This post was written by Dinita Andriani Putri, Project Manager at the Open Data Labs, Jakarta. Follow Dinita on Twitter at @dinitaputri.
In 2018, a peer-to-peer lending company in Indonesia was reported for humiliating debtors by sending messages to their mobile phone contacts in a hostile attempt to get them to make payments. The company was given an administrative sanction from the Financial Authority and released a public apology. However, there was little discussion of the gross misuse of debtors’ personal data.
This is what can happen in the absence of robust data protections. Indonesia — like half of the 65 countries surveyed by the Web Foundation — lacks a comprehensive legal framework on personal data protection. While the country does have some regulations designed to protect citizens’ personal data, the implementation of these is very poor.
The reality of weak data protections
The absence of a robust data protection framework was evident again during the country’s 2019 general election campaign when it was clear that the Election Commission, the Information Commission and political parties did not share a common understanding of the bounds of personal data protections. For example, in December 2018, one party had a dispute with the Election Commissioner, asking for access for voter ID numbers so it could check the validity of voters, claiming this was public information. The Election Commission turned down the request, resulting in a subpoena from the party.
The inconsistent understanding of voters' data protection also resulted in the misuse of citizens' data. In an effort to protect voter data, the Electoral Commission censors the last four digits of voter ID numbers. However, the name, address, and date of birth of voters are still accessible through other government departments. Campaigns typically use this information to send citizens personal WhatsApp messages asking for their vote, along with shirts, calendars, pens and board games to their homes, addressed to them, without their consent. There needs to be clarity around who can use electoral data and what they can use it for.
The urgent need for personal data protection legal framework
There are many cases that illustrate the poor implementation of data protection, stemming from the reality that the current regulations (Ministry of Communication and ICT Regulation No. 20/2016) do not clearly define the rights of data owners and the obligations of data controllers and processors. The rules also lack teeth, with violators only receiving administrative sanctions, such as freezing licenses.
A more comprehensive legal framework, the Personal Data Protection Bill, is currently in play. Much of the bill draws on concepts from Europe’s GDPR and includes some important features missing in existing regulations, such as the obligations of data controllers and processors. It also widens the scope of sensitive information to include location data from mobile phones and political views.
Introduced in 2015, the bill has been listed as one of the legislative priorities by the government for the last four years. However, due to the stalled discussions, it was not reviewed by the government until this year. While the government says it plans to pass the bill into law in mid-2019, many people think this is unlikely due to the general election and the possible replacement of the members of the House of Representatives.
Citizens’ and stakeholders’ participation in the implementation of future law is important
Given the growing use of personal data in many sectors, such as financial technology, online ride-hailing and e-commerce, the need for the Personal Data Protection Bill is urgent. Beyond the passing of the bill, a number of additional areas need to be considered.
It’s important to improve citizens’ awareness of personal data and privacy issues — an area where most people have just a basic understanding. Our research in 2018 found that most young students in Jakarta, the capital of Indonesia have little knowledge of how social media companies use their personal data. A good first step would be to conduct research to learn the level of awareness among different groups — particularly among vulnerable citizens — and how they understand the possible impacts of the law.
The enforcement of the law is also a big challenge. With the poor implementation of current regulations in mind, it will be a serious endeavour to make sure the future law is well implemented. Even after the law is enacted, it will take time for stakeholders such as telecommunication companies, businesses and government agencies to comply. It is therefore important for businesses and government agencies to consider plans now so they have the capacity to comply with the law when it is enacted.
The Web Foundation is conducting research to understand the implementation of the existing law and to explore the challenges and opportunities for the implementation of future rules. To make sure the new bill is a success, it’s important that all parties are prepared for it. This requires increased awareness of data protection issues, as well as opportunities for citizens and institutions across a diverse range of sectors to participate in the implementation of the new framework.
Jalan berliku perlindungan data pribadi di Indonesia
Pada tahun 2018, salah satu penyedia layanan teknologi finansial di Indonesia dilaporkan ke pihak berwajib karena menggunakan cara-cara yang dianggap kasar dan intrusif dalam penagihan kredit. Kasus ini berakhir dengan sanksi administratif dari Otoritas Jasa Keuangan dan permohonan maaf dari perusahaan kepada publik. Namun demikian, hanya sedikit diskusi yang menyorot soal penyalahgunaan data pribadi peminjam dalam kasus ini.
Hal ini jamak terjadi ketika tidak ada perlindungan data pribadi yang memadai. Indonesia, adalah satu dari 65 negara yang disurvey oleh Web Foundation, yang tidak mempunyai kerangka hukum perlindungan data pribadi yang komprehensif. Meskipun Indonesia mempunya beberapa regulasi yang terkait dengan perlindungan data pribadi, implementasinya masih sangat lemah.
Realitas lemahnya perlindungan data
Lemahnya implementasi kerangka perlindungan data kembali terlihat selama Pemilu 2019, di mana Komisi Pemilihan Umum, Komisi Informasi Publik, dan partai politik tidak mempunyai pengertian yang sama terkait perlindungan data pribadi. Sebagai contoh, pada bulan Desember 2018, salah satu partai politik bersitegang dengan KPU terkait masalah NIK (Nomor Induk Kependudukan) di dalam DPT (Daftar Pemilih Tetap). Partai ini meminta KPU untuk membuka NIK agar dapat melakukan validasi DPT. Menurut parpol tersebut, data ini adalah data publik. KPU menolak permintaan ini dan somasi pun dilayangkan oleh parpol.
