SR, Surabaya — Telepon itu datang berkali-kali. Pagi, siang, bahkan lewat tengah malam. Nomornya berbeda-beda, nadanya sama: ancaman. Rafi, warga Surabaya, tak pernah merasa mengajukan pinjaman online. Namun suatu hari, namanya mendadak tercatat sebagai debitur pinjaman online (pinjol) ilegal.

“Mereka tahu nama lengkap saya, NIK, alamat rumah, sampai nama ibu kandung. Dari situ saya sadar, ini bukan sekadar penipuan biasa. Data saya pasti bocor,” keluh pria berusia 38 tahun ini.

Bagi Rafi, kebocoran data berubah menjadi teror yang konkret. Nomor pribadinya disebar, keluarga ikut diteror, dan reputasinya di tempat kerja terguncang.

“Saya tidak pernah pinjam, tapi dipaksa bertanggung jawab. Mau lapor ke mana? Pinjolnya ilegal, datanya entah dari mana,” ujarnya. “Saya cuma ingin data saya aman. Jangan sampai orang lain mengalami hal yang sama,” harap Rafi.

Kisah Rafi ini menegaskan bahwa kebocoran data bukan sekadar gangguan digital, melainkan pelanggaran hak dasar warga negara atas rasa aman dan martabat pribadi. Di balik maraknya penipuan digital dan pinjaman online ilegal, terdapat satu akar persoalan yang terus berulang: kebocoran data pribadi yang dibiarkan, dinormalisasi, dan jarang berujung pertanggungjawaban nyata.

Puluhan Triliun Rupiah Melayang Setiap Tahun

Masalah kebocoran data bukan lagi isu privasi semata. Ia telah menjelma menjadi beban ekonomi nasional. Data terbaru Badan Siber dan Sandi Negara (BSSN) dan Kementerian Komunikasi dan Digital menunjukkan, kerugian ekonomi Indonesia akibat insiden siber dengan kebocoran data sebagai penyumbang terbesar mencapai Rp30–40 triliun per tahun.

Laporan IBM Cost of a Data Breach Report 2024 turut menguatkan gambaran tersebut. Rata-rata kerugian satu insiden kebocoran data di Indonesia mencapai Rp32–35 miliar, mencakup biaya pemulihan sistem, kehilangan kepercayaan konsumen, hingga potensi gugatan hukum.

Namun angka-angka itu belum sepenuhnya merekam kerugian di level warga. Ironisnya, krisis ini berlangsung beriringan dengan peringatan Hari Privasi Data Internasional setiap 28 Januari, hari yang secara global diperingati untuk mengingatkan negara dan korporasi akan pentingnya melindungi data pribadi warga dan nasabahnya.

Alih-alih menjadi momentum refleksi, peringatan ini di Indonesia justru datang di tengah deretan panjang kasus kebocoran data, dari lembaga publik hingga platform digital swasta.

Modus Terus Berkembang

Maraknya kebocoran data pribadi tidak hanya berkaitan dengan pinjaman online ilegal. Dalam praktiknya, data warga bocor melalui berbagai celah yang sering kali luput dari perhatian publik.

Koordinator ICT Watch Jawa Timur, Frenavit Putra, mengungkapkan salah satu modus yang kini kian sering terjadi, yakni kebocoran data pengiriman barang.

“Yang jadi modus itu kebocoran data order pengiriman di ekspedisi. Nomor (ponsel) penerimanya dibocorkan, ada oknum yang menyalahgunakannya yang kemudian ngomong bahwa paketnya tertukar, kesasar, gak terkirim. Kalau mau terkirim harus bayar sekian-sekian,” ungkapnya.

Tak berhenti di situ, Frenavit menyebut praktik lama yang hingga kini masih terus memakan korban: kebocoran data dari proses rekrutmen kerja.

“Terus ada lagi kebocoran data yang modusnya sudah lama sih sebenarnya, kayak lamaran kerja. Pelamar kerja kan tidak hanya sekadar melampirkan CV, tapi kan KK, terus kemudian nomor KTP, semuanya ada di situ lho. Saya masih sering menjumpai kayak gitu,” ujarnya memberi contoh.

Kebocoran yang Bersifat Sistematis

Banyaknya kasus kebocoran data tak lagi bisa dipandang sebagai insiden sporadis. Frenavit menilai, praktik ini telah membentuk pola yang sistematis.

“Kalau dibilang sistematis, ya sistematis. Tapi yang harus ditekankan, terjadinya kebocoran data yang sistematis ini karena ada orang yang teledor,” tandas dia.

Menurutnya, sistem kejahatan siber berjalan karena lemahnya kesadaran individu maupun korporasi dalam menjaga data pribadi.

“Misalnya masing-masing orang sangat aware (peduli) melindungi data, tidak sembarangan mengizinkan platform mengakses data kita, kemudian tahu apa yang di-share, maka hal-hal sistematis yang sudah direncanakan oleh orang tidak bertanggung jawab itu tidak akan jalan,” ulas Frenavit.

