Dalam hal ini problemnya pun serupa, belum adanya kebijakan yang cukup untuk memproteksi hak atas privasi warga negara, selain masalah centang perenang regulasi yang terkait dengan penapisan dan pemblokiran konten internet.

JAKARTA, GRESNEWS.COM - Baru-baru ini pemerintah melalui Kementerian Komunikasi dan Informatika, mengumumkan perihal kewajiban registrasi ulang bagi pelanggan telekomunikasi seluler (kartu prabayar), dengan mewajibkan pelanggan untuk mengirimkan Nomor Identitas Kependudukan (NIK) sesuai e-KTP, dan nomor kartu keluarga. Merujuk pada Permenkominfo No. 12 Tahun 2016 dan Permenkominfo No. 14 Tahun 2017, yang dijadikan acuan bagi pelaksanaan kebijakan ini, tidak disebutkan dengan jelas maksud dan tujuan dari dilakukannya registrasi ulang.

"Tujuannya semata-mata hanya dikatakan oleh pihak kementerian, bahwa hal ini diperlukan dikarenakan banyak kartu SIM Card yang disalahgunakan," kata Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar, kepada gresnews.com, Kamis (19/10).

Wahyudi mengatakan, meskipun kewajiban resgistrasi SIM Card umum ditemukan di banyak negara, namun minimnya jaminan perlindungan data pribadi maupun privasi secara umum di Indonesia, telah menjadi potensi ancaman tersendiri bagi penikmatan hak atas privasi warga negara. "Belum lagi, pelanggan diminta untuk mengirimkan NIK dan nomor kartu keluarga sekaligus, untuk dapat dilakukan sinkronisasi dengan Data Kependudukan dan Pencatatan Sipil," jelas dia.

Bahkan jika mengacu pada Pasal 6 Permenkominfo No. 12 Tahun 2016, disebutkan pula bahwa selain nomor kartu keluarga, pelanggan juga diminta nama ibu kandung. Meski otoritas kementerian dalam pengumumannya mengatakan bahwa pelanggan tidak perlu mengirimkan nama ibu kandung, karena itu merupakan super password, sayangnya rumusan Pasal 6 tidak diubah atau dihapus dengan Permenkominfo No. 14 Tahun 2017.

Problem aturan di tingkat teknis tersebut kian diperparah dengan tumpang tindih dan tidak adanya sinkronisasi aturan mengenai perlindungan data pribadi di Indonesia. Dalam studi ELSAM, setidaknya ditemukan 30 undang-undang (saat ini 32 UU), yang materinya mengandung konten terkait data pribadi warga negara. "Mayoritas diantaranya adalah pemberian kewenangan baik bagi otoritas publik (pemerintah) maupun privat (swasta) untuk melakukan pengumpulan dan pengelolaan data pribadi warga negara, termasuk wewenang untuk melakukan intrusi dengan beberapa pengecualian," terang Wahyudi.

Sektornya pun beragam, mulai dari telekomunikasi, keuangan dan perbankan, perpajakan, kependudukan, kearsipan, penegakan hukum, dan keamanan. Dengan tumpang tindihnya aturan di tingkat undang-undang tersebut, tentu sulit kiranya jika perlindungan data pribadi warga negara hari ini—khususnya terkait dengan isu registrasi ulang SIM Card, hanya dijamin dengan Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Potensi ancaman terhadap hak atas privasi warga negara, dari proses registrasi SIM Card, sebagai akibat minimnya jaminan perlindungan data pribadi warga, secara teknis dapat tergambar dari proses registrasinya sendiri. Meskipun pengumpulan data NIK dan nomor kartu keluarga dilakukan secara tersentral oleh pemerintah, dengan mengirimkan SMS ke nomor tertentu, namun proses validasi data tetap dilakukan oleh operator.

