Kebocoran Data Pemilih di Dark Web, ELSAM Kritik KPU Terkait Data Bersifat Terbuka
Gedung Komisi Pemilihan Umum RI. | Foto: Arsip Antaranews.com
Jakarta, Cyberthreat.id - Lembaga Studi dan Advokasi Masyarakat (ELSAM), organisasi yang konsen pada isu-isu HAM, mengatakan, data daftar pemilih tetap (DPT) yang dijual di pasar gelap internet sangat berisiko untuk dieksploitasi.
ELSAM juga mengkritik pernyataan yang disampaikan Komisi Pemilihan Umum RI yang menyatakan data DPT bersifat terbuka.
Pernyataan tersebut, menurut ELSAM, sebagai “sikap pengabaian terhadap potensi penyalahgunaan data pribadi.”
“Kebocoran DPT memiliki risiko yang sangat besar karena DPT dibangun dari data kependudukan yang terkoneksi dengan Nomor Induk Kependudukan (NIK) dan Nomor Kartu Keluarga (NKK) seseorang,” jelas ELSAM dalam pernyataan persnya, Jumat (22 Mei 2020).
Apalagi NIK dan NKK adalah instrumen utama dalam verifikasi dan pengaksesan berbagai layanan, baik publik maupun swasta, seperti BPJS, perbankan, dan lain-lain.
Secara umum, data pribadi yang bocor seperti itu rawan digunakan untuk penipuan, pemerasan, atau upaya mengakses rekening bank dari si pemilik data yang terdampak.
Berita Terkait:
- Soal Kebocoran Data Pribadi Pemilih, KPU: Data Itu Bersifat Terbuka
- Data Pemilih Bocor, KPU Bisa Dikenai Sanksi Sebagai PSE Publik
- Breaking News: Dua Juta Data Pribadi Warga Indonesia Ditawarkan di Forum Hacker, Dicuri dari KPU
Dalam skala kecil, kata ELSAM, data-data itu bisa dipakai untuk pemalsuan identitas sehingga berdampak pada hilangnya kontrol subjek data pada data pribadinya.
Oleh karenanya, ELSAM mendesak agar Kementerian Komunikasi dan Informatika segera menginvestigasi terkait penjualan data pemilih tersebut. “Data apa saja yang bocor,” ujar ELSAM.
Selain itu, Kominfo diminta untuk mengoptimalkan regulasi yang ada untuk menindak terhadap pengendali data selaku penyelenggara sistem dan transaksi elektronik (PSTE).
Baca:
- Pakar: Jika Data Tokopedia, Bukalapak, Dikombinasikan dengan Data KPU yang Bocor, Ini Berbahaya
- DPR: Sistem IT KPU Harus Kuat Demi Menjaga Trust, Kredibilitas, dan Keamanan Nasional
Sebelumnya, di akun Twitter-nya, Under the Breach, perusahaan keamanan asal Israel, mengunggah temuannya terkait dengan data 2,3 juta penduduk Indonesia yang ditawarkan oleh peretas (hacker) di sebuah forum dark web.
Menurut klaim peretas, data yang dijual tersebut diambil dari Komisi Pemilihan Umum RI. Data tersebut berisi nama, alamat, KTP, tanggal lahir, dan lain-lain. Data kelihatannya berasal dari tahun 2013. Peretas juga mengklaim akan mengungkapkan data 200 juta penduduk Indonesia.
Komisioner KPU RI Viryan Azis sebelumnya kepada Cyberthreat.id menjelaskan, DPT yang dijual oleh hacker adalah softfile DPT Pemilu 2014.
Menyangkut DPT tersebut, kata Viryan, sesuai regulasi saat itu data pemilih bersifat terbuka. Sayangnya, Viryan tidak menjelaskan maksud “sifat terbuka” data tersebut: apakah data lalu boleh dibagikan kepada publik?
Sebab, dalam DPT tersebut tercantum informasi-informasi pribadi pemilih. Maka, “sifat terbuka” DPT sangat rawan multitafsir. Di satu sisi, data memang harus bisa diakses publik, tapi juga mengandung informasi pribadi pemilih yang harus dijaga kerahasiaannya.
Baca:
- KPU Sebut yang Dicuri Hacker Data Terbuka, Menkominfo: Harus Dilindungi
- Sebut yang Dicuri Hacker Data Terbuka, KPU Diskak Under the Breach
Dualistik DPT
ELSAM mengatakan, di banyak negara perdebatan perihal status daftar pemilih (electoral rolls) memang tak pernah selesai karena “sifat dualistik dari data” tersebut.
Di satu sisi, DPT merupakan data terbuka yang bisa diakses oleh siapa pun guna menjamin pelaksanaan pemilu yang adil dan akuntabel.
“Akan tetapi, data-data ini juga mengandung konten data pribadi yang tunduk pada sejumlah prinsip perlindungan data pribadi,” tutur ELSAM.
Menurut ELSAM, kandungan data itu pula “yang menjadi pemicu keinginan besar partai politik atau politisi untuk bisa mengakses secara utuh DPT, yang di dalamnya tersedia nama, usia, dan alamat pemilih.”
Namun, kata ELSAM, meski berstatus dualistik, terhadap data pemilih telah diterapkan prinsip “terbuka pengawasan dari publik, dengan sejumlah pengecualian”.
“Problemnya di Indonesia, terdapat kontradiksi antara UU Pemilu dengan UU Adminduk, maupun prinsip-prinsip perlindungan data secara umum,” tutur ELSAM.
Pada Pasal 201 Ayat (8) UU Nomor 7/2017 tentang Pemilu disebutkan, pemutakhiran data pemilih dilakukan setiap enam bulan sekali dengan mengacu pada data kependudukan yang diserahkan oleh pemerintah kepada penyelenggara Pemilu.
Data-data tersebut, selain berisi nama dan alamat juga termasuk NIK dan jenis kelamin (Pasal 202), “bahkan praktiknya NKK juga dicantumkan,” ujar ELSAM. Padahal, adanya NKK tersebut memungkinkan identifikasi lanjutan, seperti nama ibu kandung seseorang.
Di sisi lain, UU juga memberikan kewajiban kepada penyelenggara Pemilu untuk menyerahkan salinan DPT kepada semua partai politik peserta pemilu, “termasuk NIK dan NKK, dan tanpa ada aturan untuk menutup nomor-nomor dalam NIK dan NKK, yang dapat mengidentifikasi atau memprofil seseorang,” tutur ELSAM.
“Sementara posisi partai politik tidak jelas apakah sebagai pengendali atau prosesor data pribadi?” ELSAM menegaskan.
Menyangkut dualistik sifat DPT itu, ELSAM mengatakan, beberapa negara telah menyelaraskan antara UU Pemilu dengan UU Perlindungan Data Pribadi (PDP), misalnya di Eropa dengan mulai berlakunya General Data Protection Regulation (GDPR).
“Penyelarasan ini khususnya terkait dengan status dari data pemilih, kontennya, serta kewajiban dari partai politik, apakah bertindak sebagai data controller atau data processor?
Oleh karenanya, ELSAM menyarankan agar pemerintah dan DPR segera menyelesaikan RUU PDP. “Keberadaan UU PDP akan mengatur secara lebih jelas kewajiban pengendali dan prosesor data pribadi, tidak hanya sektor privat, namun juga badan publik—lembaga negara,” kata ELSAM.[]
Redaktur: Andi Nugroho
