Oleh SHIDARTA (Oktober 2025)

Tulisan ini dibuat hanya berselang beberapa hari setelah saya dibuat tunggang-langgang karena harus membuat klarifikasi kepada ratusan kolega, khususnya rekan-rekan dosen dan para mahasiswa. Kasus bermula dari tidak lagi aktifnya nomor telepon seluler saya. Pembayaran rutin tagihan semua nomor telepon seluler, memang saya serahkan ke salah satu anggota keluarga, dan saya lalai untuk mengeceknya selama beberapa waktu. Akibatnya, pihak penyelenggara layanan telekomunikasi (operator seluler) menonaktifkan nomor yang sudah saya gunakan hampir 30 tahun tersebut dan ia kemudian mendaur ulang dan menjualnya kepada orang lain.

Tentu saja tidak ada masalah jika problemnya sampai di situ. Pihak operator memiliki dalih bahwa praktik demikian sudah lazim dilakukan oleh semua operator. Nomor itu adalah milik operator dan dengan demikian ia berhak untuk menggunakannya kembali secara komersial dengan anggapan sudah tidak lagi terpakai. Informasi bahwa nomor itu sudah tidak lagi aktif dan juga tidak dapat saya pulihkan, saya dapatkan langsung melalui petugas layanan pelanggan dari operator tersebut di Mal Central Park (lantai 3), di kawasan Jakarta Barat. Petugas itu juga menjamin bahwa data saya akan aman. Orang yang akan menggunakan nomor baru itu tidak akan dapat mengakses data saya. Kalaupun nomor itu masih menjadi anggota whatsapp group, maka nomor itu tidak bakal otomatis tergabung di WAG yang ada. Petugas itu malah bersikeras menawarkan saya nomor lain yang menurutnya “nomor cantik”. Terus terang, saya tidak tertarik!

Walaupun penjelasannya tentang keamanan data pribadi saya terdengar menyakinkan, saya tetap tidak sepenuhnya tenang.  Hal ini terutama karena saya sama sekali tidak lagi dapat mengakses WA dengan nomor itu lagi (untuk logout), sehingga saya harus mengandalkan nomor alternatif untuk mengabarkan ke sebanyak  mungkin orang bahwa nomor lama saya: 0818861497, telah tidak aktif dan sekarang telah didaur ulang; bukan milik saya lagi.

Kekhawatiran saya ternyata terbukti. Satu hari setelah saya mengirimkan informasi ke rekan-rekan dosen dan para mahasiswa saya, nomor alternatif saya dibombardir permintaan klarifikasi. Nomor lama saya yang lengkap dengan foto profil saya ternyata digunakan untuk menipu. “Boleh minta tolong? Inikan lagi ada keperluan transfer kebetulan m-banking lagi di blokir, bisa bantu transferin dulu 3juta nanti sore di ganti lebih, klau bisa bantu saya kirim nomor rekeningnya.”  Begitu kutipan lengkap pesan si penipu dengan gaya berbahasa Indonesia-nya yang amburadul. Beberapa teman yang sudah curiga dengan pesan ini sempat membalas pesan itu dengan meminta nomor rekening yang bersangkutan. Ia kemudian memberi nomor rekeningnya di Bank BTN: 901700015941 atas nama Suria Darma.

Modus penipuan seperti ini tentu sudah cukup klasik, sehingga pembaca pasti sudah dapat menebak skenario si penipu. Saya ingin mengalihkan fokus tulisan ini ke hal lain yang lebih substansial.

Persoalan bahwa kasus-kasus demikian menunjukkan ketidakmampuan aparat penegak hukum kita memberikan pelindungan optimal kepada warga masyarakat adalah satu persoalan tersendiri.  Di sisi lain, masyarakat juga terkesan seperti menyalahkan diri sendiri terkait lemahnya literasi digital pada banyak pengguna teknologi komunikasi. Itu bukan substansi yang ingin dibahas karena boleh jadi hal-hal itu justru bermuara sebagai justifikasi terhadap maraknya modus kejahatan identity theft atau phishing seperti ini. Jargon yang mungkin dipakai: caveat emptor..!

Persoalan yang menarik untuk ditelisik adalah tentang tanggung jawab pihak operator terkait cara mereka memproses kasus ini. Seorang mahasiswa saya berinisiatif mendatangi pusat layanan yang sama di Central Park, Jakarta. Ia mengabarkan bahwa oleh petugas di sana, saya (sebagai pemilik nomor lama) diminta untuk melapor dulu ke pihak kepolisian bahwa nomor saya telah digunakan orang lain untuk melakukan penipuan. Dari caranya merespons informasi ini, terkesan kuat bahwa pIhak operator seolah ingin menyatakan bahwa ia bersimpati dan ingin membantu eks konsumennya karena telah direpotkan akibat penjualan nomor lama saya ke pihak lain. Ia tidak menyadari bahwa jika kasus ini saya laporkan ke polisi, maka sasaran yang saya jadikan terlapor tidak hanya pelaku penipuan yang ada di dunia antah-berantah. Pihak operator justru berpotensi menjadi terlapor dengan asumsi ia adalah bagian dari proses lahirnya kejahatan itu sendiri. Artinya, Jika seseorang harus melaporkan, maka bukankah yang dijadikan terlapor pertama-tama adalah pihak operator seluler itu sendiri? Hal yang sama jika kasusnya dibawa ke ranah perdata. Apabila konsumen ingin melakukan gugatan perdata, maka tergugat pertama justru pihak operator seluler tersebut, bukan si penipu yang domisilinya ada di dunia antah-berantah. Dasar hukum yang paling primer digunakan adalah Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). 

