Akhir-akhir ini kasus Bjorka Sang Hacker kembali mencuat. Hal ini di sinyalir karena Bjorka telah diduga menjual 34 Juta Data Paspor Orang Indonesia di Dark Web. Lalu, bagaimanakah sebenarnya regulasi penjualan data pribadi di Indonesia? Indonesia sendiri telah memiliki peraturan perundang-undangan khusus yang mengatur mengenai pelindungan data pribadi yaitu melalui Undang-Undang Perlindungan Data atau biasa dikenal dengan UU PDP dan Undang-Undang Informasi dan Transaksi Elektronik atau biasa dikenal dengan UU ITE.
Pasal (1) angka 1 UU PDP menjelaskan bahwa data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik. Perlindungan data pribadi ini adalah sebagai upaya melindungi data pribadi dalam rangkaian pemrosesan data pribadi guna menjamin hak konstitusional subjek data pribadi. Sedangkan, Pasal 26 UU ITE menjelaskan bahwa penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan kecuali ditentukan lain oleh peraturan perundang-undangan. Dalam pemanfaatan Teknologi Informasi, perlindungan data pribadi merupakan salah satu bagian dari hak pribadi (privacy rights). Hak pribadi mengandung pengertian sebagai berikut:
- Hak pribadi merupakan hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan.
- Hak pribadi merupakan hak untuk dapat berkomunikasi dengan Orang lain tanpa tindakan memata-matai.
- Hak pribadi merupakan hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang.
Pelanggaran terhadap perlindungan data pribadi tersebut dapat dikenai Pasal 65 jo. Pasal 67 UU PDP sebagai berikut:
- Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000,00 (lima miliar rupiah).
- Setiap Orang yang dengan sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar rupiah).
- Setiap Orang yang dengan sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000,00 (lima miliar rupiah).
Pasal 30 ayat (3) UU ITE, yang menyatakan bahwa Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apapun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan dengan hukuman pidana penjara paling lama 8 tahun dan/atau denda paling banyak Rp800 juta.
Pasal 32 UU ITE mengatur:
- Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik.
- Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun memindahkan atau mentransfer Informasi Elektronik dan/atau Dokumen Elektronik kepada Sistem Elektronik Orang lain yang tidak berhak.
- Terhadap perbuatan sebagaimana dimaksud pada ayat (1) yang mengakibatkan terbukanya suatu Informasi Elektronik dan/atau Dokumen Elektronik yang bersifat rahasia menjadi dapat diakses oleh publik dengan keutuhan data yang tidak sebagaimana mestinya.
Dengan hukuman sebagaimana disebut dalam Pasal 48 UU ITE sebagai berikut:
- Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (1) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp2.000.000.000,00 (dua miliar rupiah).
- Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (2) dipidana dengan pidana penjara paling lama 9 (sembilan) tahun dan/atau denda paling banyak Rp3.000.000.000,00 (tiga miliar rupiah).
- Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (3) dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp5.000.000 (lima miliar rupiah).
Jika dihubungan kembali dengan kasus penjualan 34 Juta Data Paspor Orang Indonesia di Dark Web, Bjorka telah melanggar hukum positif Indonesia. Data pribadi yang diperjual belikan itu meliputi nama, nomor paspor, tanggal berlaku paspor, jenis kelamin hingga tanggal berapa pasport tersebut.
Informasi yang pertama kali diberikan oleh pengamat keamanan siber, Teguh Aprianto, sekaligus pendiri Ethical Hacker Indonesia, melalui akun Twitter-nya @secgron pada Rabu (5/7/2023), menyampaikan bahwa hacker dengan nama akun Bjorka menawarkan seluruh 34 juta data paspor orang Indonesia tersebut dengan harga murah, yaitu 10.000 dollar AS atau sekitar 150 juta. Dengan demikian, dapat disimpulkan bahwa sebenarnya Indonesia sendiri telah membuat regulasi mengenai penjualan data pribadi di Indonesia, yaitu dengan diundangkannya Undang-Undang Perlindungan Data dan Undang-Undang Informasi dan Transaksi Elektronik.
()