Analisis Hukum terhadap Pelaku Pencurian Data Pribadi

Menjerat Pelaku Pencurian Data Pribadi: Analisis Hukum Pasca Berlakunya Undang-Undang Perlindungan Data Pribadi di Indonesia

Pendahuluan

Di era digital yang serba terkoneksi, data pribadi telah menjadi aset berharga yang tak ternilai harganya. Ia bukan lagi sekadar identitas, melainkan representasi digital dari individu yang dapat dimanfaatkan untuk berbagai tujuan, baik yang sah maupun ilegal. Seiring dengan peningkatan ketergantungan pada teknologi, ancaman pencurian data pribadi pun semakin merajalela. Insiden kebocoran atau pencurian data, baik yang berskala kecil maupun masif, telah menjadi berita umum yang kerap mengkhawatirkan masyarakat. Pelaku kejahatan siber kini semakin canggih dalam melancarkan aksinya, mulai dari serangan phishing, malware, hingga eksploitasi celah keamanan sistem.

Pencurian data pribadi tidak hanya menimbulkan kerugian finansial bagi korban, seperti penipuan atau penyalahgunaan akun, tetapi juga merusak reputasi, menimbulkan stres psikologis, bahkan ancaman keamanan fisik. Oleh karena itu, keberadaan kerangka hukum yang kuat dan komprehensif untuk menjerat pelaku pencurian data pribadi menjadi sangat krusial. Indonesia, sebagai negara dengan populasi pengguna internet yang masif, telah mengambil langkah signifikan dengan mengesahkan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Artikel ini akan menganalisis secara mendalam kerangka hukum yang berlaku untuk menjerat pelaku pencurian data pribadi di Indonesia, khususnya pasca berlakunya UU PDP, serta tantangan dan prospek penegakannya.

Definisi dan Lingkup Data Pribadi dalam Konteks Hukum

Sebelum menganalisis aspek hukumnya, penting untuk memahami apa yang dimaksud dengan data pribadi. Berdasarkan Pasal 1 angka 1 UU PDP, data pribadi adalah setiap data tentang seseorang baik yang teridentifikasi maupun dapat diidentifikasi secara tersendiri atau dikombinasikan dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau non-elektronik. UU PDP membagi data pribadi menjadi dua kategori: umum dan spesifik. Data pribadi umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, dan data gabungan lainnya yang mengidentifikasi seseorang. Sementara itu, data pribadi spesifik mencakup data kesehatan, biometrik, genetika, catatan kejahatan, data anak, data keuangan pribadi, dan data lainnya sesuai dengan ketentuan peraturan perundang-undangan.

Pencurian data pribadi dalam konteks ini merujuk pada tindakan memperoleh, menyalin, menyebarluaskan, atau menggunakan data pribadi seseorang tanpa hak atau melawan hukum, dengan atau tanpa tujuan mencari keuntungan. Tindakan ini bisa dilakukan melalui peretasan sistem, rekayasa sosial, atau bahkan melalui pihak internal yang memiliki akses tidak sah.

Evolusi Kerangka Hukum Sebelum UU PDP

Sebelum lahirnya UU PDP, penjeratan pelaku pencurian data pribadi di Indonesia tersebar di beberapa undang-undang, namun belum ada yang secara spesifik dan komprehensif mengatur perlindungan data pribadi. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana telah diubah dengan Undang-Undang Nomor 19 Tahun 2016 (UU ITE) menjadi rujukan utama. Pasal 30 UU ITE, misalnya, mengatur tentang akses ilegal terhadap sistem elektronik. Pelaku yang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan/atau sistem elektronik milik orang lain dengan cara apa pun dapat dipidana. Pasal 32 UU ITE juga mengancam pidana bagi setiap orang yang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, atau menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik orang lain atau milik publik.

Selain UU ITE, Kitab Undang-Undang Hukum Pidana (KUHP) juga dapat digunakan, meskipun terbatas. Pasal 362 KUHP tentang pencurian dapat diterapkan jika data pribadi dianggap sebagai "barang" yang dapat dicuri, namun interpretasi ini seringkali menjadi perdebatan mengingat data adalah entitas tak berwujud. Pasal 378 KUHP tentang penipuan juga dapat digunakan jika pencurian data tersebut berujung pada tindakan penipuan terhadap korban.

