PAKAR HUKUM TELEMATIKA UI - EDMON MAKARIM

Soal Kasus Tokopedia, Mana Aksi Pemerintah?

Dr. Edmon Makarim | Foto: Arsip Cyberthreat.id

Jakarta, Cyberthreat.id – Tokopedia, salah satu startup unicorn Indonesia, digoyang pelanggaran data. Sedikitnya 91 juta data pengguna terekspose di forum internet.

Tokopedia masih menyelidiki internal terkait hal itu. Asosiasi E-Commerce Indonesia (idEA) menilai dalam kasus itu, Tokopedia harus didudukkan secara adil karena sebagai korban peretasan.

Sementara, Badan Perlindungan Konsumen Nasional (BPKN) dengan tegas bahwa Tokopedia perlu diberi sanksi, setidaknya sanksi administratif seperti termaktub Pasal 100 Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE).

Memandang masalah itu, Cyberthreat.id mengontak Pakar Hukum Telematika Universitas Indonesia juga Dekan Fakultas Hukum UI, Dr. Edmon Makarim, Senin (4 Mei 2020).

Menurut Edmon, setiap penyelenggara sistem elektronik (PSE) harus mempertanggungjawabkan bahwa sistemnya andal, aman, dan beroperasi sebagaimana mestinya. “Kecuali, kesalahan bukan terjadi karena dirinya, tapi karena konsumen atau karena kejadian force major,” kata Edmon.

Terlebih saat mendaftar sebagai platform, perusahaan haruslah memenuhi syarat dan ketentuan sesuai Permenkominfo Nomor 4/2016 tentang Sistem Manajemen Pengamanan Informasi dan Permenkominfo Nomor 20/ 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.

Berikut ini petikan wawancara dengan Edmon Makarim:

Dari dua Permenkominfo itu, Tokopedia harus bagaimana?

Dia [Tokopedia kan] pedagang juga, tapi dagangannya ialah jasa—penyediaan sistem elektronik. Jadi, tanggung jawab nih. [Sementara], konsumennya ada dua, yaitu si pembeli yang mau beli ke merchant, satu lagi merchant yang pakai sistem dia. Dua-duanya sama-sama pengguna, sama-sama menjadi sistem dia [Tokopedia]. Sekarang, ada data pribadi yang diberikan pengguna dalam konteks ini, yang nyimpen kan si platform Tokopedia. Dia harus memenuhi kewajiban dia sebagai PSE.

Selain itu...

Ia juga harus memenuhi kewajiban berdasarkan PP Nomor 71/2019, UU Nomor 7/2014 (untuk perdata), kemudian PP 80/2019. Secara umum ada UU Perlindungan Konsumen, di situ ada hak konsumen, hak atas keamanan dan kenyamanan. Bisa juga pidana di situ (UU Perlindungan Konsumen) kalau pelaku usaha kena pidana. Di UU Perdagangan juga kena pidana kalau menyediakan sistem elektronik yang dipakai untuk dagang, tapi tidak sebagaimana mestinya.

Adakah pihak lain yang harus bertanggung jawab?

Kalau ditanya subjek hukumnya ada, yang bertanggung jawab itu di situ siapa saja? Pedagang, PSE, dan pelaku (pidana). Tanggung jawab administrasi [diberikan oleh] pemerintah yang terkait dengan kegiatan [memberikan izin, seperti Kementerian Kominfo].

Maksudnya?

Tanggung jawab itu ada tiga: perdata, administratif, dan pidana. Tanggung jawab pidana itu menjerat si penjebol sistem dan yang menjual data pribadi itu di darknet. Ini ke hacker-nya.

PSE bisa dipidana kalau ternyata membuat sistem tidak sesuai dengan kepatutan dalam praktik bisnis yang berkembang: tidak peduli dengan keamanan; enggak jujur sistem keamanan, terus jebol enggak ngaku.

Kalau tidak ada kejujuran kepada konsumen, bisa kena pidana. Kalau buka UU Nomor 8/1999, yang pokoknya tidak menghargai hak konsumen ada ancaman pidananya, tinggal kamu lihat pasal apa yang relevan dalam konteks ini.

Jika Tokopedia memberi notifikasi ke konsumen ada kebocoran data, tidak bisa dituntut pidana?

Kalau dia ternyata sudah berupaya sebaik mungkin dan sudah menjelaskan informasi itu, yah enggak. Tapi, kalau itu ternyata melibatkan orang dalam (insider attack), terjadinya [kebocoran data] karena kesengajaan, ada pertanggungjawabannya sebagai korporasi, tindak pidana korporasi ada tuh di perlindungan konsumen.

