Beragam langkah signifikan telah diambil pemerintah untuk merespons tindak pidana di industri perbankan digital. Namun, implementasi tiga pilar utama—regulasi, kolaborasi, dan pembangunan infrastruktur—tetap memerlukan kolaborasi pihak-pihak terkait.
Banyaknya bentuk kejahatan siber—pencurian data pribadi, pemalsuan kartu kredit, hingga spionase informasi—menjadi salah satu konsekuensi pertumbuhan bank digital di Indonesia. Di tengah kemudahan dan kenyamanannya, tanpa aturan jelas dan penegakan yang tegas, aktivitas perbankan dapat mengancam para nasabah.
Perbedaan antara bank digital dan konvensional sendiri telah banyak disebutkan dalam Peraturan OJK No. 12/POJK.03/2021. Pada pasal 24 Peraturan OJK No. 12/POJK.03/2021 juga telah diatur beragam syarat yang harus dipenuhi bank digital, sedari awal pendirian, pengelolaan bisnis, hingga penambahan atau penutupan jaringan kantor. Sama-sama berbadan hukum Indonesia (BHI) dan menjalankan kegiatan usaha, bedanya, bank digital tak memiliki kantor fisik selain kantor pusat (atau terbatas), menggunakan aplikasi untuk memenuhi sebagian besar atau seluruh layanan nasabah, serta memiliki sistem yang dapat disesuaikan dengan kebutuhan nasabah.
Pada dasarnya, layanan yang diberikan bank digital serupa dengan bank konvensional. Mulai dari penarikan dan transfer uang, pengelolaan kredit, simpanan dan investasi, pembukaan rekening, pengelolaan cek, serta laporan transaksi dan keuangan; dapat dilakukan kapan dan di mana saja. Nilai lebih lain, ada transparansi transaksi serta biaya yang relatif rendah. Namun, nilai tambah yang sama juga dapat menimbulkan risiko lanjutan: kebocoran data pribadi.
Merujuk pada Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, serta Undang-Undang Pelindungan Konsumen (UUPK), Partner Altruist Lawyers, Febryan Reza Yusuf menjelaskan, ada prinsip-prinsip pertanggungjawaban yang dapat diimplementasikan dalam kebocoran data pibadi. Ia memberi contoh prinsip pertanggungjawaban mutlak, pada kasus kebocoran data pribadi oleh PT Bank Syariah Indonesia.
“Kasus pencurian data pada nasabah PT Bank Syariah Indonesia diduga dilakukan peretas. Kasus ini berdampak kerugian pada nasabah, sehingga pihak bank wajib mengganti kerugian sesuai dengan aturan yang berlaku. Nasabah berhak untuk menuntut ganti rugi melalui jalur hukum yang sesuai dengan peraturan yang berlaku dengan beban pembuktian terletak pada pihak nasabah yang bermasalah,” kata Febryan.
Dalam konteks perbankan digital, lanjut Febryan, kegiatan operasional bank BHI sebagai bank digital, dapat berlangsung apabila menjalankan perlindungan terhadap keamanan data nasabah yang tercantum dalam Peraturan Otoritas Jasa Keuangan Nomor 12/POJK.03/2021 Pasal 24 ayat (1) huruf (e): “Bank BHI yang beroperasi sebagai Bank Digital sebagaimana dimaksud dalam Pasal 23 ayat (1) harus memenuhi persyaratan; menjalankan perlindungan terhadap keamanan data nasabah.”
Pelindungan konsumen juga diatur dalam Pasal 4 UU Perlindungan Konsumen yang memuat dasar hukum bagi nasabah yang dirugikan untuk mendapatkan kompensasi, ganti rugi, dan/atau penggantian terhadap jasa yang tidak sesuai dengan janji yang diberikan. Ini termasuk ancaman terhadap data nasabah akibat serangan siber.
”Kewajiban pelaku usaha, dalam hal ini PT Bank Syariah Indonesia, termaktub dalam UUPK, khususnya Pasal 7 huruf (d) (’menjamin mutu barang dan/atau jasa yang diproduksi dan/atau diperdagangkan berdasarkan ketentuan standar mutu barang dan/atau jasa yang berlaku’) dan (g) (’memberi kompensasi, ganti rugi dan/atau penggantian apabila barang dan/atau jasa yang dterima atau dimanfaatkan tidak sesuai dengan perjanjian’),” Febryan menambahkan.
