Image via EngageMedia

Artikel ini ditulis oleh Siti Rochmah Desyana merupakan bagian dari Pandemic of Control, serangkaian artikel mengenai kebangkitan otoritarianisme digital di Asia-Pasifik di tengah COVID-19. Pandemic of Control adalah inisiatif dari EngageMedia, bekerja sama dengan CommonEdge. Versi artikel yang telah diedit ini diterbitkan ulang di Global Voices sebagai bagian dari kemitraan konten. Terjemahan di Global Voices dalam bahasa Indonesia dibuat berdasarkan artikel yang tayang di www.globalvoices.org.

Dengan terus berlanjutnya pandemi COVID-19 di Indonesia, aplikasi PeduliLindungi buatan pemerintah tetap menjadi bagian tak terpisahkan dari kehidupan sehari-hari. Dinamai dengan gabungan kata “peduli” dan “lindungi”, aplikasi ini mengaku melakukan keduanya dengan menjalankan pelacakan dan skrining status COVID-19, juga dengan menyediakan sumber bacaan dan informasi tentang COVID-19. Keberadaannya menjadi identik dan menyatu dengan pandemi COVID-19 sendiri, dan ketergantungan masyarakat terhadap informasi, akses, dan sumber bacaan yang disediakan oleh PeduliLindungi demi melindungi diri dari COVID-19 dibayangi risiko penggadaian haknya terhadap privasi data.

Kehadirannya sudah menjadi identik bahkan tidak terpisahkan dari pandemi itu sendiri di Indonesia. Namun, ketergantungan masyarakat pada informasi, akses, dan sumber daya yang ditawarkannya untuk melindungi diri dari COVID-19 dapat mengorbankan hak privasi data.

Saat tulisan ini dibuat, lebih dari 50 juta orang telah mengunduh aplikasi ini dari Google Play Store, menjadikannya aplikasi medis nomor satu secara nasional. Namun demikian, seiring bertambahnya jumlah pengguna yang mendaftar dan menggunakan aplikasi, keresahan masyarakat terhadap keamanan aplikasi dan pelacakan ekstensif yang dilakukan oleh PeduliLindungi pun semakin bertambah serius.

Pada September 2021, sertifikat vaksin Presiden Republik Indonesia Joko Widodo bocor di internet. Peristiwa ini terjadi hanya selang sebulan setelah aplikasi Electronic Health Alert Card (e-HAC) Indonesia diduga telah dibobol, menimbulkan gangguan terhadap data 1,3 juta penggunanya. Kebocoran ini telah menyulut diskursus publik tentang keamanan data dan jumlah informasi pribadi yang dikumpulkan dan disimpan oleh PeduliLindungi.

Menyusul pembobolan tersebut, pemerintah Indonesia menyatakan bahwa aplikasi ini sekarang menjamin keamanan data semua penggun, tanggapan serupa setelah pembobolan serupa yang terjadi di masa lalu.  Oleh karena itu, PeduliLindungi berpotensi menimbulkan ancaman lebih besar akibat frekuensi penggunaannya, jumlah penggunanya, dan keunikan jenis data yang disimpannya. Di saat bersamaan, solusi hukum yang bisa ditempuh warga Indonesia untuk melindungi datanya nyaris, bahkan sama sekali tidak ada.

Ritual harian: Cara PeduliLindungi mengendalikan kebebasan bergerak warga Indonesia pada umumnya

Walaupun tingkat pemakaian aplikasi berbeda-beda di tiap daerah, tidak ada satu pun platform pemerintah lain yang menandingi skala dan lingkup PeduliLindungi. Fitur utamanya juga telah terintegrasi dalam 15 aplikasi berorientasi konsumen;  bahkan ada rencana mengubahnya menjadi  dompet digital.