"Artinya pihak pertama yang akan melakukan pengumpulan dan pemrosesan seluruh data (pribadi) pelanggan, adalah pihak penyedia layanan," papar Wahyudi.

Selain itu, secara teknis bekerjanya "SMS", seluruh pesan yang dikirimkan oleh pelanggan (subscriber), juga terlebih dahulu akan masuk ke Short Message Service Center (SMSC) yang dikelola operator. "Lalu, mekanisme atau aturan seperti apa yang bisa memastkikan bahwa data pribadi pelanggan dilindungi dalam proses tersebut?" tanya Wahyudi.

Meski umum ditemukan, praktik di berbagai negara juga beragam, terutama jika dikaitkan kompabilitasnya dengan jaminan perlindungan terhadap data pribadi warga negaranya. Untuk hal ini, ELSAM setidaknya melakukan penelusuran terhadap ketentuan hukum perlindungan data pribadi di 88 negara di dunia. Dari 88 negara tersebut, 16 negara sudah memiliki aturan yang sangat kuat bagi perlindungan data pribadi, 24 negara kuat perlindungannya, 32 negara aturannya sedang, dan 16 negara masuk dalam kualifikasi kurang.

Namun demikian dari jumlah tersebut, hanya 57 negara yang secara spesifik telah memiliki UU Perlindungan Data Pribadi, sedangkan 31 negara belum secara spesifik menerapkan UU Perlindungan Data Pribadi. Kaitannya dengan kewajiban registrasi SIM Card, dari 88 negara tersebut, 27 negara tercatat belum menerapkan kewajiban registrasi SIM Card, 23 negara sudah mewajibkan, dan 38 belum diketahui.

Data lain yang dapat diperoleh, dari 57 negara yang memiliki UU Perlindungan Data Pribadi secara spesifik, ternyata hanya ada 5 negara yang memiliki kewajiban registrasi SIM Card. Sementara dari 31 negara yang belum memiliki UU Perlindungan Data Pribadi, 8 negara diantaranya memiliki kewajiban registrasi SIM Card, salah satu di dalamnya adalah Indonesia.

Selain perkembangan mengenai kewajiban registrasi ulang SIM Card, baru-baru ini Kementerian Kominfo juga baru saja mengumumkan pemenang pengadaan mesin sensor internet, yang akan membantu pelaksanaan program Trust Positive (Trust +), untuk memfilter dan memblokir konten-konten negatif. Alat ini sendiri, direncanakan akan mulai digunakan pada awal tahun 2018 mendatang.

Dalam hal ini problemnya pun serupa, belum adanya kebijakan yang cukup untuk memproteksi hak atas privasi warga negara, selain masalah centang perenang regulasi yang terkait dengan penapisan dan pemblokiran konten internet. Sebagai catatan, sampai dengan saat ini setidaknya ada tiga undang-undang yang mengatur tentang penapisan dan pemblokiran konten internet: UU Informasi dan Transaksi Elektronik, UU Pornografi, dan UU Hak Cipta.

"Sayangnya sampai dengan saat ini, ketiga aturan tersebut tidak mengatur dengan detail mengenai prosedur dalam penapisan/pemblokiran," tegas Wahyudi.

Dari 10 metode penapisan/pemblokiran konten internet, salah satu metode yang dikenal adalah metode surveillance. Metode ini dilakukan dengan cara memonitor situs-situs yang dikunjungi pengguna. Jika pengguna tersebut mengakses konten terlarang, atau berusaha untuk mengaksesnya, lalu yang bersangkutan ditindak, baik secara legal maupun extralegal.

Surveillance umumnya dipakai sebagai pelengkap filtering konvensional. Surveillance bertujuan menimbulkan efek ketakutan karena membuat pengguna internet merasa dimata-matai sehingga tidak berani mengakses situs terlarang. Hal ini sebagaimana maksud dan tujuan dari mesin sensor internet tersebut, yang dimaksudkan untuk melakukan crawling atas konten-konten negatif yang ada di internet, untuk kemudian dilakukan penyensoran (filtering/blocking).

