RUU PDP, Menjawab Trust dan Penegakan Hukum

Jakarta, Cyberthreat.id - Regulasi adalah salah satu komponen utama dalam membangun ekosistem. Keberadaan regulasi akan melengkapi SDM, infrastruktur (fisik dan cyber), dan teknologi yang menjadi prasyarat revolusi industri 4.0 guna mendukung dan mempermudah kehidupan masyarakat.

Global Cybersecurity Index (GCI) yang diprakarsai International Telecommunication Union (ITU) menetapkan lima parameter dalam melakukan penilaian terhadap keamanan siber global. Kelima aspek tersebut diawali dengan regulasi, aspek teknis, organisasi, capacity building (SDM), dan kerja sama (kooperatif).

Indonesia sedang memasuki babak baru dalam Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP). Draf RUU tersebut sudah diserahkan pemerintah ke DPR pada 24 Januari 2020 untuk pembahasan lebih lanjut. Pemerintah selaku inisiator menargetkan pengesahan tahun ini juga.

RUU PDP akan mengisi lubang/celah yang selama ini belum dimiliki Indonesia sekaligus memperkuat pondasi dalam keamanan dan ketahanan ruang siber (cyberspace) Tanah Air. Termasuk meningkatkan 'trust' dalam perkembangan ekonomi digital dengan adanya kepastian hukum lewat perlindungan data sensitif.

Menteri Komunikasi dan Informatika (Menkominfo), Johnny G. Plate, mengatakan RUU PDP masih akan menjalani dinamika politik dalam pembahasan di DPR. Terdapat potensi perubahan dan masukan baru terhadap RUU yang ditargetkan untuk melindungi kepentingan publik dan hak-hak dasar masyarakat tersebut.

Untuk menggali lebih dalam RUU PDP, Cyberthreat.id mewawancarai Dosen Hukum Cyber Universitas Bina Nusantara (Binus), Bambang Pratama, yang memiliki sejumlah catatan terkait RUU yang sudah menjadi pembahasan publik sejak tahun lalu.

Kepada reporter Faisal Hafis, Bambang menyampaikan pandangannya terkait RUU PDP yang menurut dia masih terdapat sejumlah kekosongan sehingga harus diatur lagi dalam RUU tersebut.

Berikut petikan wawancaranya:

Bagaimana menurut anda draf terbaru dari RUU PDP?

Sebenarnya draf itu adalah penyempurnaan. Kalau saya lihat draf tersebut lebih merampingkan, menyekat, dan terdapat pengecualian-pengecualian, karena terdapat pengecualian bagi penegak hukum menggunakan data untuk proses hukum.

Saran anda bagaimana?

Pertama adalah 'data pribadi anak' perlu diatur secara jelas dalam RUU PDP. Salah satu bentuk pengaturannya adalah pembatasan agregasi data anak. Alasannya adalah mencegah paparan negatif internet kepada anak yang meliputi kekerasan, radikalisme, pornografi dan sikap materialisme (konsumtif).

Kedua, secara konsep arus data yang berjalan lebih cepat dibandingkan dengan proses hukum adalah keniscayaan. Oleh sebab itu, perlu dibuat suatu lembaga atau badan yang mengawasi dan menyelesaikan masalah hukum terkait data yang mampu merespon sengketa data secara cepat.

Ketiga, demi menunjang fungsi lembaga pengawas data secara optimal, diperlukan juga model penyelesaian sengketa alternatif yang sifatnya cepat juga. Model penyelesaian sengketa alternatif yang saya sarankan adalah model online atau dikenal dengan sebutan Online Dispute Resolution (ODR).

Keempat, salah satu instrumen hukum penunjang perlindungan data pribadi pada prinsipnya telah diatur dalam PP Nomor 71 Tahun 2019 tentang PSTE, dimana di dalamnya mengamanatkan perlindungan data pribadi security by design.

Tantangannya adalah bagaimana menguji keamanan sistem elektronik dalam menjaga data pribadi. Atas alasan tersebut, saya mengusulkan adanya "regulatory sandbox" dari otoritas pemerintah (Kominfo).

Siapa saja yang bisa dijerat UU PDP jika terjadi pelanggaran data?

Kita tidak tahu, apakah ini bisa diterapkan ke pemerintah juga yang misalnya data yang dikelola bocor. Karena itu, sebenarnya bukan hanya permasalahan di Indonesia, permasalahan di Malaysia juga seperti ini. Tetapi, itu merupakan masalah politik. Menurut saya, permasalahan ini tergantung dengan kebijakan negara kita mau mengambil langkah apa.

Masukan anda sebagai kritik untuk pemerintah terkait politik hukum?

Tidak ada data statistik yang tegas. Dimana pengumpul data itu lebih banyak dilakukan oleh siapa antara swasta dan pemerintah. Kita juga tidak tahu, apakah pemerintah Amerika atau pemerintah negara lain mengumpulkan data lebih besar dari itu. Bobot itu yang menjadi penting untuk penentuannya.

Terkait dengan sanksi pidana, apakah sudah sesuai?

Untuk ukuran sanksi pidana, ada yang berpendapat jika sanksinya tinggi seseorang atau suatu lembaga itu akan patuh. Tetapi, ada pandangan juga, jika value-nya sudah bagus, dimana kesadaran masyarakat sudah tinggi membuat orang tidak ingin melanggarnya. Itu perdebatan yang tidak pernah selesai.

Yang perlu digarisbawahi, apabila kita menganut General Data Protection Regulation (GDPR), bobot sanksinya itu mengikuti dari pendapatan. Namun, instrumen hukum kita tidak mengizinkan hal itu. Sebab itu, harus mengikuti instrumen sistem yang ada, sehingga memasangkan angka yang mungkin dianggap realistis.

Menurut Anda, Indonesia mengikuti model regulasi seperti apa?

Kalau itu kita bicaranya lebih filosofis. Terdapat dua mainstream yang besar, Eropa dan Amerika. GDPR Uni Eropa itu kebanyakan sistem hukumnya adalah hukum sipil. Maka, basis-basisnya dinyatakan secara tegas dalam UU, yaitu GDPR.

Amerika dengan California Consumer Privacy Act (CCPA) itu modelnya itu hybrid atau campuran, mungkin dia tidak perlu UU khusus yang secara komprehensif, seperti GDPR. Tetapi, sektoralnya sudah mengatur secara kuat. Tinggal bagaimana ujungnya, kita melihat dari efektifitas atau 
komprehensif-nya.

Saya tidak anti atau pro kepada salah satunya. Saya melihatnya, kita itu lebih tepat menganut model Amerika (CCPA). Sebab, kondisi (hukum) yang ada di Indonesia.

Redaktur: Arif Rahman