Namun, kerangka hukum sebelum UU PDP memiliki beberapa kelemahan fundamental. Pertama, tidak adanya definisi yang jelas dan komprehensif mengenai data pribadi itu sendiri. Kedua, fokus utama UU ITE adalah pada sistem elektronik dan informasi/dokumen elektronik, bukan pada perlindungan data pribadi sebagai hak fundamental individu. Ketiga, sanksi yang ada seringkali dianggap belum cukup berat untuk memberikan efek jera, terutama bagi pelaku kejahatan siber berskala besar. Keempat, tidak adanya pengaturan yang spesifik mengenai hak-hak subjek data dan kewajiban pengendali/prosesor data, yang merupakan inti dari perlindungan data pribadi modern.

UU Perlindungan Data Pribadi: Tonggak Penegakan Hukum Baru

Kehadiran UU PDP merupakan respons terhadap kebutuhan mendesak akan regulasi yang komprehensif dan sejalan dengan standar internasional (seperti GDPR di Eropa). UU PDP mengubah lanskap hukum secara signifikan dengan memberikan landasan yang kuat untuk menjerat pelaku pencurian data pribadi, serta memberikan perlindungan yang lebih utuh bagi subjek data.

A. Aspek Pidana dalam UU PDP
UU PDP secara eksplisit mengatur berbagai tindak pidana terkait data pribadi, yang secara langsung atau tidak langsung dapat menjerat pelaku pencurian data. Beberapa pasal krusial meliputi:

1. Pasal 65: Mengatur tentang larangan memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud menguntungkan diri sendiri atau orang lain secara melawan hukum. Pelanggaran terhadap pasal ini dapat dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp 5.000.000.000,00 (lima miliar rupiah). Pasal ini menjadi senjata utama untuk menjerat pelaku pencurian data yang bertujuan untuk keuntungan pribadi atau kelompok.
2. Pasal 66: Mengatur tentang larangan mengungkapkan data pribadi yang bukan miliknya. Jika pelaku pencurian data kemudian menyebarkan atau menjual data tersebut, maka pasal ini dapat diterapkan. Pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp 5.000.000.000,00 (lima miliar rupiah).
3. Pasal 67: Mengatur tentang larangan menggunakan data pribadi yang bukan miliknya. Jika data hasil curian digunakan untuk tujuan tertentu (misalnya penipuan identitas), maka pasal ini dapat menjerat pelaku dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp 5.000.000.000,00 (lima miliar rupiah).
4. Pasal 68: Mengatur tentang larangan memalsukan data pribadi dengan maksud menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain. Ini relevan jika pelaku pencurian data memanipulasi data yang dicuri. Pidana penjara paling lama 6 (enam) tahun dan/atau pidana denda paling banyak Rp 6.000.000.000,00 (enam miliar rupiah).

Perlu dicatat bahwa UU PDP juga mengatur sanksi pidana yang lebih berat bagi tindak pidana yang dilakukan oleh korporasi atau jika tindak pidana tersebut menyebabkan kerugian yang besar.

B. Keterkaitan dengan Undang-Undang Lain
Meskipun UU PDP telah hadir, UU ITE dan KUHP tetap relevan sebagai lapis perlindungan tambahan atau pelengkap. Misalnya, jika pencurian data dilakukan melalui peretasan sistem, Pasal 30 UU ITE tetap dapat dikenakan. Jika pencurian data berujung pada penipuan keuangan, Pasal 378 KUHP atau Pasal 28 UU ITE (tentang penyebaran berita bohong yang merugikan konsumen) dapat turut diterapkan. Konsep concursus idealis atau concursus realis dalam hukum pidana memungkinkan penjeratan pelaku dengan beberapa pasal sekaligus jika perbuatan tunggal memenuhi unsur beberapa delik atau jika beberapa perbuatan saling berkaitan.

