APEC Privacy Framework

Penggunaan smart phone, tablet dan berbagai perangkat mobile lain memang benar-benar telah mempermudah siapapun untuk berkomunikasi. Sayangnya berbagai kemudahan ini seringkali tidak diikuti dengan peningkatan pengetahuan keamanan berinternet yang memadai. Sehingga banyak sekali kita jumpai sekarang ini para pengguna jejaring sosial justru mengumbar informasi pribadinya seperti nomor telepon, lokasi keberadaan, dan sebagainya.

Selain itu juga ketiadaan undang-undang tentang privasi di Indonesia telah menyebabkan jual-beli data privasi untuk keperluan telemarketing dalam menawarkan berbagai produk-produk asuransi, perbankan, dan sebagainya.

Semua hal ini sangat mengganggu dan mengurangi kepercayaan kita terhadap transaksi-transaksi online, yang pada akhirnya berdampak pada terhambatnya bisnis e-commerce di Indonesia.

Di berbagai negara maju, seperti Eropa, Amerika dan sebagainya, sudah terdapat undang-undang yang melindungi privasi, sehingga berbagai hal di atas tidak akan terjadi.

Di Indonesia sendiri, ketiadaan undang-undang privasi ini sudah menjadi salah satu fokus dari pemerintah, dan sekarang ini pemerintah sudah mulai sadar pentingnya undang-undang ini dan mudah-mudahan dalam waktu dekat Indonesia sudah punya undang-undangnya.

Definisi

Informasi pribadi

Informasi Pribadi adalah setiap informasi tentang individu yang bisa mengidentifikasi seseorang. Contoh Informasi Pribadi adalah :

• Nama
• Foto, Video
• Alamat
• Ras
• Agama
• Nomor Telepon/ Nomor Fax
• Informasi Medis
• Profil keuangan
• Nomor KTP, Passport (dan berbagai nomor yang diterbitkan pemerintah)
• Nomor kartu kredit (yang ini termasuk kedalam informasi pribadi yang sensitif)
• IP address
• Plat nomor mobil, nomor STNK, nomor SIM, dsb
• tulisan tangan
• Tanggal Lahir, Tempat Lahir
• Informasi Genetik
• Ciri-ciri Fisik seperti : wajah / rambut / warna mata / retina / sidik jari, tanda identitas (tato, tanda lahir, tahi lalat, bekas luka)
• Pseudonymous data – identitas unik atau data yang bisa dihubungkan ke sebuah identitas yang unik, misalnya user id dari sebuah layanan di internet, catatan (log), dan sebagainya

Kontroler Informasi Pribadi

Kontroler Informasi Pribadi adalah orang atau organisasi yang mengatur, memegang, mengolah atau menggunakan informasi pribadi. Contohnya adalah pemerintah, bank, sekolah, atau berbagai situs layanan di Internet (mulai dari layanan email, mesin pencari, berbagi file, torrent, jejaring sosial, dan sebagainya).

Informasi Publik

Informasi Publik adalah informasi pribadi tentang seorang individu yang memang sengaja dibuat atau diijinkan oleh individu ybs dan tersedia untuk umum, atau bisa diakses dan diperoleh secara sah dari: catatan pemerintah yang tersedia untuk umum, laporan jurnalistik, atau informasi yang memang secara hukum diperlukan untuk konsumsi publik

Mengapa Informasi Pribadi Sangat Penting ?

Informasi Pribadi sangat penting untuk kita lindungi. Pencurian terhadap informasi pribadi dampaknya sangat besar. Misalnya kehilangan kredibilitas, tuntutan hukum, kerugian finansial yang besar, kehilangan produktivitas dan sebagainya.

Di bawah ini ada beberapa contoh kasus :

• Starbukcs pernah kehilangan sebuah laptop yang berisi berbagai data pribadi dari 97 ribu pegawai (tahun 2008). Informasi yang hilang termasuk nama, alamat, dan social security number. Ini bukan masalah kehilangan pertama, karena Starbuck pernah juga kehilangan laptop sebelumnya.  http://www.seattlepi.com/business/article/Missing-laptop-puts-Starbucks-workers-data-at-1292543.php
• TJC Companies Inc kehilangan 45.6 juta kartu kredit dan debit, dan menyebabkan kehilangan data personal yang sangat besar. http://www.computerworld.com/s/article/9014782/TJX_data_breach_At_45.6M_card_numbers_it_s_the_biggest_ever
• Heartland sebuah penyedia layanan pemrosesan kartu kredit dan debit kehilangan data pribadi dan lebih dari 100 juta kartu terkena dampaknya. Diperkirakan si pencuri telah melakukan transaksi-transaksi ilegal yang jumlahnya sangat banyak. http://www.computerworld.com/s/article/9126379/Heartland_data_breach_could_be_bigger_than_TJX_s

Mengatasi Kebocoran Data Pribadi

Informasi pribadi anda sangat penting, oleh karena itu sudah sepantasnya dilindungi dengan sebaik-baiknya, misalnya dengan berbagai perlindungan di bawah ini :

