04/05/america-should-borrow-from-europes-data-privacy-law [diakses 24 Juni 2018].
34O'Connor, N., note 32.35Cybersecurity Malaysia. (2011). Laporan Tahunan 2011. Cybersecurity Malaysia: Selangor Darul Ehsan,
hlm. 30-31.36Azmi, I.M. (2007). Personal Data Protection Law: The Malaysian Experiance. Information &
Communications Technology Law, Vol. 16, No. 2, Juni 2007, hlm. 125.37Undang-Undang Perlindungan Data Pribadi 2010 (Malaysia).38Pasal 4 Undang-Undang Perlindungan Data Pribadi 2010 (Malaysia).39Ibid.40Ibid.41Yusoff, Z.M. (2011). The Malaysian Personal Data Protection Act 2010: A Legislation Note. New Zealand
Journal of Public and International Law, Vol. 9, Tahun 2011, hlm. 123
42Department of Personal Data Protection (Malaysia). Introduction [daring] Department of Personal Data Protection (Malaysia). Tersedia di: http://www.pdp.gov.my/index.php/en/mengenai-kami/profil/pengenalan [diakses 24 Juni 2018].
43Ismail, N. (2012). Selected Issues Regarding the Malaysian Personal Data Protection Act (PDPA) 2010. Internasional Data Privacy Law, Vol. 2, No. 2, Tahun 2012, hlm. 108.
44Shairi, N.A. (2018). Cambridge Analytica Scandal Explained [daring] The Malaysian Insight. Tersedia di: https://www.themalaysianinsight.com/s/44235 [diakses 24 Juni 2018].
45International Telecommunication Union, note 20, hlm. 55.46Ibid, hlm. 33.47Ibid.48Kurnia, D. (2015). Kemkominfo Siapkan RUU Perlindungan Data Pribadi [daring] Kementerian
Komunikasi dan Informatika Republik Indonesia. Tersedia di: https://kominfo.go.id/index.php /content/detail/6142/Kemkominfo+Siapkan+RUU+Perlindungan+Data+Pribadi/0/sorotan_media [diakses pada 29 Juli 2018].
49Badan Pembinaan Hukum Nasional. (2015). Naskah Akademik dan Rancangan Undang-Undang tentang Perlindungan Data Pribadi [daring] Badan Pembinaan Hukum Nasional. Tersedia di: https://www.bphn.go.id/data/documents/na_perlindungan_data_pribadi.pdf [diakses 29 Juli 2018].
50Pasal 85 ayat (2) Undang-Undang No. 23 Tahun 2006 jo. Undang-Undang No. 24 Tahun 2013 tentang Adminsitrasi Kependudukan.
51Pasal 84 ayat (1) Undang-Undang No. 23 Tahun 2006 jo. Undang-Undang No. 24 Tahun 2013 tentang Adminsitrasi Kependudukan.
Nugroho, B.P. (2017). Perjalanan Megaproyek e-KTP Sejak 2010 hingga akan Disidangkan [daring] Detik News. Tersedia di: https://news.detik.com/berita/d-3442091/perjalanan-megaproyek-e-ktp-sejak-2010-hingga-akan-disidangkan [diakses 29 Juli 2018].
Pasal 6 ayat (3) huruf c dan Pasal 17 huruf h Undang-Undang No. 14 Tahun 2008 tentang Keterbukaan Informasi Publik.
52Pasal 1 angka 22 Undang-Undang No. 23 Tahun 2006 jo. Undang-Undang No. 24 Tahun 2013 tentang Adminsitrasi Kependudukan.
53Pasal 26 ayat (1) Undang-Undang No. 19 Tahun 2016 tentang Perubahan atas Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.
54Penjelasan Pasal 26 ayat (1) Undang-Undang No. 19 Tahun 2016 tentang Perubahan atas Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.
55Sebagai contoh, lihat Pasal 15 ayat (1) Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektonik.
56Ibid, hlm. 90-120.57Sanjaya, D. (2017). Kebutuhan Akan UU Perlindungan Data Pribadi Kian Mendesak [daring] ELSAM.
Tersedia di: http://elsam.or.id/2017/05/kebutuhan-akan-uu-perlindungan-data-pribadi-kian-mendesak/ [diakses 24 Juni 2018].
58Yuliani, A. (2018). RUU Perlindungan Data Pribadi Belum Masuk Prolegnas 2018 [daring] Kementerian Komunikasi dan Informatika. Tersedia di: https://kominfo.go.id/content/detail/12435/ruu-perlindungan-data-pribadi-belum-masuk-prolegnas-2018/0/sorotan_media [diakses 29 Juli 2018].
59Pasal 15 ayat (1) Undang-Undang No. 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan.
60BBC. (2018). Satu Juta Data Pengguna di Indonesia Bocor, Menkominfo Panggil Facebook [daring] BBC. Tersedia di: http://www.bbc.com/indonesia/majalah-43650917 [diakses 24 Juni 2018].