Konsumen yang terdampak juga bisa menggugat platform, karena kenapa? Saya [konsumen] kan menyerahkan data ke kamu [platform], terus kenapa jadi bocor ini? Merugikan saya!

UU ITE dalam kasus ini, bagaimana?

Kamu bisa gugat berdasarkan UU ITE, turunin UU-nya, Permen-nya, PP-nya, gitu itu yang kamu gugat.

Terus kamu bisa juga gugat pemerintah, kenapa? Pemerintah kan membina dan mengawasi: kok diam saja? Kan ada standar keamanan yang harus diikuti.

Bagaimana yang beli data di darkweb, bisakah digugat juga?

Nanti dibuktiin, dia mau neliti atau sebenarnya memang mengambil keuntungan dari situ. Begini, ada hasil curian, barangnya kamu beli, kamu salah enggak? Salah. Karena jalur ilegal.

Siapa yang boleh begitu? Penegak hukum yang menyamar, tidak pakai identitas asli karena dalam rangka penyelidikan.

Kalau orang sipil beli, bisa ada asumsi: tidak ada dasar pembenaran pembeli barang curian. Kalau data pribadi dianggap barang hanya barang curian, sekarang kalau ada pencurian yang disalahin siapa? Rumah yang dicuri atau pencurinya?

Bisa saja kamu juga disalahin kalau kamu sengaja itu dicuri. Apalagi kamu ternyata ada mengharapkan keuntungan di situ.

Kembali ke soal tanggung jawab, soal gugatan bagaimana?

Sanksi ini konteksnya perdata ya. Orang karena suatu kesalahan terjadi kerugian terhadap orang lain ditentukan oleh UU. Intinya, bisa digugat. Siapa nanti yang gugat? Kalau misalnya ada class action dari pengacara atau siapa.

Siapa yang dirugikan digugat semua, dapat itu. Yang beli, yang jual, dan yang kebobolan. Pemerintah juga bisa karena melakukan pembiaran dan tidak melakukan sesuatu atas kerugian pada konsumen; itu bisa digugat itu kalau pengacaranya berani.

Soal sanksi administratif, bagaimana?

Tanggung jawab adminisstratif kan berarti tanggung jawab si penjaga sistem elektronik mematuhi hukum-hukum yang diberikan oleh instansi saat pendaftaran. Ternyata waktu melakukan pendaftaran ada informasi yang enggak benar, maka sanksi administratifnya selain teguran tertulis bisa sampai dikeluarkan dari daftar. Yang tadi situsnya terdaftar menjadi tidak terdaftar.

Siapa yang memberi sanksi administratif?

Kementerian Kominfo dan Kementerian Perdagangan sesuai PP 80/2019. Setelah diproses dia bisa keluar dari daftar trust business masuk ke dalam daftar hitam karena dia enggak jujur, dan lain-lain. Sehabis itu sistemnya diblokir sama pemerintah.

Apakah Tokopedia bisa balik lagi jika disanksi administratif?

Beban pembuktiannya kan di platform. Konsumen kan posisinya mengkritik, mana bisa konsumen membuktikan. Kan dia dijebol, kan ditanya: “Situ ngerawat keamanan enggak sih, ngejaga enggak sih?’ Nah itu, berarti kamu [pengguna] akan gugat dia berdasarkan kelalaian itu. Itu saja dalam pembuktian perdatanya relatif berat.

Saran Anda bagaimana dalam kasus ini?

Pengguna tidak sadar kebocoran data, kalau mau perkarain ya digugat. Cari pengacara yang mau, berani mau ngegugat atas nama class action. Biar enggak sampai terjadi kesembronoan lagi gitu. (Maksud dia adalah pelanggaran data 12,9 juta pengguna Bukalapak tahun lalu.)

Dari kasus Bukalapak, pemerintah harusnya bisa deteksi ya?

Iya, instansi-instansi terkait keamanan disuruh bergerak: polri, BSSN, BIN, dan Kemhan. Bukankah mereka semua membangun infrastruktur dan fasilitas untuk memantau keamanan? Kan patut dipertanyakan, sudah menggunakan anggaran negara, menggunakan alat-alat, kok enggak bisa berkoordinasi satu sama lain.

Jadi, wajarlah nanya sekarang ini: gimana sih penegak hukum? Jadi, jangan Tokopedia juga yang disalahin, masa orang sudah kecurian dia doang yang disalahin, sang pencurinya diabaikan.