Kendati pemerintah membantah mesin tersebut dilengkapi dengan sistem Deep Packet Inspection (DPI), akan tetapi telah diketahui umum bahwa tindakan filtering atau blocking, akan selalu dibarengi dengan tindakan mass-surveillance. Sebab dalam proses tersebut, otoritas yang melalukan dapat melakukan pengumpulan data dan informasi dalam skala massif, yang pada level tertentu dapat dijuga dilakukan identifikasi terhadap pengguna tertentu. "Lalu bagaimana memastikan adanya transparansi dan akuntabilitas dalam penggunaan alat ini?" kata Wahyudi.

Karena itu, merespons beberapa hal tersebut, untuk memastikan perlindungan hak atas privasi warga negara, juga jaminan dalam pelaksanaan hak atas kebebasan berekspresi, ELSAM menekankan beberapa hal berikut. Pertama, pemerintah terlebih dahulu perlu melakukan sinkronisasi regulasi (khususnya di level peraturan teknis Permenkominfo), sebelum menerapkan kewajiban registrasi ulang SIM Card;

Kedua, pemerintah dan DPR segera mengagendakan pembahasan RUU Perlindungan Data Pribadi, dalam Program Legislasi Nasional (Prolegnas) mendatang. Aturan ini nantinya mengikat bagi sektor publik (negara) maupun swasta yang memiliki layanan penyimpanan data. Regulasi ini mengatur perihal praktik perekaman, pengolahan, penyimpanan, dan penggunaan data pribadi, termasuk juga retensinya.

"Di dalamnya juga diatur mengenai badan yang memiliki otoritas untuk mengawasi penggunaan data-data pribadi tersebut. Musti disediakan juga mekanisme pemulihan bagi setiap orang yang data pribadinya dipindahtangankan secara sewenang-wenang," kata Wahyudi.

Ketiga, pemerintah segara merespon mandat pembentukan Peraturan Pemerintah (PP), sebagaimana diperintahkan oleh UU No. 19 Tahun 2016 tentang Perubahan UU No. 11 Tahun 2008 tentang ITE, khususnya yang terkait dengan penapisan dan pemblokiran konten. Keempat, perlunya transparansi dan akuntabilitas baik secara proses dan hasil dalam penggunaan mesin sensor internet. Bentuk transparansi dan akuntabilitas ini, selain tercermin dari tahapan tindakan, juga dapat dilakukan dengan penerbitan secara berkala informasi agregat terkait dengan tindakan tersebut;

Kelima, pemerintah segera mengagendakan inisiatif pembentukan RUU Perubahan UU No. 36 Tahun 1999 tentang Telekomunikasi, untuk secara jelas mengatur perihal kebijakan konten internet, termasuk tanggung jawab penyedia layanan, yang mempertimbangkan prinsip-prinsip kebebasan berekspresi dan perlindungan hak atas privasi.

Keenam, perlunya meningkatkan akses publik terhadap informasi, pemahaman dan kesadaran ancaman terhadap privasi. Upaya ini dapat dilakukan dengan menyediakan informasi yang cukup mengenai potensi gangguan terhadap privasi.

"Juga dengan dengan meningkatkan kesadaran masyarakat tentang penggunaan teknologi informasi dan komunikasi, sehingga memahami risiko dari setiap keputusan dalam penggunaan sarana tersebut," pungkasnya.

BANYAK CELAH - Pengamat keamanan siber Pratama Persadha menyambut baik langkah Kominfo yang mewajibkan registrasi ulang bagi seluruh nomor seluler prabayar hingga 31 Oktober 2017. Menurutnya Indonesia sudah cukup menjadi bulan-bulanan para pelaku kejahatan siber yang banyak memanfaatkan kebebasan membeli nomor seluler prabayar.

