8 May 2020

Gugatan ke Tokopedia, David Tobing: Pemerintah Ini Lambat Sekali!

Jakarta, Cyberthreat.id – Ketua Komunitas Konsumen Indonesia (KKI), Dr. David Tobing mengaku kecewa dengan sikap pemerintah terkait dengan kebocoran data pribadi pelanggan di situs belanja Tokopedia.

Kekecewaan itulah salah satu yang mendasari KKI menguggat Menteri Komunikasi dan Informatika RI dan PT Tokopedia ke pengadilan.

“Kami kecewa menkominfo kok seakan-akan memfasilitasi Tokopedia, tetapi tidak melakukan tindakan investigasi yang cepat. Kalau begini kan terlalu lama,” ujar David ketika dihubungi Cyberthreat.id di Jakarta, Jumat (8 Mei 2020).

Pada Rabu (6 Mei 2020), melalui kuasa hukumnya Akhmad Zaenuddin, KKI menggugat Menteri Kominfo RI (Tergugat I) dan PT Tokopedia (Tergugat II).

Gugatan terdaftar secara e-court (online) di Pengadilan Negeri Jakarta Pusat Nomor Pendaftaran Online: PN JKT.PST-0520201XD tertanggal 06 Mei 2020.

Pada 2 Mei lalu, Under the Breach, perusahaan cybersecurity asal Israel, mendapati peretas (hacker) membagikan basis data 15 juta pengguna Tokopedia di forum darkweb, RaidForums.

Sebelum menjual basis data 91 juta akun pengguna senilai Rp 74,3 juta, peretas awalnya meminta peretas lain untuk membantu dirinya membuka kata sandi (password) pengguna yang masih disamarkan (hash).

Dari basis data itu terlihat jelas, seperti nama pengguna, nama lengkap, email, jenis kelamin, nomor ponsel, dan lain-lain. Sejak berita itu menjadi viral di media sosial, banyak orang dari Indonesia masuk ke RaidForums untuk mengunduh basis data.

Berikut petikan wawancara Cyberthreat.id dengan Dr. David Tobing:

Bagaimana Anda melihat sikap pemerintah dalam menangani kasus kebocoran data Tokopedia?

Sikap pemerintah dalam menangani kasus kobocoran data ini sangat lambat, harusnya mereka lapor polisi dong. Kalau memang itu datanya dicuri atau kalau memang ada sesuatu yang mekanisme pengamanannya dibobol, harusnya dia lapor polisi. Polisi siber kita kan ada.

Kominfo sendiri kan sebelum kejadian ini, harusnya mereka melakukan pengawasan berkala, pembinaan. Mereka harusnya mengecek hari ke hari atau bulan ke bulan.

Apakah betul sudah dijalankan SOP pengamanan data pribadi? Apa memang keamanan penyelenggara sistem elektronik (PSE) ini sesuai dengan ketentuan yang ada? Atau, malah melebihi dari best practice yang dianut oleh platform lain di seluruh dunia.

Ini juga kita kecewa menkominfo kok seakan-akan memfasilitasi Tokopedia, tetapi tidak melakukan tindakan investigasi yang cepat. Kalau begini kan terlalu lama.

Pengawasan berkala ini yang dirilis [gugatan] saya sebut sebagai kesalahan Kominfo dalam pengawasan PSE.

Apakah kebocoran data ini akan mengubah regulasi di Indonesia?

Tidak perlu menunggu Undang-Undang Perlindungan Data Pribadi disahkan. Dengan kewenangan yang ada, menteri seharusnya bisa membuat suatu peraturan yang lebih pro konsumen.

Mengenai data center di Indonesia atau tidak, menteri yang bisa menentukan, tetapi harus betul-betul berpihak kepada perlindungan data pribadi.

Lah, ini kan sangat lambat penanganannya, sudah hampir satu pekan, tapi belum ada tindakan atau pengumuman. Padahal kan bisa dengan mudah dicari, contohnya hoaks saja bisa dicari. Apakah memang ini kebocoran dari dalam atau dari luar?

Terlepas dari itu dengan adanya data yang bocor, berarti sistem penyelenggara elektronik Tokopedia ini tidak layak.

Bagaimana dengan regulasi perlindungan konsumen di era digital?

Untuk regulasi perlindungan konsumen di era digital, itu ditegaskan dalam Undang-Undang Perdagangan. Kemudian, ada PP Nomor 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik.

Jadi, di situl diatur bagaimana sistem penyelenggara elektronik melindungi konsumen. Sebenarnya kewenangan Kementerian Perdagangan bisa mem-blacklist platform-platform yang memang melanggar hak-hak konsumen.