61Librianty, A. (2018). Beredar Situs Web Diduga Penyedia KK dan NIK Gratis [daring] Liputan6. Tersedia di: http://tekno.liputan6.com/read/3347093/beredar-situs-web-diduga-penyedia-kk-dan-nik-gratis [Diakses 24 Juni 2018]
20
Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia Perlindungan Data Pribadi: Studi Komparasi terhadap Praktik di Singapura, Amerika Serikat, dan Malaysia 21
Perlindungan Informasi Pribadi Korea Selatan.18Ibid.19International Telecommunication Union. (2017). Global Cybersecurity Index (GCI) 2017. International
Telecommunication Union: Geneva, hlm. 17.20International Monetary Fund. (2018). World Economic Outlook, April 2018: Cyclical Upswing, Structural
Change. Internasional Monetary Fund: Washington DC, hlm. 63 dan 222.21Infocomm Media Development Authority (IMDA). (2017). Singapore Gears Up for Cyber Security [daring]
IMDA. Tersedia di: https://www.imda.gov.sg /about/newsroom/archived/ida/media-releases/2005/20050712110643 [diakses 24 Juni 2018].
22Ministry of Communications and Information. (2016). Singapore's Cybersecurity Strategy 2016 [daring] Ministry of Communications and Information. Tersedia di: https://www.csa.gov.sg/news/ publications/singapore-cybersecurity-strategy [diakses 24 Juni 2018].
23Personal Data Protection Commssion (PDPC) Singapore. Who We Are [daring] PDPC Singapore. Tersedia di: [diakses 24 Juni 2018]. https://www.pdpc.gov.sg/About-Us/Who-We-Are
24Ghui. (2018). Do We Have Enough Data Protection Laws? [daring] The Online Citizen. Tersedia di: https://www.theonlinecitizen.com/2018/06/15/do-we-have-enough-data-protection-laws/ [diakses 24 Juni 2018].
25Huiwen, N. (2017). NUS College breached Data Protection Law [daring] The Straits Times. Tersedia di: https://www.straitstimes.com/singapore/nus-college-breached-data-protection-law [diakses 24 Juni 2018].
26Channel News Asia. (2017). 2 Companies fined S$10.000 each for Breaching Data Protection Rules [daring] Channel News Asia. Tersedia di: https://www.channelnewsasia.com/news/singapore/2-companies-fined-s-10-000-each-for-breaching-data-protection-ru-7545814 [diakses 24 Juni 2018].
27National Governors Association (2014). Federal Cybersecurity Program A Resource Guide. National Governors Association; Washington DC, hlm. 2
28O'Connor, N. (2018). Reforming the US Approach to Data Protection and Privacy [daring] Council on Foreign Relations. Tersedia di: https://www.cfr.org/report/reforming-us-approach-data-protection[diakses 24 Juni 2018.].
29DLA Piper. Data Protection Laws of the World: United States [daring] DLA Piper. Tersedia di: https://www.dlapiperdataprotection.com/index.html?t=law&c=US [diakses 24 Juni 2018].
30National Governors Association. Resource Center for State Cybersecurity [daring] National Governors Association. Tersedia di:https://www.nga.org/bestpractices/divisions/hsps/statecyber/ [diakses 24 Juni 2018].
31Joint Report on the Implementation of the Cybersecurity Information Sharing Act of 2015 (Amerika Serikat), hlm. 15
32Langone, A. (2018). Facebook's Cambridge Analytica Controversy Could Be Big Trouble for the Social Network. Here's What to Know [daring] Time.Tersedia di: shttp://time.com/5205314/facebook-cambridge-analytica-breach/ [diakses 24 Juni 2018].
33The Economist. (2018). America Should Borrow from Europe's Data-Privacy Law [daring] The Economist. Tersedia di: https://www.economist.com/leaders/2018/04/05/america-should-borrow-from-europes-data-privacy-law [diakses 24 Juni 2018].
34O'Connor, N., note 32.35Cybersecurity Malaysia. (2011). Laporan Tahunan 2011. Cybersecurity Malaysia: Selangor Darul Ehsan,
hlm. 30-31.36Azmi, I.M. (2007). Personal Data Protection Law: The Malaysian Experiance. Information &
Communications Technology Law, Vol. 16, No. 2, Juni 2007, hlm. 125.37Undang-Undang Perlindungan Data Pribadi 2010 (Malaysia).38Pasal 4 Undang-Undang Perlindungan Data Pribadi 2010 (Malaysia).39Ibid.40Ibid.41Yusoff, Z.M. (2011). The Malaysian Personal Data Protection Act 2010: A Legislation Note. New Zealand
Journal of Public and International Law, Vol. 9, Tahun 2011, hlm. 123
42Department of Personal Data Protection (Malaysia). Introduction [daring] Department of Personal Data Protection (Malaysia). Tersedia di: http://www.pdp.gov.my/index.php/en/mengenai-kami/profil/pengenalan [diakses 24 Juni 2018].