Dalam konteks ini pemerintah juga memegang peranan?

Pemerintah kan bisa kasih denda, teguran tertulis, ngeluarin dari daftar. Kan ada kewenangan sanksi administratif, masuk dalam daftar hitam kek, atau apa kek gitu kan. Itu kan tanggung jawab pemerintah. Buka UUD 1945, dibentuknya pemerintah untuk melindungi bangsa, memajukan kesejahteraan umum, kemudian pemerintah punya instansi-instansi, itu kan pemerintah.

Keputusan administrasi pemerintah bisa diperkarakan dituntut namanya di Pengadilan Tata Usaha Negara. Ini kan butuh laporan nekat: berani memperkarakan semua, baru terbuka. Kalau enggak, ya komentar tulisan doang jadinya.

Harus ada orang yang berani mengatasnamakan kepentingan penggugat, bahwa orang yang bersangkutan datanya diambil pengguna Tokopedia.

Konsumen banyak berhimpun, bikin class action bisa juga memperkarakan, cuma kerugian materiil sulit dibuktikan karena ini berupa kerugian inmateriil. Bikin stres [konsumen] itu namanya inmateriil. Inmateriil dihitung berdasarkan estimasi saja.

Gugat saja, bikin class action, pengacara gugat biar si pemerintahnya juga mulai deg-degan kalau diam doang.

Untuk sanksi pidana, bagaimana?

Pidana itu pencurinya yang melakukan akses ilegal. Ada pasalnya di UU ITE. Tapi bisa dua pihak yang kena: bisa pelaku, bisa penyelenggara. Ini kalau ternyata si penyelenggara itu sengaja. Yang satu dianggap pelaku, yang satu lagi dinilai turut serta.

Semua sanksi bisa ya?

 Perdata bisa, administrasi bisa, pidana bisa juga.

Jika ada aturan di Tokopedia, misalnya, jika terjadi pelanggaran data itu berarti tanggung jawab si pembobo, platform tidak ikut campur, pendapat Anda?

Kita kan enggak tahu siapa pelakunya, bisa saja pegawainya yang dulu dan lain sebagainya. Kalau ternyata itu pegawainya si Tokopedia, dan Tokopedia masih ngasih password [untuk akses] ya jebol dong, itu karena kesembronoan itu.

Polisi akan selalu berpikirnya: ada pelaku, ada turut serta.

Kalau ada pernyataan memang platform enggak ada urusan, nanti polisi yang investigasi.

(Edmon juga menjelaskan bahwa dengan kejadian Tokopedia ini, RUU Perlindungan Data Pribadi saat ini bukan lagi urgent, tapi emergency. Ia juga menyoroti revolusi industri 4.0 yang dipopulerkan pemerintah, di mana menyuruh orang-orang berpindah ke elektronik. Sayangnya, pemerintah tidak bisa menjaga keamanan dan tidak memberitahu bahayanya di mana.)

Harapan Anda agar ini tidak terjadi lagi?

Kementerian Kominfo, BSSN, BIN, dan Kemhan kan punya prasarana. Nah, jadikan [pelanggaran data] ini musuh bersama bahwa ada pihak yang enak-enak saja sudah jadi penjahat heroik sudah menjebol.

Yang brengsek itu harus dikejar. Kalau itu tertangkap satu, yang lainnya jera. Karena ada lima instansi yang jagain siber Indonesia.

Badan Perlindungan Konsumen Nasional juga harus lebih galak karena perlindungan data pribadi.

Mudah untuk menangkap si pelaku?

Bisa karena banyak instansi yang punya alat masa enggak mau berkoordinasi. Mereka punya alat yang bisa menelusuri sampai ke mana-mana, sampai kepada media sosial, punya alat intersepsi, punya alat penelusur, ya dikejarlah masa penjahat dibiarkan.

Kalau ada pencurian jangan hanya rumah kebobolan yang dimarahi, penyelenggaranya juga, ada kesengajaan enggak sih. Kalau emang enggak, ok pelakunya dikejar.

Yang paling banyak dituntut siapa?

Pelaku usaha ada keuntungan dan dia punya asuransi. Yang susah itu konsumen, karena enggak tahu kita dibobol atau enggak. Kalau dia (platform) enggak ngaku, kita enggak tahu. Lalu, dikasih tahu aman kok password-nya, enak saja! Password-nya dibilang aman, itu yang namanya: tanggal-bulan-tahun lahir, alamat, dan sebagainya, bagaimana?[]

Redaktur: Andi Nugroho