Dalam beberapa penggerebekan oleh aparat kepolisian memang ditemukan barang bukti nomor prabayar yang jumlahnya bisa ratusan bahkan ribuan digunakan oleh para pelaku kejahatan. "Langkah ini sudah baik, namun memang pelaksanaan teknis di lapangan tidak mudah. Berbeda dengan Singapura yang penduduknya tak seberapa banyak, Kominfo juga harus memikirkan apakah dalam waktu yang kurang dari 20 hari ini Permen ini bisa efektif dilaksanakan," jelas Pratama yang juga chairman lembaga riset keamanan siber CISSReC, Sabtu (14/10).

Pratama menjelaskan kewajiban memakai NIK di KTP ini ada banyak celah di pelaksanaan teknis. Mulai dari siapa yang memang berhak melakukan registrasi. Di luar negeri pendaftaran nomor seluler langsung di gerai milik provider.

"Salah satu celah pelaksanaan paling rawan adalah terkait informasi NIK. Karena selain si pemilik KTP sendiri, kita ketahui banyak lembaga maupun individu yang memegang informasi, fotocopy bahkan foto asli KTP. Mereka ini bisa saja mendaftarkan nomor dengan NIK orang lain," terang pria asal Blora Jawa Tengah ini.

Ditambahkan Pratama bila ada penyimpangan pelaksanaan dibawah terutama penyalahgunaa NIK, tentu akan menimbulkan masalah baru. Akan banyak laporan pemilik NIK yang tidak bisa mendaftarkan nomornya, karena sudah maksimal terdaftar tiga nomor, didaftarkan oleh pihak tak bertanggungjawab.

"Banyaknya kerawanan di pelaksanaan teknis bukan berarti ini mustahil. Harus dilakukan integrasi dengan e-KTP dan ada sertifikat digital bai warga negara. Nantinya akan sangat berguna mewujudkan Single Identity Number, seluruh urusan informasi dan administrasi menjadi satu di e-KTP. Aman karena ada otentikasi dari sertifikat digital yang dimiliki tiap warga negara," jelasnya.

Dengan regulasi yang ada saat ini, masyarakat hanya bisa melakukan registrasi. Unregistrasi masih belum difasilitasi. Padahal ini penting, mengantisipasi adanya nomor asing yang didaftarkan oleh orang lain. Juga sebagai fasilitas saat masyarakat ingin berganti nomor. Apalagi ada praktek daur ulang nomor oleh provider. Nomor yang hangus kembali lagi dijual, sehingga masyarakat perlu fasilitas melakukan unregistrasi nomor seluler prabayar.

Terkait kewenangan, Anggota Badan Regulasi Telekomunikasi Indonesia (BRTI) Imam Nashiruddin menuturkan, operator seluler hanya diberi kewenangan mengakses data kependudukan di Dukcapil untuk memeriksa validitas Nomor Induk Kependudukan (NIK) dan Kartu Keluarga (KK) pelanggannya. Justru, kata Imam, validasi dengan NIK dan KK operator juga bisa mengetahui pelanggan atau Know Your Customer (KYC) seperti halnya perbankan dan jasa lainnya.

Di samping itu, ini adalah program pemerintah untuk melindungi pelanggan dan operator harus mengikutinya. "Bahaya sekali kalau data pelanggan seluler tidak valid, seperti yang terjadi saat ini bisa digunakan untuk spamming, penipuan dan sebagainya. Dengan data yang valid, akan memudahkan pihak yang berwenang untuk melindungi keamanan dan ketertiban masyarakat," ujar Imam.

Cara registrasi kartu perdana dilakukan dengan mengirimkan SMS ke 4444 dengan format NIK#NomorKK#. Sedangkan untuk pelanggan lama dengan format ULANG#NIK#Nomor KK#.