43Ismail, N. (2012). Selected Issues Regarding the Malaysian Personal Data Protection Act (PDPA) 2010. Internasional Data Privacy Law, Vol. 2, No. 2, Tahun 2012, hlm. 108.
44Shairi, N.A. (2018). Cambridge Analytica Scandal Explained [daring] The Malaysian Insight. Tersedia di: https://www.themalaysianinsight.com/s/44235 [diakses 24 Juni 2018].
45International Telecommunication Union, note 20, hlm. 55.46Ibid, hlm. 33.47Ibid.48Kurnia, D. (2015). Kemkominfo Siapkan RUU Perlindungan Data Pribadi [daring] Kementerian
Komunikasi dan Informatika Republik Indonesia. Tersedia di: https://kominfo.go.id/index.php /content/detail/6142/Kemkominfo+Siapkan+RUU+Perlindungan+Data+Pribadi/0/sorotan_media [diakses pada 29 Juli 2018].
49Badan Pembinaan Hukum Nasional. (2015). Naskah Akademik dan Rancangan Undang-Undang tentang Perlindungan Data Pribadi [daring] Badan Pembinaan Hukum Nasional. Tersedia di: https://www.bphn.go.id/data/documents/na_perlindungan_data_pribadi.pdf [diakses 29 Juli 2018].
50Pasal 85 ayat (2) Undang-Undang No. 23 Tahun 2006 jo. Undang-Undang No. 24 Tahun 2013 tentang Adminsitrasi Kependudukan.
51Pasal 84 ayat (1) Undang-Undang No. 23 Tahun 2006 jo. Undang-Undang No. 24 Tahun 2013 tentang Adminsitrasi Kependudukan.
Nugroho, B.P. (2017). Perjalanan Megaproyek e-KTP Sejak 2010 hingga akan Disidangkan [daring] Detik News. Tersedia di: https://news.detik.com/berita/d-3442091/perjalanan-megaproyek-e-ktp-sejak-2010-hingga-akan-disidangkan [diakses 29 Juli 2018].
Pasal 6 ayat (3) huruf c dan Pasal 17 huruf h Undang-Undang No. 14 Tahun 2008 tentang Keterbukaan Informasi Publik.
52Pasal 1 angka 22 Undang-Undang No. 23 Tahun 2006 jo. Undang-Undang No. 24 Tahun 2013 tentang Adminsitrasi Kependudukan.
53Pasal 26 ayat (1) Undang-Undang No. 19 Tahun 2016 tentang Perubahan atas Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.
54Penjelasan Pasal 26 ayat (1) Undang-Undang No. 19 Tahun 2016 tentang Perubahan atas Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.
55Sebagai contoh, lihat Pasal 15 ayat (1) Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektonik.
56Ibid, hlm. 90-120.57Sanjaya, D. (2017). Kebutuhan Akan UU Perlindungan Data Pribadi Kian Mendesak [daring] ELSAM.
Tersedia di: http://elsam.or.id/2017/05/kebutuhan-akan-uu-perlindungan-data-pribadi-kian-mendesak/ [diakses 24 Juni 2018].
58Yuliani, A. (2018). RUU Perlindungan Data Pribadi Belum Masuk Prolegnas 2018 [daring] Kementerian Komunikasi dan Informatika. Tersedia di: https://kominfo.go.id/content/detail/12435/ruu-perlindungan-data-pribadi-belum-masuk-prolegnas-2018/0/sorotan_media [diakses 29 Juli 2018].
59Pasal 15 ayat (1) Undang-Undang No. 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan.
60BBC. (2018). Satu Juta Data Pengguna di Indonesia Bocor, Menkominfo Panggil Facebook [daring] BBC. Tersedia di: http://www.bbc.com/indonesia/majalah-43650917 [diakses 24 Juni 2018].
61Librianty, A. (2018). Beredar Situs Web Diduga Penyedia KK dan NIK Gratis [daring] Liputan6. Tersedia di: http://tekno.liputan6.com/read/3347093/beredar-situs-web-diduga-penyedia-kk-dan-nik-gratis [Diakses 24 Juni 2018]
20
Center for Digital Society
Faculty of Social and Political SciencesUniversitas Gadjah MadaRoom BC 201-202, BC Building 2nd Floor, Jalan Socio Yustisia 1Bulaksumur, Yogyakarta, 55281, Indonesia
Phone : (0274) 563362, Ext. 116Email : [email protected] : cfds.fisipol.ugm.ac.id
Center for Digital Society (CfDS)
@cfds_ugm
cfds_ugm
CfDS UGM
facebook.com/cfdsugm
@cfds_ugm