Ia menekankan, tanggung jawab perlindungan data seharusnya berada di tangan pengumpul data, bukan dibebankan pada korban.

“Kalau korporat benar-benar menerapkan aturan seperti di Eropa ada GDPR (General Data Protection Regulation), dan menganggap data itu sesuatu yang harus dijaga dan menjadi tanggung jawab para pengumpul data, hal-hal semacam penipuan tidak akan pernah jalan,” kata Frenavit yang juga pegiat kampanye internet sehat ini.

Bagaimana Pelaksanaan Regulasinya?

Indonesia telah memiliki Undang-Undang Perlindungan Data Pribadi (UU PDP). Namun hingga kini, implementasinya dinilai Frenavit Putra belum sebanding dengan skala kerugian yang terjadi.

“UU PDP itu kan sebenarnya sudah mulai disosialisasikan melalui Komdigi. Menurutku bagus undang-undangnya ada, tinggal bagaimana penerapannya di lapangan. Karena berdasarkan temuan-temuan yang terjadi, undang-undang ini hanya sekadar kayak aturan,” kritiknya.

Lebih lanjut Frenavit menilai pelaksanaan UU PDP tidak berbanding lurus dengan itikad pemangku kepentingan.

“Mereka tidak menganggap bahwa data pribadi ini adalah penting. Harus jadi tanggung jawab bagi para pengumpul data untuk mengamankan data tersebut. Sekarang kalau ada penipuan atau apapun, dilakukan pelaporan tapi kemudian dalam pengusutan, penyidikannya atau apapun, kalau tidak terjadi mass report (laporan massal) mungkin tidak akan pernah diproses,” tandas Frenavit.

“Sangat bahaya kalau masih menganggap data pribadi itu hal yang sangat remeh. Padahal di era AI (artificial intelligence/kecerdasan buatan) seperti ini kan sangat ngeri. Foto kita aja bisa dibikinkan video macam-macam,” tegasnya.

Kerugian Sistemik bagi Perekonomian

Pakar Ekonomi di Surabaya, Prof Dr Murpin Josua Sembiring Gurky  SE MSi, menyebut kebocoran data secara langsung menggerus kepercayaan publik.

“Kalau kebocoran data itu terjadi, pasti menurunkan kepercayaan. Menaikkan biaya akuisisi, retensi pelanggan, dan menghambat adopsi layanan digital,” paparnya.

Menurut pria yang juga Ketua Program Studi S3 (Doktor) Ilmu Manajemen Entreprenuership Universitas Ciputra Surabaya ini, sektor-sektor vital otomatis ikut terdampak. “Pembayaran digital, e-government, kesehatan, pendidikan, semuanya terdampak. Investor juga jadi ragu. Produktivitas pasti turun,” ujarnya.

Menanggapi estimasi kerugian ekonomi akibat kebocoran data yang mencapai puluhan triliun rupiah per tahun, Murpin menilai angka tersebut realistis.

“Konkretnya seperti kasus pusat data nasional, kita pernah estimasi kerugian ekonomi mencapai 6,3 triliun. Layanan lumpuh karena kejahatan siber,” ungkapnya.

Ia menambahkan, jika insiden serupa terus berulang setiap tahun, akumulasi kerugiannya tak terhindarkan. “Kalau itu dipadankan dengan data yang beredar, bisa sampai 30 triliun per tahun itu masuk akal. Karena ini kan insiden besar yang berulang,” tukas Murpin yang juga Ketua DPD Persatuan Guru Besar Indonesia (Pergubi) Jawa Timur ini.

Refleksi Hari Privasi Data Internasional

Dalam konteks peringatan International Data Privacy Day setiap 28 Januari, Murpin Sembiring menilai momentum ini seharusnya dimanfaatkan lebih serius.

“Data Privacy Day itu berlatar penandatanganan Konvensi 108 tahun 1981 (Konvensi Dewan Eropa untuk Pelindungan Individu terkait Pemrosesan Otomatis Data Pribadi). Itu tonggak awal perlindungan data, baik data pribadi, bisnis, maupun pemerintah,” tuturnya.

Ia menekankan pentingnya edukasi publik dan kesiapan organisasional. “Paling relevan di Indonesia adalah edukasi kebiasaan aman, kesiapan organisasi, pemetaan dan klasifikasi data, serta simulasi insiden,” ujar Murpin.

Namun yang paling krusial, menurutnya, adalah komitmen nyata. “Siapapun bertanggung jawab terhadap data. Baik pemerintahan, non-pemerintahan. Momentum ini dipakai untuk cek komitmen tata kelola data. AI harus maju, tapi privasi jangan diganggu,” pungkas Profesor Murpin mengakhiri wawancara. (giy/red)

 

Tags: Data pribadi, ict watch, kebocoran data, Nik, pinjol, superradio.id