Sedangkan, Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE) menegaskan dan memperluas perlindungan data pribadi, termasuk dalam layanan perbankan digital. Pasal 26 ayat (1) UU ITE menegaskan, penggunaan setiap informasi yang berkaitan dengan data pribadi seseorang melalui media elektronik harus didasarkan pada persetujuan dari individu yang bersangkutan. Undang-undang ini memberikan landasan hukum untuk menangani tindak pidana yang berkaitan dengan privasi atau data pribadi, serta memberikan dasar untuk penerapan sanksi hukum terhadap pelaku pencurian data pribadi nasabah, yang diatur dalam beberapa pasal yakni melakukan segala cara untuk akses ilegal (Pasal 30 UU ITE); tindak pidana yang berhubungan dengan gangguan (interferensi—gangguan terhadap Informasi atau dokumen elektronik); dan tindak pidana pemalsuan informasi atau dokumen elektronik (Pasal 35 UU ITE).
Siasat Memperkuat Pelindungan Data Pribadi
Untuk mengantisipasi risiko, bank digital harus memperkuat pelindungan data pribadi sesuai regulasi yang ditetapkan OJK. Salah satu langkah yang dapat diadopsi guna memperketat keamanan, yakni penerapan teknologi enkripsi dan autentikasi ganda guna melindungi data pribadi nasabah dari akses yang tidak sah dan penyalahgunaan. Selain itu, bank wajib memiliki kebijakan pengelolaan risiko yang efektif untuk mengidentifikasi, menganalisis, dan mengelola risiko terkait keamanan dan kerahasiaan data. Kerja sama antara OJK, bank, dan nasabah juga sangat penting dalam menciptakan lingkungan yang aman untuk layanan perbankan digital.
”Bank harus memberikan informasi yang jelas dan transparan kepada nasabah mengenai pengumpulan dan penggunaan data pribadi mereka, serta menyediakan mekanisme pengaduan untuk menangani pelanggaran kebijakan privasi,” ujar Febryan.
Adapun beberapa saran lain, di antaranya memiliki mekanisme pengaduan 24 jam, pemrosesan data sesuai regulasi, hak atas informasi dan transparansi bagi nasabah, hak bagi nasabah untuk mengajukan pengaduan, hak bagi nasabah untuk penghapusan data pribadi yang sudah tidak diperlukan (atau jika penggunaan tersebut melanggar hukum dan kebijakan privasi), hingga hak untuk menarik persetujuan.
Kendati belum diatur secara spesifik, Febryan mengungkapkan, jika diteliti lebih dalam, pemanfaatan AI di Indonesia telah diatur dalam beberapa peraturan. Misalnya, pada Pasal 1 ayat 5 Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE), yang menyatakan, ”Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi untuk mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik”. Di sini, AI beroperasi berdasarkan algoritma dan parameter yang telah diprogram oleh pengembang. Dengan demikian, AI lebih tepat dikategorikan sebagai agen elektronik. Hal ini diperkuat Pasal 1 ayat 8 UU ITE yang menyebutkan, “Agen Elektronik adalah perangkat dari suatu Sistem Elektronik yang dirancang untuk melakukan tindakan terhadap Informasi Elektronik tertentu secara otomatis dan diselenggarakan oleh seseorang”.
”Berdasarkan hubungan antara karakteristik AI dan definisi agen elektronik dalam UU ITE, AI termasuk dalam kategori agen elektronik. Ini berarti segala bentuk pertanggungjawaban melekat pada penyelenggara AI. Dengan kata lain, dalam pelaksanaan transaksi elektronik, segala tanggung jawab atas hal-hal yang di luar kelalaian pengguna AI dibebankan kepada penyelenggara AI atau penyelenggara agen elektronik,” kata Febryan.
Kemudian, Pasal 15 ayat 1 UU ITE menggarisbawahi bahwa setiap penyelenggara elektronik wajib memastikan sistem elektronik yang dioperasikan bersifat andal, aman, dan bertanggung jawab. Dalam penjelasannya, ’andal’ berarti sistem elektronik sesuai kebutuhan; ’aman’ berarti terlindungi secara fisik dan nonfisik; serta ’beroperasi sebagaimana mestinya’ berarti sesuai dengan spesifikasinya. ’bertanggung jawab’ mengindikasikan, subjek hukum harus bertanggung jawab terhadap penyelenggaraan sistem elektronik.
Peraturan Pemerintah (PP) No. 71 Tahun 2019 juga mengatur tentang batasan kewajiban dan tanggung jawab penyelenggara agen elektronik, termasuk kewajiban menyediakan fitur yang memungkinkan pengguna mengubah informasi dalam proses transaksi, menjaga kerahasiaan data, mengendalikan data pribadi pengguna, menjamin privasi data pengguna, dan sebagainya. Sementara itu, Surat Edaran Menteri Komunikasi dan Informatika Nomor 9 Tahun 2023 tentang Etika Kecerdasan Artifisial (AI) mengatur penggunaan AI dengan mempertimbangkan aspek etika dan pelindungan data pribadi.