1. Lindungi seluruh data di komputer anda dengan enkripsi hard disk (misalnya BitLocker) untuk memastikan jika komputer/laptop/tablet anda hilang, maka data yang ada di dalamnya tidak bisa dibaca
2. Lindungi data pribadi anda pada saat melakukan browsing dengan fitur perlindungan privasi (misalnya fitur “Do not track” yang sudah aktif by default di browser Internet Explorer versi 10)
3. Jangan meletakkan data pribadi sensitif di jejaring sosial anda (misalnya di Facebook)
4. Jangan meletakkan file-file rahasia di layanan awan tanpa enkripsi yang kuat
5. Perhatikan EULA (End User License Agreement) pada saat anda mendaftar atau menggunakan layanan di internet (karena sebagian besar penyelenggara layanan di Internet melakukan pengumpulan data pribadi anda dan menggunakannya untuk keperluan marketing mereka)

Prinsip APEC Privacy Regulation Framework

Pemerintah sudah selayaknya melindungi warga negaranya dengan mengeluarkan aturan / undang-undang tentang Privasi/Data Pribadi. Indonesia belum memiliki UU tentang Privasi, dan sebagai salah satu negara anggota APEC mungkin bisa mempertimbangkan pedoman kerangka aturan Privasi APEC (APEC Privacy Regulation Framework) yang terdiri dari 9 prinsip sebagai berikut :

1. Cegah penyalahgunaan - Perlindungan informasi pribadi harus dirancang untuk mencegah penyalahgunaan informasi tersebut. Selanjutnya, mengakui risiko yang merugikan mungkin timbul dari penyalahgunaan tersebut dari informasi pribadi, kewajiban tertentu harus memperhitungkan risiko tersebut, dan langkah-langkah perbaikan harus proporsional dengan kemungkinan dan tingkat keparahan bahaya yang terancam oleh pengumpulan, penggunaan dan transfer informasi pribadi .
2. Praktek dan Aturan yang Jelas – Praktek dan kebijakan kontroler Informasi Pribadi harus jelas & mudah didapatkan, dan harus mencakup :
1. informasi pribadi apa saja yang sedang dikumpulkan;
2. tujuannya apa;
3. kepada siapa atau organisasi mana informasi pribadi tersebut mungkin diungkapkan;
4. identitas dan lokasi kontroler informasi pribadi, termasuk informasi tentang cara untuk menghubungi mereka tentang praktek-praktek mereka dan penanganan informasi pribadi;
5. pilihan dan cara yang ditawarkan untuk membatasi penggunaan/pengungkapan/pengaksesan/pengkoreksian informasi pribadi
3. Ambil Data Pribadi Seperlunya  – Pengambilan informasi pribadi harus dibatasi pada informasi yang relevan terhadap tujuan pengambilan, dan pengambilan tersebut harus didapatkan melalui cara yang sah dan adil, dengan pemberitahuan dan persetujuan yang bersangkutan
4. Gunakan Data Pribadi Seperlunya - Informasi pribadi yang dikumpulkan harus digunakan hanya untuk memenuhi tujuan pengumpulan dan lain yang terkait lainnya kecuali:
1. dengan persetujuan dari individu ybs
2. diperlukan untuk menyediakan layanan atau produk yang diminta oleh individu ybs
3. diperlukan oleh suatu proses hukum
5. Pilihan Pengumpulan, Penggunaan, dan Pengungkapan - Apabila diperlukan, individu harus diberikan mekanisme yang jelas, menonjol, mudah dimengerti, dapat diakses dan terjangkau untuk memilih proses pengumpulan, penggunaan dan pengungkapan informasi pribadi mereka.
6. Informasi yang Akurat, Lengkap, Terkini - Informasi pribadi harus akurat, lengkap dan selalu terkini yang memenuhi tujuan penggunaan.
7. Keamanan thd Kebocoran, Akses tdk Berhak, Perusakan, Perubahan – Kontroler informasi pribadi harus melindungi informasi pribadi yang mereka pegang dengan pengamanan yang memadai terhadap berbagai risiko, seperti kehilangan atau akses tidak sah ke informasi pribadi, atau perusakan yang tidak sah, penggunaan, modifikasi atau pengungkapan informasi atau penyalahgunaan lainnya. Perlindungan tersebut harus sebanding dengan kemungkinan dan tingkat keparahan bahaya yang mengancam, sensitivitas informasi dan konteks yang diadakan, dan harus ditinjau secara berkala dan dinilai ulang.
8. Hak Menanyakan dan Memperbaiki Data Privasi Sendiri – Setiap individu harus :

1. dapat memperoleh konfirmasi dari kontroler informasi pribadi apakah mereka memegang informasi pribadi tentang mereka;

2. menerima informasi tentang mereka (setelah memberikan bukti yang cukup tentang identitas mereka) :

1. dalam waktu yang wajar;

2. dengan biaya yang tidak berlebihan;

3. dengan cara yang wajar;

4. dalam bentuk yang umumnya dipahami, dan,

3. dapat mempertanyakan keakuratan informasi yang berkaitan dengan mereka dan, jika mungkin dan sesuai, memperbaiki, menyelesaikan, mengubah, atau menghapus informasi tersebut
9. Akuntabilitas, Persetujuan, dan Uji Tuntas - Kontroler informasi pribadi harus bertanggung jawab untuk mematuhi langkah-langkah sesuai prinsip (no 1-8) tersebut di atas. Ketika informasi pribadi yang akan diberikan ke orang atau organisasi lain, baik domestik maupun internasional, pengontrol informasi pribadi harus mendapatkan persetujuan dari individu atau melakukan uji tuntas (due diligence) dan mengambil langkah-langkah yang wajar untuk memastikan bahwa orang atau organisasi penerima akan melindungi informasi dan tetap konsisten dengan Prinsip ini.