Pertama-tama tentu kriteria data pribadi itu sendiri harus dipastikan telah dipenuhi. Pihak penipu yang memperoleh data pribadi saya dari nomor lama yang telah didaur ulang itu, paling tidak telah mendapatkan akses nomor-nomor telepon sekian banyak orang yang pernah berkomunikasi dengan saya. Ia juga dapat memakai semua data yang terakses itu untuk berkomunikasi dengan pemegang nomor-nomor tersebut dengan mengaku seolah-olah sebagai pemilik lama. Semua data yang terakses secara tidak sah itu adalah data pribadi. UU PDP mendefinisikan data pribadi sebagai setiap data tentang seseorang yang teridentifikasi atau dapat diidentifikasi (identifiability) secara tersendiri atau dikombinasikan dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau non-elektronik. Jadi, dua kriteria utama agar sesuatu disebut data pribadi: (1) mengacu pada seseorang, dan (2) dapat mengidentifikasi orang itu secara langsung atau tidak langsung. Nomor telepon seluler jelas dapat langsung mengidentifikasi individu (karena terhubung ke satu pengguna spesifik, seringkali juga ke akun WhatsApp, bank, email, dll.), dan dapat digunakan untuk mengakses atau memverifikasi identitas seseorang (misalnya lewat OTP, akun media sosial, atau kontak digital).

Menurut kriteria UU PDP, operator seluler adalah pengendali data pribadi. Nomor seluler seseorang selalu terhubung dengan identitas yang bersangkutan, mencakup banyak data pribadi. Karena operator menyimpan dan memproses data ini, mereka berposisi sebagai pengendali data pribadi dan karena itu ikut memikul tanggung jawab hukum. Sebagai contoh, operator memiliki kewajiban untuk memastikan data pelanggan yang sudah tidak aktif benar-benar dihapus/di-anonimkan sebelum nomor didaur ulang. Jika pelanggan berhenti berlangganan, data pribadi terkait nomor itu semestinya dihapus (lihat beberapa ketentuan terkait yang mendasarinya, khususnya Pasal 43 dan 44 juncto Pasal 8, 16, 45, 48). Jika data pribadi seseorang yang masih tersimpan di pemilik nomor lama sampai jatuh ke tangan pihak lain sehingga dipakai untuk penipuan, berarti keamanan data pribadi dari subjek data telah gagal dijaga, dan ia wajib bertanggung jawab. Apabila ia tahu data itu telah disalahgunakan, justru operator itulah yang proaktif memberitahu tentang telah terjadi insiden itu (lihat Pasal 45 dan 46), bukan sebaliknya malahan membebani “korban” dengan segala macam birokrasi (untuk melaporkan ke polisi, dll). Dalam hal subscriber identity module card (kartu SIM) nonaktif, padahal datanya masih aktif di server operator, dan belum dihapus tetapi langsung dijual kembali ke pihak lain, maka operator telah melanggar prinsip akurasi dan penghapusan (data retention).

UU PDP juga memberi ancaman sanksi administratif dan pidana bagi operator yang lalai memikul kewajiban-kewajibannya tersebut. Pasal 57 ayat (2) memberi ancaman peringatan tertulis, penghentian kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, atau denda administratif hingga 2% dari pendapatan tahunan. Juga ada pidana denda menurut Pasal 67 dan 70, yakni jika terbukti ada unsur kesengajaan atau kelalaian berat yang menimbulkan kerugian, dapat dijerat pidana penjara dan/atau denda. Di luar itu, gugatan perdata juga terbuka lebar untuk dilakukan (Pasal 12).

Di Indonesia sendiri kasus-kasus demikian sudah pernah diproses di pengadilan. Untuk pidana terdapat kasus dengan terdakwa Heri Irawan (Pengadilan Negeri Karanganyar No. 5/Pid.Sus/2023/PN Krg tertanggal 16 Maret 2023) dan Andi Irma Malasari (Putusan Pengadilan Negeri Tangerang No. 77/Pid.Sus/2024/PN Tng dan 78/Pid.Sus/2024/PN Tng pada tanggal 2 April 2024).

JIka otoritas di negeri kita ingin menjadikan hukum pelindungan data pribadi di Indonesia mendekati kualitas di luar negeri, maka kejadian-kejadian rutin seperti ini harus cepat diatasi. Kita tidak bisa berharap operator seluler kita, yang notabene memiliki ahli-ahli hukum yang tahu konsekuensi dari bisnis mereka berkaitan erat dengan pelindungan data pribadi (sebagai bagian dari hak asasi manusia), untuk cepat sadar diri dan memperbaiki gaya bisnis barbar yang tidak menghormati data pribadi warga masyarakat. Jika tidak dilakukan, maka citra penegakan hukum di negeri ini akan makin terpuruk. Lebih-lebih jika data pribadi yang dilanggar ini menyangkut warganegara Uni Eropa, sehingga General Data Protection Regulation (GDPR) (Reg. (EU) 2016/679) dapat diberlakukan secara ekstrateritorial bagi operator seluler di manapun, meskipun perusahaan atau pelaku berada di luar wilayah Uni Eropa.

Lalu apa tindak lanjut untuk kasus yang menimpa saya? Saya masih menunggu iktikad baik dan tanggapan “gerak cepat” dari pihak operator seluler tersebut, tanpa harus membuat saya direpotkan dengan urusan birokrasi yang tidak substansial dan berbelit-belit. (***)