Bagaimanapun, perkembangan teknologi AI telah membawa dampak signifikan dalam berbagai sektor, sehingga pengaturan etis diperlukan untuk memitigasi risiko. Surat edaran ini menetapkan prinsip inklusivitas, kemanusiaan, keamanan, aksesibilitas, transparansi, kredibilitas, pelindungan data pribadi, dan keberlanjutan sebagai landasan dalam penyelenggaraan AI. Tujuannya adalah untuk melindungi privasi pengguna, mencegah penyalahgunaan data, serta memastikan AI digunakan secara bertanggung jawab dalam pengambilan keputusan dan inovasi teknologi.
”Pelaku usaha dan Penyelenggara Sistem Elektronik (PSE) diwajibkan untuk membuat kebijakan internal yang menjamin perlindungan data pribadi sesuai peraturan, dan menerapkan standar etika dalam pengembangan serta penggunaan teknologi AI. Pemerintah juga berperan dalam melakukan pengawasan guna mencegah pelanggaran, serta mendorong edukasi terkait AI di masyarakat,” ujar Febryan.
Bersama-sama Berantas Tindak Pidana di Perbankan Digital
Beragam langkah signifikan telah diambil pemerintah untuk merespons tindak pidana di industri perbankan digital. Namun, implementasi tiga pilar utama—regulasi, kolaborasi, dan pembangunan infrastruktur—tetap memerlukan sinergi pihak-pihak terkait, mulai dari lembaga, asosiasi, akademisi, hingga praktisi.
Meski banyak upaya terus dilakukan, masih terdapat oknum yang berhasil menembus regulasi. Pada 17 Oktober 2022, UU PDP pun disahkan dengan tujuan melindungi data pribadi pengguna layanan digital.
Pada regulasi ini, diatur sejumlah langkah lanjutan terkait kebocoran data pribadi, seperti, ”Pasal 46 (1) Dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data Pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada: a. Subjek Data Pribadi; dan b. lembaga. (2) Pemberitahuan tertulis sebagaimana dimaksud pada ayat (1) minimal memuat: Data Pribadi yang terungkap; kapan dan bagaimana Data Pribadi terungkap; dan upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi. (3) Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi.”
Pada akhirnya, regulasi yang mengatur perbankan digital sejatinya sudah menerapkan beberapa langkah mitigasi. Sebagai contoh, POJK 13/2021 diterbitkan dengan tujuan mempercepat transformasi digital, yang memberikan ruang bagi bank untuk lebih inovatif dalam menerbitkan produk dan layanan digital tanpa mengabaikan prinsip kehati-hatian; hingga fokus pada penguatan perizinan dan operasional produk perbankan (dari persetujuan berbasis modal menjadi berbasis risiko). Namun, Febryan tak menampik, masih ada celah ’kejahatan’ yang dapat saja dimanfaatkan oleh oknum tak bertanggung jawab.
Untuk itu, terdapat empat saran yang diberikan Altruist Lawyers. Pertama, memaksimalkan koordinasi antarlembaga pemerintah terkait, khususnya Bank Indonesia dan OJK sebagai dua otoritas utama yang bertanggung jawab dalam pengawasan sektor perbankan. Kedua, pembaruan regulasi untuk mencerminkan dinamika perbankan digital yang terus berkembang.
”UU No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik memang memberikan dasar hukum yang penting untuk kegiatan digital. Akan tetapi, undang tersebut belum cukup komprehensif untuk menangani seluruh aspek perbankan digital. Diperlukan regulasi yang lebih rinci untuk memastikan bahwa perbankan digital dapat beroperasi dengan aman, efisien, dan melindungi kepentingan para pemangku kepentingan,” tutur Febryan.
Ketiga, menetapkan lisensi khusus digital yang menguraikan aktivitas yang diizinkan target segmen nasabah dan batasan operasional. Lisensi digital khusus dapat membuka pasar bagi pemain baru di mana lisensi perbankan tradisional terbatas. Keempat, GDPR (General Data Protection Regulation) dalam Pasal 5 (1) dalam konteks perbankan digital mengharuskan institusi untuk menerapkan langkahlangkah keamanan data yang kukuh, serta memperoleh persetujuan eksplisit dari nasabah sebelum memproses data pribadi mereka. Selain itu, GDPR juga memberikan hak kepada nasabah untuk mengontrol akses terhadap data mereka dan mencabut persetujuan yang telah diberikan kapan saja. Dengan demikian, GDPR berfungsi sebagai landasan yang penting dalam melindungi hak privasi nasabah dan memastikan keamanan data dalam sektor perbankan digital.
Artikel ini merupakan hasil kerja sama antara Hukumonline dengan Altruist Lawyers.
