Implikasi Kebijakan Pelindungan Data Pribadi

Sebagaimana mesin uap pada revolusi industri pertama, data adalah bahan bakar utama revolusi industri keempat. Pasar dari data mengalami perkembangan yang sedemikian pesat selama tiga dekade terakhir. Pada 1992, jaringan internet membawa setidaknya 100 GB data dalam waktu satu hari, 10 tahun setelahnya internet membawa 100 GB data dalam waktu satu detik, sedangkan pada 2017 diperkirakan telah mencapai 45.000 GB per detik (UNCTAD, 2017).

Pasar ini ditopang oleh semakin efisiennya penyimpanan data dan semakin pesatnya perkembangan teknik pengolahan data. Pada 1980, biaya penyimpanan data sebesar 1 GB mencapai USD 400.000, pada 2016 hanya sebesar USD 0,02. Sedangkan total nilai pasar dari big data saat ini diperkirakan lebih dari USD 36 miliar per tahun.

Saat ini manusia sedang hidup dalam era konsumsi yang sangat didorong oleh data (data-driven); dimana individual menjadi produsen sekaligus konsumen dari aset paling berharga saat ini, yaitu data pribadi. Bagi produsen, data pribadi menjadi input proses produksi, mendorong efisiensi dalam alokasi sumber daya, membantu terciptanya inovasi bagi perusahaan, mendorong consumer-oriented product.

Bagi konsumen, ketika secara strategis membagikan sejumlah data pribadinya bisa mendapatkan sejumlah keuntungan, seperti layanan yang lebih personal, mendapatkan informasi (iklan) sesuai kebutuhan sehingga menurunkan biaya pencarian (search cost), hingga menikmati berbagai produk hasil inovasi yang ditimbulkan dari pengelolaan data.

Produsen dan konsumen pada dasarnya memiliki insentif untuk melindungi data pribadi. Bagi produsen, data adalah aset produksi yang perlu dijaga agar perusahaan tetap kompetitif. Kebocoran data menimbulkan biaya bagi perusahaan, baik itu biaya langsung (biaya deteksi, notifikasi dan operasional), biaya tidak langsung (reputasi dan kepercayaan konsumen), dan biaya tersembunyi (kehilangan daya saing, biaya perlindungan jangka panjang).

Sedangkan bagi konsumen, keamanan data pribadi diperlukan karena kebocoran data pribadi berpotensi menimbulkan biaya seperti diskriminasi harga dan pencurian identitas (Acquisti, Taylor, Wagman, 2016). Oleh sebab itu aturan perlindungan data pribadi mutlak diperlukan. Sebagai pengambil kebijakan, pemerintah tentu mengalami dilema. Di satu sisi, pemerintah menginginkan peran data sebagai enabler perekonomian seoptimal mungkin, di sisi lain perlu dipertimbangkan besarnya biaya privasi yang terjadi.

Guna mendorong perkembangan pesat ekonomi digital, maka regulasi terkait data pribadi memegang peran penting. Selama beberapa tahun terakhir, pemerintah telah merumuskan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) yang telah ditandatangani oleh Presiden Joko Widodo pada 24 Januari 2020. Saat ini terdapat 32 aturan yang terkait data pribadi yang tersebar di berbagai Kementerian/Lembaga. RUU PDP dapat menjadi payung hukum bagi semua aturan tersebut.

RUU PDP mengatur setidaknya enam hal utama, yaitu definisi dari data pribadi, hak dari pemilik data, mekanisme persetujuan (consent), kewajiban dari pengendali dan prosesor data, sanksi, dan terkait dengan kelembagaan. Dalam konteks ilmu ekonomi, aturan perlindungan data pribadi pada dasarnya memiliki dua keuntungan, yaitu signal effect dan consumption effect.

Adanya aturan menjadi sinyal bagi konsumen bahwa datanya terlindungi, sehingga meningkatkan kepercayaan dalam memakai layanan online. Sedangkan consumption effect adalah ketika confidence tersebut pada akhirnya menjadi dorongan konsumen untuk bertransaksi melalui dunia maya.

Aturan pelindungan data pribadi ketika tidak disusun secara optimal berpotensi berimplikasi negatif terhadap perekonomian. Setidaknya terdapat empat potensi implikasi yang dapat terjadi. Pertama, RUU PDP menjadikan data aggregate, terenkripsi, dan pseudonim sebagai data pribadi, hal ini berpotensi mengurangi kemampuan analisis dari sebuah data. Data-data ini telah melalui proses pelindungan pengamanan sehingga tidak lagi dapat diidentifikasi kepada individu tentunya.

Selain itu, umumnya data aggregate digunakan untuk kepentingan penelitian yang akhirnya digunakan untuk meningkatkan pelayanan. Ketika data aggregate dimasukkan ke dalam definisi data pribadi, maka dikhawatirkan hal tersebut dapat menghambat kemampuan analisis dari data.

Berdasarkan analisis Goldberg, Johnson, dan Shriver (2019), aturan pelindungan data pribadi seperti General Data Protection Regulation (GDPR) dapat berdampak negatif kepada perusahaan online melalui dua mekanisme. Pertama, secara langsung dengan menghambat perkembangan periklanan online dan mempengaruhi preferensi browsing dari pengguna internet. Kedua, secara tidak langsung GDPR menurunkan kemampuan analisis data dari web yang selama ini membantu perusahaan untuk mengambil keputusan.