Informasi tersebut harus sesuai dengan NIK yang tertera di Kartu Tanda Penduduk elektronik (e-KTP) dan KK agar proses validasi ke database Ditjen Dukcapil dapat berhasil. "Jadi, operator tidak punya akses apa-apa ke database Dukcapil, hanya untuk mengecek validitas data pelanggan/calon pelanggannya. Dalam e-KTP juga bisa diketahui data yang sifatnya umum seperti yang ditampilkan di KTP dengan menggunakan card reader," tegas Imam.

Imam menegaskan operator tidak mengakses database Dukcapil. Hanya sebatas mengirimkan NIK dan nomor KK ke server Dukcapil dan mendapatkan balasan valid atau tidaknya. Kalau valid, baru nomor valid tersebut boleh diaktifkan.

Di satu sisi, pemerintah akan diuntungkan karena dalam database Dukcapil ada data pelanggan seluler yang valid. Ini bisa digunakan untuk melindungi masyarakat dari penipuan, terorisme, dan lain sebagainya "Ini sudah regulasi lama sejak tahun 2005, namun sekarang lebih efektif karena pemerintah sudah punya e-ktp menuju single identity nasional," imbuhnya.

TIDAK PERLU NAMA IBU KANDUNG - Terkait pencantuman nama ibu kandung, Kemkominfo memastikan, registrasi ulang SIM card prabayar tak memerlukan nama ibu kandung. Untuk menegaskan hal itu, pihak Kominfo pun mengirim Surat Edaran ke seluruh operator.

Seperti diberitakan sebelumnya, masyarakat diresahkan dengan permintaan informasi nama ibu kandung saat melakukan registrasi SIM Card. Ini membuat bingung pengguna seluler saat memvalidasi nomor teleponnya dengan Nomor Induk Kependudukan (NIK) dan Kartu Keluarga (KK).

Keresahan masyarakat itu bermula ketika masih ada informasi bahwa pengguna seluler harus menyebutkan nama ibu kandung. Terlebih itu dari nomor 4444, nomor resmi untuk pengiriman registrasi prabayar.

Mengenai hal itu, Dirjen Penyelenggara Pos dan Informatika Kementerian Kominfo Ahmad M. Ramli mengatakan, bahwa nama ibu kandung tidak boleh diungkap. Menurutnya, itu bahaya karena dinilai sebagai super password dan riskan untuk dibagi. "Tidak perlu (ungkap) nama ibu kandung. Saya sudah kirim Surat Edaran ke semua operator," ujar Ramli, Rabu (18/10).

Di kesempatan yang sama Anggota Badan Regulasi Telekomunikasi Indonesia (BRTI) Imam Nashiruddin mengungkapkan pernyataan yang sama dengan Ramli. "Yang benar registrasi maupun registrasi ulang kartu seluler itu tidak perlu pakai nama ibu kandung, sebagaimana info resmi Kementerian Kominfo," sebut Imam.

Saat ditelusuri, keresahan masyarakat ini bermula masih ada operator yang menyebarkan informasi registrasi dengan meminta nama ibu kandung. Dari seluruh nomor operator yang dijajal, hanya XL Axiata yang masih meminta nama ibu kandung.

Ketika dikonfirmasi XL, operator yang identik dengan warna biru itu mengatakan bahwa format registrasi tersebut semula sesuai dengan regulasi yang ditetapkan pemerintah. Mengenai penyebutan nama ibu kandung, XL meminta pelanggan untuk mengabaikannya saja. "XL mengikuti arahan kebijakan dari pemerintah. Saat ini mengikuti hal yang sama," kata Henry Wijayanto, PR Manager XL Axiata.

Hal yang sama dimaksud XL adalah pelanggannya agar registrasi menggunakan format NIK#NomorKK# untuk pelanggan baru dan format ULANG#NIK#Nomor KK#. Dalam kesempatan ini juga, XL mengungkapkan menjamin kerahasiaan data pelanggannya dan terstandarisasi dengan ISO 27001. (dtc)