Untuk memasuki ruang publik manapun di Indonesia, pengunjung harus terlebih dahulu memindai kode QR yang diwajibkan di lokasi tersebut melalui PeduliLindungi atau aplikasi lain yang terhubung dengan PeduliLindungi, semisal aplikasi JAKI buatan pemerintah daerah DKI Jakarta dan GOJEK, startup raksasa Indonesia. Informasi yang dikumpulkan – seperti nama resmi pengguna, nomor KTP, kerentanan terhadap infeksi COVID-19, lokasi saat itu, dan durasi waktu berada dalam fasilitas yang dikunjungi – dicatat dan disimpan dalam server PeduliLindungi. Pada versi-versi sebelumnya, PeduliLindungi menyediakan informasi ini kepada pengguna melalui fitur “Riwayat Check-In“. Mereka yang belum terdaftar secara resmi dalam PeduliLindungi atau aplikasi terhubung lainnya hanya boleh memasuki ruang publik jika mampu menunjukkan sertifikat vaksin yang berlaku, yang juga tersimpan dalam basis data PeduliLindungi dan harus diakses melalui portalnya.

Saat seorang warga Indonesia tidak resmi terdaftar menjadi bagian sistem PeduliLindungi, ada sejumlah tantangan dan rintangan yang mengganggu rutinitas hariannya. Contohnya, jika seseorang tidak bisa mendapatkan tiket vaksinasi – entah itu atas pilihannya sendiri atau karena kekosongan vaksin – dia tidak boleh secara leluasa menggunakan dan memasuki halte bus, stasiun kereta, pasar, rumah sakit, gedung perkantoran, maupun ruang publik lainnya. Beberapa orang yang belum divaksin melaporkan kesulitan mendapatkan pengobatan dari fasilitas medis, yang mengandalkan basis data PeduliLindungi untuk memperoleh status COVID-19 seseorang.

Menggunakan aplikasi ini bukan hanya diperlukan, tetapi keharusan sosial untuk menjaga kemerdekaan bergerak. Langkah-langkah tersebut dibenarkan untuk mengekang penyebaran COVID-19, meskipun ada pertanyaan mengenai kemampuan mereka untuk melakukannya.

Pengguna PeduliLindungi bisa mengirimkan permohonan sertifikat vaksinasi melalui situs webnya. Selama memiliki nama lengkap, nomor KTP, tanggal lahir, serta tanggal dan jenis vaksin, seseorang bisa mengakses sertifikat vaksin siapapun. Tangkapan layar oleh penulis Siti Rochmah Desyana

Seberapa amankah data ?

Banyak pertanyaan yang belum terjawab mengenai keamanan digital PeduliLindungi. Meskipun informasi rahasia yang disimpan secara daring tidak akan pernah sepenuhnya aman, pemerintah Indonesia belum pernah mengambil langkah memadai untuk menjamin keamanan berbagai basis datanya.

Ketika database eHAC bocor pada tahun 2021, pemerintah memilih untuk berkelit dan menegaskan bahwa hanya “”eHAC lama yang terpisah”  yang terkompromi. Pemerintah justru meminta warga untuk menghapus aplikasi eHAC lama di ponsel mereka.

PeduliLindungi tidak berhasil lepas dari kekurangan pertanggungjawaban ini. Poin pertama, sertifikat vaksin Presiden RI yang bocor menunjukkan betapa mudahnya untuk memperoleh sertifikat siapapun – bahkan bukan milik Anda sendiri. Untuk mengakses sertifikat seseorang melalui aplikasi, hanya diperlukan nama lengkap, nomor KTP, tanggal lahir, tanggal dan jenis vaksin – informasi yang bisa secara mudah diperoleh melalui media sosial atau bahkan dokumen cetak yang dibuang sembarangan.

Dalam kasus Presiden RI, penyidik menemukan bahwa informasi bersangkutan diperoleh melalui PCare, aplikasi terpisah dari Kementerian Kesehatan yang digunakan oleh penyedia layanan kesehatan untuk mengunggah data vaksinasi seorang pengguna ke dalam server PeduliLindungi. Hubungan antara kedua aplikasi sampai saat ini belum jelas.