Penelitian dampak GDPR terhadap 1500 perusahaan online yang memiliki total 1 miliar kunjungan web menunjukkan bahwa outcome secara online (page views, order, dan revenue) mengalami penurunan sebesar 10% (Goldberg, Johnson, dan Shriver (2019). Penelitian lain yang pernah dilakukan mengenai dampak EU Privacy Directive untuk privasi, di mana efektivitas dari iklan mengalami penurunan hingga 65% dibandingkan negara-negara lain (Goldfarb dan Tucker, 2010).

Kedua, RUU PDP memberlakukan hanya explicit consent, yang berpotensi mengurangi potensi pasar online. Aturan consent Indonesia secara umum mencontoh apa yang dilakukan di GDPR. GDPR memperkuat hak individu terhadap data pribadi dengan memberikan hak akses, hak memperbaiki dan hak menghapus data yang dipegang oleh perusahaan.

Di sisi lain, GDPR juga menuntut perusahaan untuk meminimalisasi pemrosesan data, dan hanya dapat mengakses data pada keadaan tertentu serta dengan batasan yang telah diatur. Salah satu "keadaan" yang diatur tersebut adalah skema explicit opt-in consent, yang artinya agar perusahaan ingin memproses data pribadi maka pemilik data harus memberikan persetujuan eksplisit terlebih dahulu.

Sebagaimana GDPR, RUU PDP mewajibkan pengendali data meminta persetujuan kepada pemilik data sebelum mengambil data tersebut. Pemilik data pada dasarnya memiliki pilihan untuk menerima atau menolak consent tersebut. Peraih hadiah Nobel bidang Ekonomi Geogre Akerlof mengatakan bahwa adanya informasi yang tidak simetris dapat menyebabkan hilangnya pasar (disappearance of market).

Dalam konteks data pribadi, adanya ketidakseimbangan informasi terkait untuk apa data pribadi dikumpulkan. Dalam sejumlah kesempatan, pemilik data tidak mengetahui untuk apa datanya dikumpulkan dan apa konsekuensinya. Hal tersebut pada akhirnya berpotensi membuat pemilik data akhirnya menarik diri dari pasar. Secara empirik, fenomena tersebut sudah terjadi pasca diterapkannya GDPR.

Penelitian Arion, Che dan Salz (2020) menunjukkan GDPR menurunkan 12,5% unique cookies, atau memilih opsi opt-out, yang artinya pengguna tidak bersedia menyerahkan datanya setelah adanya GDPR.

Ketiga, RUU PDP membebankan 17 kewajiban kepada pengendali data, dari kewajiban untuk memastikan akurasi hingga penghapusan data, yang berpotensi akan meningkatkan biaya kepatuhan (compliance cost). Dan beberapa di antaranya dipatok jangka waktu yang relatif pendek, yaitu antara 2-7 hari penyelesaian, bandingkan dengan GDPR yang masih memberikan waktu 30 hari.

Untuk menjalankan sejumlah kewajiban tersebut, pengendali data tentu harus mengeluarkan biaya tambahan. Berdasarkan survei yang dilakukan terhadap perusahaan yang terdampak GDPR, total compliance cost dapat mencapai USD 3 miliar. Survei tersebut menunjukkan bahwa 40% dari responden menyatakan bahwa perusahaannya telah mengeluarkan biaya lebih dari USD 10 juta untuk bisa mematuhi GDPR.

Hal senada tentu dapat terjadi di Indonesia. Apabila compliance cost terlalu tinggi, hal tersebut tentu memberatkan sebagian besar perusahaan rintisan digital Indonesia yang 85% memiliki modal awal di bawah Rp 100 juta. Hal ini mengurangi insentif untuk perusahaan menegah dan besar untuk merambah ke dunia digital apabila compliance cost terlalu tinggi.

Keempat, rigiditas aturan dalam RUU PDP berpotensi mengganggu keseimbangan kompetisi yang ada. Perusahaan besar tentu memiliki kemampuan teknis, finansial, dan sumber daya manusia untuk patuh pada aturan perlindungan data pribadi. Berdasarkan penelitian Arion, Che dan Salz (2020), pasca penerapan GDPR, pengguna yang bersedia menyerahkan data memiliki kecenderungan untuk menyerahkan datanya pada website yang tidak asing bagi pengguna tersebut.

Hal ini berimplikasi dalam jangka panjang; perusahaan yang lebih dulu berdiri (dan memiliki reputasi) akan lebih mudah mengumpulkan data konsumen dibandingkan perusahaan baru. Sehingga akan menciptakan semacam barrier to entry. Penelitian yang dilakukan Johnson, Shriver, dan Goldberg (2020) juga menunjukkan bahwa terjadi konsentrasi pasar pasca penerapan GDPR; vendor besar yang akan banyak diuntungkan.

Saat ini RUU PDP sedang dalam proses pembahasan di DPR. Pelindungan data pribadi merupakan hak bagi pemilik data, dan pemerintah perlu menjamin hal tersebut. Aturan pelindungan data pribadi yang disusun juga perlu mempertimbangkan aspek daya saing ekonomi digital di Indonesia. Keberadaan aturan terkait pelindungan data pribadi diharapkan menjadi pendorong perkembangan ekonomi digital Indonesia ke depannya.

Muhammad Syarif Hidayatullah Senior Policy Analyst pada Indonesia Services Dialogue