Tantangan dalam Penegakan Hukum

Meskipun UU PDP membawa harapan baru, penegakan hukum terhadap pelaku pencurian data pribadi masih menghadapi berbagai tantangan:

1. Kompleksitas Teknis: Kejahatan siber seringkali melibatkan teknik yang rumit, membutuhkan keahlian khusus dalam investigasi digital forensik untuk melacak jejak pelaku, mengumpulkan bukti elektronik, dan memahami modus operandi.
2. Yurisdiksi Lintas Batas: Pelaku pencurian data seringkali beroperasi dari negara lain, menyulitkan proses penangkapan, penyelidikan, dan ekstradisi. Kerja sama internasional menjadi kunci, namun seringkali terhambat oleh perbedaan sistem hukum dan birokrasi.
3. Anonimitas Pelaku: Penggunaan teknologi seperti VPN, Tor, dan mata uang kripto dapat menyamarkan identitas pelaku, mempersulit pelacakan.
4. Kurangnya Sumber Daya: Ketersediaan penyidik, jaksa, dan hakim yang memiliki pemahaman mendalam tentang teknologi informasi dan hukum siber masih terbatas. Pelatihan dan pengembangan kapasitas menjadi esensial.
5. Kesadaran Masyarakat: Banyak korban pencurian data yang tidak menyadari bahwa mereka telah menjadi korban atau enggan melaporkan karena minimnya pengetahuan tentang prosedur hukum atau kekhawatiran akan kerumitan proses.
6. Pembuktian: Mengumpulkan bukti yang cukup untuk menjerat pelaku, terutama bukti digital yang rentan terhadap manipulasi atau kehilangan, merupakan tantangan besar. Rantai bukti digital harus dijaga ketat agar sah di mata hukum.

Prospek dan Rekomendasi

Dengan berlakunya UU PDP, prospek penjeratan pelaku pencurian data pribadi menjadi lebih cerah. Namun, keberhasilan penegakan hukum sangat bergantung pada beberapa faktor:

1. Pembentukan dan Penguatan Lembaga Penegak Hukum: Penting untuk segera membentuk dan mengoperasionalkan lembaga atau badan yang ditugaskan khusus untuk mengawasi dan menegakkan UU PDP, seperti yang diamanatkan dalam undang-undang tersebut. Lembaga ini harus memiliki kewenangan yang jelas, independensi, dan sumber daya yang memadai.
2. Peningkatan Kapasitas SDM: Pelatihan berkelanjutan bagi aparat penegak hukum (Polisi, Jaksa, Hakim) dalam bidang siber, digital forensik, dan hukum perlindungan data pribadi adalah mutlak diperlukan.
3. Kerja Sama Internasional: Mendorong perjanjian ekstradisi dan Mutual Legal Assistance (MLA) dengan negara-negara lain untuk memfasilitasi penangkapan dan penuntutan pelaku lintas batas.
4. Literasi Digital Masyarakat: Edukasi publik secara masif mengenai pentingnya menjaga data pribadi, cara mengenali modus pencurian data, dan prosedur pelaporan jika menjadi korban.
5. Peran Serta Sektor Swasta: Dorongan bagi organisasi dan perusahaan untuk meningkatkan keamanan siber mereka, mematuhi prinsip-prinsip perlindungan data pribadi, dan segera melaporkan insiden kebocoran data.

Kesimpulan

Pencurian data pribadi adalah kejahatan serius di era digital yang membutuhkan respons hukum yang tegas dan komprehensif. Berlakunya Undang-Undang Perlindungan Data Pribadi di Indonesia merupakan langkah maju yang fundamental dalam memberikan landasan hukum yang kuat untuk menjerat pelaku. Dengan adanya UU PDP, pelaku kini dapat dijerat dengan pasal-pasal pidana yang spesifik dan sanksi yang lebih berat, memberikan efek jera yang diharapkan.

Namun, keberhasilan penegakan hukum tidak hanya berhenti pada pembentukan undang-undang. Diperlukan sinergi antara pemerintah, aparat penegak hukum, sektor swasta, dan masyarakat sipil untuk mengatasi tantangan teknis, yurisdiksi, dan sumber daya. Hanya dengan upaya kolektif yang terkoordinasi, Indonesia dapat menciptakan ruang digital yang lebih aman, di mana hak atas privasi dan perlindungan data pribadi setiap individu benar-benar terjamin. UU PDP adalah awal, bukan akhir, dari perjuangan panjang melawan kejahatan siber dan pencurian data pribadi.