Isu ini hanya diperparah dengan keterhubungan antara PeduliLindungi dan aplikasi pihak ketiga lainnya. Sebagai contoh, dia terhubung dengan Google dan penyedia piranti lunak lainnya yang melacak lokasi pengguna saat memasuki dan meninggalkan ruang publik dan saat menggunakan transportasi umum. Versi lawas aplikasi PeduliLindungi di ponsel diduga memiliki sejumlah anomali, termasuk penyimpanan data manual dalam aplikasi dan pengiriman data ke sebuah situs web eksternal di luar Indonesia. Di masa lampau, PeduliLindungi juga pernah mengirimkan data nama dan jenis perangkat pengguna ke salah satu anak perusahaan PT Telkom, BUMN telekomunikasi yang memiliki server di Singapura.

Walaupun terdapat bukti bahwa aplikasi pihak ketigalah yang dapat menjadi penyebab pembobolan data di aplikasi milik pemerintah lainnya, kebijakan privasi PeduliLindungi yang terbaru mencantumkan klausul pembatasan tanggung jawab untuk “pelanggaran atau akses tidak sah”, termasuk cara-cara pihak ketiga menggunakan data PeduliLindungi. Aplikasi juga melepaskan tanggung jawab terhadap kerusakan akibat kegagalan dan gangguan sistemnya.

Pembatasan Tanggung Jawab aplikasi PeduliLindungi versi ponsel. Tangkapan layar oleh penulis Siti Rochmah Desyana

Lemahnya perlindungan, peraturan, dan akuntabilitas masih terus berlanjut

Dengan jumlah infeksi yang tinggi sekalipun, masyarakat masih terus memperdebatkan apakah pemantauan dan pelacakan oleh PeduliLindungi benar-benar diperlukan untuk membatasi penyebaran COVID-19. Terlepas dari sisi yang Anda dukung dalam perdebatan ini, respons pemerintah Indonesia terhadap pembobolan data dan peristiwa meresahkan lainnya di masa lampau gagal menyentuh akar permasalahan: keamanan server PeduliLindungi dan privasi data penggunanya.

Pemerintah tidak pernah mempublikasikan hasil audit keamanan awal PeduliLindungi, yang seharusnya memberitahu publik tentang keselamatan dan keamanan aplikasi sebelum penerapannya.

PeduliLindungi juga belum terdaftar dalam daftar Penyelenggara Sistem Elektronik (PSE) milik pemerintah sendiri – persyaratan wajib untuk suatu server publik berdasarkan peraturan yang ada.

Masyarakat sekali lagi menanggung beban dari kurangnya perlindungan, regulasi, dan akuntabilitas ini. Masyarakat Indonesia mengorbankan kebebasan bergerak dan privasi mereka, dan mempercayakan data mereka kepada pemerintah, dengan alasan bahwa dengan melakukan hal itu akan mencegah penyebaran virus lebih lanjut dan membuka jalan menuju akhir pandemi.

Lebih parahnya lagi, Indonesia saat ini tidak memiliki legislasi khusus tentang perlindungan privasi data. Walaupun terdapat sejumlah pasal yang mengatur tentang persetujuan terhadap pemakaian data individu, letaknya tersebar dalam berbagai tingkat peraturan perundangan.

Peraturan Kementerian yang ada saat ini mengenai Perlindungan Data Pribadi dalam Sistem Elektronik lebih seperti pedoman yang tidak mengandung klausul hukuman atau konsekuensi bagi mereka yang melanggar ketentuan aturan. Meskipun ada rancangan Undang-Undang Perlindungan Data Pribadi, namun masih terkendala di tahap pembahasan di Dewan Perwakilan Rakyat, dan sejauh ini hanya sedikit perbaikan yang telah dilakukan.

Ketika PeduliLindungi dan pemerintah terus meraba-raba dalam operasinya, dan ketika kekhawatiran ini ditepis di bawah karpet, orang perlu bertanya: Apakah PeduliLindungi benar-benar peduli dan melindungi masyarakat Indonesia?

Siti Rochmah Desyana adalah pemerhati isu-isu hak asasi manusia dan sangat tertarik pada masalah kesetaraan dan keadilan. Saat ini ia bekerja di International NGO Forum on Indonesian Development (INFID) untuk Program In-Equality, dan menulis tentang dunia di waktu luangnya.