Di satu sisi sudah ada regulasinya, tetapi memang ini patut disesalkan seperti klausul penyesuaian selama dua tahun, ini kan terlalu lama.

Jadi, ada kriteria-kriteria yang dijalankan oleh platform tapi diberikan penyesuaian, dan ini yang disesalkan karena terlalu lama.

(David juga menyinggung soal RUU Perlindungan Data Pribadi. Ia berharap dengan kasus Tokopedia, DPR dan pemerintah harus cepat membahas RUU tersebut. Dengan teknologi yang ada sekarang, tanpa harus tatap muka, tidak ada alasan Covid-19 sehingga tidak bisa membahas RUU, kata dia.)

Banyak gugatan konsumen yang Anda ajukan dan menang, apakah kali ini yakin akan menang?

Sekarang begini, yang namanya gugatan itu bukan menang kalah, tetapi bagaimana kita memberikan edukasi kepada pemerintah (regulator) maupun kepada pelaku usaha.

Contoh, kasus pencurian pulsa yang dulu saya gugat pada 2011 dan saya melaporkan ke polisi.

Perkaranya pun belum selesai, akhirnya keluar PP baru, bahwa tidak boleh ada pengaktifan layanan berbayar tanpa persetujuan dari konsumen. Akhirnya semua diperintahkan untuk matikan itu layanan berbayar tambahan, seperti ring back tone (RBT).

[Gugatan] ini tentunya harus demikian juga. Dengan adanya gugatan ini, harusnya regulator dan para pelaku usaha melek-lah. Jangan konsumen tidak dihargai.

Kalau melihat lagi bukti-bukti yang ada, ini gugatan seharusnya sudah sangat jelas kok, yang kita minta kan tidak mengada-ngada, semua juga sesuai dengan peraturan yang ada kok.

Kita juga minta itu didenda kok, bukan untuk diri kami, atau komunitas konsumen, tapi itu akan masuk juga ke kas negara.

Bagaimana Anda membuktikan gugatan nanti?

Untuk pembuktian, masalah kebocoran data itu sudah jelas terjadi. Bukan hanya kita lihat kalau data-data itu diperjualbelikan di web, tetapi juga ada statement menteri yang menyatakan memang terjadi kebocoran data.

Justru, yang kami sesalkan adalah kenapa tidak berterus terang menyatakan bahwa nama, alamat email, nomor handphone dan juga data lainnya itu sudah bocor? Tetapi selalu dikatakan: “tenang saja password anda aman, akses keuangan dan pembayaran aman.”

Padahal, menurut ketentuan kominfo tentang data pribadi itu sudah harus diberitahukan kepada pihak-pihak yang datanya bocor. Faktanya, sudah terjadi kebocoran data.

Selanjutnya, masalah rugi sudah saya sebutkan dalam rilis [gugatan]. Jika kerugiannya itu saat ini pelanggan merasa waswas, dan dalam hukum perlindungan data pribadi, ada yang disebut dengan kerugian tak terduga.

Kerugian tak terduga itu kalau di dalam hukum disebut dengan kerugian immateriil. Sehingga dalam hal ini kalau nanti ada masyarakat yang betul-betul dirugikan, masyarakat bisa menggugat.

Makanya, dalam gugatan itu kami bilang, bahwa mereka (Tokopedia) harus meminta maaf dan bersedia mengganti kerugian masyarakat. Sementara yang kami minta Rp 100 miliar adalah denda. Kalau kita melihat ke Eropa, denda bisa mencapai Rp 300 miliar.

Jadi, kami minta, karena masyarakat telah mengalami kerugian immateriil, perasaan waswas, sedangkan Tokopedia juga tidak berterus terang, maka kami minta mereka diberhentikan dahulu operasionalnya. Lalu, dalam putusan akhir kami minta daftar penyelenggara sistemnya itu dicabut.

Apakah sudah banyak yang pengguna yang melapor kepada KKI?

Saat ini sudah ada pengguna yang ikut melapor ke saya. Ada lebih dari 10. Dalam laporan mereka, salah satunya ada yang bercerita di Facebook, yaitu dia menerima beberapa pesan yang sebelumnya tidak kenal. Yang lain-lain justru perasaan waswas mereka harus seperti apa. Saya selalu katakan agar mereka bertanya ke Tokopedia.

Kita juga bisa lihat dari berbagai website penelusuran tentang peretasan, ternyata akunnya sudah diretas, ada di situ akun mana saja yang diretas. Jadi, selain laporan dari masyarakat, menteri sendiri kan sudah bilang memang ada yang bocor.

Baca juga : Mantan Direktur Gelapkan Rp 900 Juta, Jaksa Kirim Thomas Ke Lapas Lowokwaru

Leave a Reply