Tidak konsisten nya pemahaman terhadap perlindungan data pemilih juga menyebabkan penyalahgunaan data warga. KPU menutup empat angka terakhir dari data NIK warga untuk melindungi data pribadi warga. Namun demikian, nama, alamat, dan tanggal lahir pemilih masih dapat diakses dari portal instansi pemerintah lainnya. Kampanye politik seringkali menggunakan informasi ini untuk mengirimkan pesan WhatsApp dan SMS terkait partai, dengan kaos, calendar, dan aksesoris lainnya dikirimkan ke rumah pemilih, tanpa persetujuan pemilih. Dibutuhkan kejelasan bagi siapa yang dapat menggunakan data pemilih dan untuk tujuan apa data pemilih ini digunakan.
Mendesaknya kebutuhan kerangka hukum perlindungan data pribadi
Kasus-kasus ini hanyalah sedikit dari gunung es. Kebijakan yang ada saat ini (Permenkominfo No. 20/2016) tidak secara jelas menjabarkan hak dari pemilik data dan kewajiban dari pengelola dan pengguna data pribadi. Lebih lanjut, kebijakan yang ada saat ini hanya memberikan sanksi administratif untuk pelanggar, seperti pembekuan izin untuk sementara waktu.
RUU Perlindungan Data Pribadi, suatu kerangka hukum yang lebih komprehensif, saat ini sedang dalam proses. Sebagian besar konsep di RUU ini mengacu pada Peraturan GDPR dari Eropa dan akan memuat beberapa aspek penting yang tidak tersedia di kebijakan yang ada saat ini; seperti menjabarkan kewajiban pengelola dan pengguna data pribadi, dan memperluas cakupan informasi sensitif untuk juga memasukkan data lokasi dari telepon genggam dan pandangan politik.
Pembahasan RUU ini dimulai pada tahun 2015, dan telah masuk ke dalam daftar prioritas legislasi nasional selama 4 tahun. Dikarenakan kurangnya prioritas akan isu data pribadi dan diskusi yang mandek, RUU ini baru mulai dibahas kembali pada tahun 2019, dan direncanakan untuk dapat dijadikan Undang-Undang pada pertengahan tahun 2019. Namun demikian, banyak warga meragukan rencana ini dapat terlaksana karena adanya pemilu dan penggantian anggota di Dewan Perwakilan Rakyat.
Pentingnya partisipasi warga dan pemangku kepentingan dalam implementasi kerangka hukum data pribadi
Mengingat penggunaan data pribadi yang semakin meningkat di berbagai sektor, termasuk di platform teknologi finansial, transportasi daring, dan e-commerce yang sedang berkembang, keberadaan Undang-Undang Perlindungan Data Pribadi dibutuhkan secara mendesak. Namun demikian, selain dari ketersediaan kerangka hukum yang komprehensif, banyak aspek lain yang perlu diperhatikan untuk memastikan implementasi hukum ini berjalan baik.
Pertama, peningkatan pemahaman dan kesadaran masyarakat akan pentingnya privasi, data pribadi, dan penggunannnya. Riset kami pada tahun 2018 menunjukkan bahwa sebagian besar siswa remaja di Jakarta masih tidak memahami bagaimana perusahaan media sosial menggunakan data pribadi mereka. Langkah pertama yang dapat dilakukan adalah untuk memahami tingkat pengetahuan dan pemahaman berbagai kelompok masyarakat – terutama masyarakat rentan – tentang privasi dan data pribadi, serta dampak dari kerangka hukum ini terhadap mereka.
Kedua, penegakkan hukum menjadi tantangan tersendiri. Dengan lemahnya implementasi dari kebijakan yang ada saat ini, penegakkan Undang-Undang Perlindungan Data Pribadi akan menghadapi tantangan besar. Lebih lanjut, setelah UU tersebut diberlakukan, dibutuhkan waktu untuk para pemangku kepentingan seperti perusahaan telekomunikasi, perusahaan kecil menengah, dan dinas pemerintah untuk menjalankannya. Maka dari itu, sangat penting untuk bisnis dan dinas pemerintah untuk mulai menyusun rencana dan meningkatkan kapasitas institusi mereka untuk taat dengan Undang-Undang yang akan berlaku.
Web Foundation sedang melakukan penelitian untuk memahami implementasi dari kebijakan yang ada terkait perlindungan data pribadi dan mengidentifikasi tantangan serta kesempatan dari adanya peraturan Perlindungan Data Pribadi. Untuk memastikan peraturan ini terselenggara dengan baik, sangatlah penting bagi semua pihak untuk memahaminya. Ini termasuk memahami tantangan bagi implementasi kerangka hukum ini, meningkatkan pemahaman warga akan isu perlindungan data pribadi, dan menyiapkan warga serta berbagai pemangku kepentingan untuk berpartisipasi dalam implementasi peraturan.
For updates about our work, sign up to our newsletter and follow us on Twitter at @webfoundation.
To receive a weekly news brief on the most important stories in tech, subscribe to The Web This Week.
Follow the Open Data Labs on Twitter at @ODLabJkt and visit labs.webfoundation.org to learn more.