Intensitas penggunaan aplikasi digital bereskalasi tajam semenjak pandemi. Skenario ini melambungkan nilai jual komoditas data berkat beragam manfaatnya bagi aktivitas ekonomi digital. Bersamaan dengan itu wacana mengeloskan hambatan aliran data mulai bermunculan.
Otoritas memanfaatkan momentum proses legislasi Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) yang masih berlangsung untuk mengakomodasi agenda sebelumnya ke dalam substansinya dengan harapan melahirkan sektor baru pendongkrak devisa. Meski demikian, ambisi itu cukup mengkhawatirkan. Sebab isu privasi data yang semestinya jadi fokus utama bisa mengalami inferiorisasi di hadapan obsesi ekonomi sebagaimana tampak pada banyak produk UU yang sudah-sudah.
Hukum Pelindungan Data Pribadi di Indonesia
Ketiadaan hukum pelindungan data pribadi kerap diangkat jadi alibi, jika tidak apologi dalam pelbagai polemik pelanggaran privasi data di Indonesia. Tapi, faktanya, kita sebenarnya sudah memiliki aturan sejenis meski tersebar di banyak peraturan perundang-undangan; masing-masing mempunyai istilah dan lingkupnya sendiri. Bukan cuma di sini, Boyne (2020) menyebut Amerika
Serikat pun menghadapi masalah serupa. Pada regulasi level undang-undang, UU ITE dan UU Administrasi Kependudukan sedikit-banyak telah meletakan tanggung jawab perlindungan (atas informasi elektronik; data pribadi). Produk hukum yang pertama didapuk sebagai rujukan utama dalam tata kelola sistem elektronik sementara yang kedua memuat rumusan kewajiban—meski tidak secara spesifik—perihal kerahasiaan data kependudukan.
Pun di tingkat aturan pelaksana, ada Peraturan Pemerintah tentang Penyelenggara Sistem dan Transaksi Elektronik (PP PSTE), juga Peraturan Menteri Kominfo tentang Pelindungan Data Pribadi dalam Sistem Elektronik (Permen Kominfo PDPSE) yang efektif berlaku 2016. Aturan yang disebut terakhir bahkan terbilang cukup komprehensif mengadopsi standar pelindungan dalam derivatif PDP Uni Eropa.
Sayangnya, alih-alih merealisasikan ekosistem digital yang aman, sejak awal keberlakuannya UU ITE justru berbalik jadi instrumen punitif guna mengadili ekspresi digital warganet. Pelbagai kasus transmisi ilegal terhadap informasi elektronik masih santer diberitakan, bahkan, terakhir ratusan-juta data penduduk RI dilaporkan leluasa dijual di dark web. Keberadaan UU Administrasi Kependudukan pun nyatanya tidak juga menghalangi vulgaritas pemerintah untuk deal-dealan memberi akses data kependudukan terhadap ribuan korporasi.
Anomali semacam itu seakan menjawab mengapa dokumen-dokumen sepenting fotokopi Kartu Keluarga bisa berakhir jadi bungkus nasi sebagaimana viral baru-baru ini. Pelajaran yang patut dipetik: adanya undang-undang tidak lantas menjamin proteksi optimal; bagaimana memastikan
kejadian-kejadian serupa tidak terulang pasca keberlakuan UU PDP nanti tampaknya masih jadi tanda tanya besar.
Pengaruh Liberalisasi Ekonomi Digital terhadap RUU PDP
Risiko laten dari komodifikasi dan eksploitasi data keluar sebagai argumen mencolok mengapa pemrosesan data berikut lalu lintasnya perlu dibatasi. Mayoritas belum sadar jika berbagai kemudahan yang ditawarkan aplikasi digital nyatanya tak gratis. Data penggunanya jadi nilai tukar yang dibarter; berbekal data set yang terkumpul serta bantuan kecerdasan buatan, perilaku konsumen senantiasa bisa direkayasa bahkan dimanipulasi oleh para pengepulnya.
Karena itu, dalam praktiknya ada dua jenis kebijakan untuk menghambat arus data. Pertama, kebijakan restriksi; bahwa data-data hanya bisa ditransfer ke negara tujuan yang memiliki standar perlindungan privasi setara atau lebih baik dari negara asal. Kedua, keharusan lokalisasi data; misalnya, data-data strategis hanya bisa ditempatkan di dalam negeri.
Sikap negara-negara pun terbelah. Tiongkok, misalnya, condong memilih kebijakan proteksionis, semisal lokalisasi data-data sensitif, untuk melindungi kepentingan nasional; sementara negara asal korporasi-korporasi IT raksasa seperti Amerika Serikat cenderung menghendaki kelonggaran dalam bentuk self-regulation atas nama komitmen penuh pada perdagangan bebas. Bagi pelaku industri digital, kebijakan lokalisasi akan menambah ongkos pengeluaran untuk membangun pusat data baru, sehingga mereka cenderung menghindarinya.
Di sisi lain, penunda-nundaan pembahasan RUU PDP membuat Indonesia kehilangan momentum puncak untuk merumuskan materi terbaik. Kini, daya gedor yang diharapkan dalam RUU PDP mulai terdikte oleh dinamika perundingan level internasional yang belakangan mengarah ke penambahan pelonggaran arus data lintas negara. Di kawasan asal proyek percontohan PDP terbaik seperti Uni Eropa, misalnya, resistensi stakeholder mulai bermunculan akibat menurunnya pendapatan pasca dua tahun keberlakuan GDPR.
Dari proposal yang diajukan perwakilan Indonesia pada pertemuan G20 2019 lalu, sikap Indonesia terang mendukung aliran bebas data dan timbal balik perlakuan dalam rangka ‘kolaborasi ekonomi’. Motif itu tersirat dalam alasan Menkominfo yang menyebut keputusan tersebut akan menarik masuk ‘bisnis miliaran dolar’. Selain jadi faktor pelambat laju proses legislasi RUU PDP, keengganan pemerintah kehilangan prospek monetisasi juga jadi disinsentif terhadap upaya memaksimalkan proteksi privasi. Sebab, dalam hemat maksimalisasi laba, kebijakan-kebijakan setipe lokalisasi data strategis tentu bukanlah pilihan yang ‘menghasilkan’. Sinyal ke arah itu sudah muncul dalam revisi PP PTSE tahun 2019 kemarin; pemerintah yang awalnya cukup proteksionis pada tahun-tahun terakhir mulai melunak, membuka diri pada opsi kebijakan cross-border data free-flow untuk penyimpanan data-data strategis.
Praktis, masuknya agenda liberalisasi membuat sebagian pihak meragukan komitmen pemerintah untuk benar-benar melindungi hak privasi subjek data. Pasalnya mendorong privasi dan
melonggarkan aliran data adalah dua kebijakan yang secara naluri berseberangan. Satu sisi menghendaki pemrosesan data seminim mungkin (sekalipun berbasis persetujuan subjek data) sedang sisi lainnya menghendaki fleksibilitas pemindahan atau penempatan atas nama konsensualitas pemilik dan pengendali data. Dalam kasus RUU PDP, semestinya ambisi ekonomi jadi tema nomor dua setelah privasi subjek data benar-benar terjamin perlindungannya.
Reformasi Regulasi PDP
Banyak pihak mendapuk RUU PDP sebagai solusi mengingat regulasi saat ini kurang memadai. Kebutuhan itu juga imbas dari ‘efek Brussels’ pasca mulai efektifnya GDPR tahun 2018 silam. Desakan masyarakat sipil untuk segera mengesahkan RUU PDP dimengerti karena, selain aturan yang ada tak mampu merespon peningkatan risiko, banyaknya regulasi saat ini juga menyulitkan untuk bernavigasi mencari dasar hukum yang relevan. Atas ketidakpastian itu, produk undang-undang yang komprehensif seperti UU PDP dirasa semakin dibutuhkan sebagai acuan.
Akan tetapi, isu besar yang belum terjawab adalah mengapa dengan tumpukan regulasi yang eksis sebelumnya perlindungan data privasi tidak efektif. Peninjauan siklus hidup regulasi dapat digunakan untuk mendeteksi bagian mana yang salah sekaligus mengevaluasinya. Langkah ini krusial sebab keberhasilan suatu undang-undang tak melulu diukur dari ada-tidaknya substansi hukum, tapi juga dari dimensi struktur dan kultur. Jangan-jangan kegagalannya bukan karena ketiadaan regulasi PDP yang memadai, melainkan akibat fungsi penegakan dan pengawasan yang tidak kompeten dijalankan.
Lagipula, dalam hemat reformasi regulasi, penambahan aturan tidak selalu menjawab persoalan kebutuhan hukum masyarakat. Apalagi dalam kasus RUU PDP substansinya akan menambah aturan baru yang relatif mirip dengan regulasi yang sudah eksis. Pun dari segi anggaran, fenomena tumpang tindih regulasi kerap membebani ongkos kebijakan. Dengan demikian, tantangan besarnya adalah bagaimana memastikan bahwa dengan adanya substansi RUU PDP yang kita tunggu-tunggu itu kebijakan dapat terimplementasikan efektif sesuai desain praktik terbaik pelindungan privasi.
Namun, dari serangkaian kontroversi legislasi belakangan, publik punya alasan untuk pesimis. Banyak rancangan peraturan perundang-undangan akhirnya terdistraksi oleh superioritas agenda lain di luar kepentingan awalnya. Jangan sampai RUU PDP mengulangi kesalahan yang sama karena melegitimasi skenario-skenario baru di atas kebutuhan pelindungan privasi.
Peneliti di Pusat Studi Hukum dan Kebijakan
Email : [email protected]
