Cyberthreat.id - Kebijakan privasi marketplace Shopee menyebutkan bahwa data dan atau informasi pribadi penggunanya dapat disimpan di luar negeri atau luar negara penggunanya.

Ketentuan itu tercantum pada nomor 12 tentang “Apakah Shopee Akan Mengalihkan Informasi Anda ke Luar Negeri?”

Disebutkan,"Data dan/atau informasi pribadi Anda dapat dialihkan, disimpan atau diolah di luar negara Anda. Shopee hanya akan mengalihkan informasi Anda ke luar negeri sesuai dengan Undang-Undang Privasi.”

Dilihat dari situs Shopee, kebijakan ini diperbarui pada 25 Januari 2021. Hanya saja, informasi bahwa perusahaan telah memperbarui kebijakan privasinya tidak diinformasikan oleh Shopee ke penggunanya melalui email seperti yang dilakukan Tokopedia pada 8 Februari  ketika memperbarui Kebijakan Privasi. (Lihat: Tokopedia Ubah Kebijakan Privasi, Tegaskan Bisa Gabungkan hingga Jual Data Konsumen untuk Mitra).

Seperti diketahui, Shopee adalah platform marketplace yang berpusat di Singapura dan dimiliki oleh  SEA Group, bagian dari Temasek Holdings yang merupakan induk badan usaha milik negara Singapura. (Baca: Cengkraman Temasek Singapura di Startup Digital Kita, Apa Kabar Kedaulatan Data?

Data apa saja yang dikumpulkan Shopee?
Shopee menyebutkan, mengumpulkan data pribadi antara lain nama, alamat email, tanggal lahir, alamat tagihan, rekening bank dan informasi pembayaran, nomor telepon, jenis kelamin, informasi yang dikirim oleh atau terhubung dengan perangkat yang digunakan untuk mengakses Shopee, informasi jaringan serta akun yang berinteraksi dengan Anda, foto atau rekaman audio serta video yang dibagikan, informasi apapun tentang pengguna saat mendaftarkan diri ke Shopee, dan seluruh data tentang konten yang digunakan pengguna.

Selain itu, data akun media sosial yang Anda hubungkan ke Shopee juga diakses oleh Shopee. Dengan kata lain, Shopee menggunakan data yang disimpan pihak media sosial itu.

Adapun data lain yang dikumpulkan di antaranya terkait alamat Internet Protocol (IP) perangkat Anda, sistem operasi komputer/perangkat mobile, dan jenis peramban web, jenis perangkat mobile, karakteristik perangkat mobile, unique device identifier (UDID) atau mobile equipment identifier (MEID) untuk perangkat mobile, alamat dari situs yang merekomendasikan (apabila ada), halaman yang dikunjungi, waktu kunjungan, dan kadang cookie.

Shopee mengklaim informasi tersebut dikaitkan ketika pengguna log in (masuk) serta digunakan dalam statistik anonim untuk memungkinkan Shopee memahami cara pengunjung menggunakan situs mereka.

Sementara aplikasi mobilenya mengumpulkan lokasi dari perangkat mobile dengan teknologi GPS, Wi-Fi dll..

Apakah data itu tidak sekedar bisa disimpan di luar negeri, bisakah juga dibagikan kepada pihak ketiga di luar negeri?
Ya. Shopee menyebut dapat membagikan data penggunanya kepada pihak ketiga baik berlokasi di Indonesia maupun luar Indonesia. Itu tercantum pada pasal 8 ayat. Ketika membagikannya, Shopee mengklaim pihak ketiga itu akan mengolah data pribadi pengguna atas nama Shopee atau pihak lainnya untuk satu atau lebih dari tujuan yang telah ditentukan oleh Shopee.

Tujuan yang dimaksud pada pasal itu diarahkan pada pasal 6 yang terdiri dari 3 ayat. Pada ayat 1 berisikan 26 tujuan, salah satunya mempertimbangkan dan/atau mengelolah aplikasi/transaksi Anda dengan Shopee atau transaksi maupun komunikasi Anda dengan pihak ketiga melalui Layanan. Jika merujuk pada ini, Shopee membagikan data ke pihak ketiganya itu untuk keperluan layanan Shopee.

Selain itu, ada juga tujuan terkait pemasaran dan periklanan diikuti dengan layanan pihak ketiga yang berkolaborasi atau terkait dengan Shopee.

Pada tujuan itu menyebutkan bahwa Shopee maupun afiliasi atau korporasi terkaitnya dapat menjual, memasarkan atau mempromosikan produknya. Dengan kata lain, data yang dikumpulkan Shopee,dapat dimanfaatkan untuk mempromosikan produk oleh afiliasi atau korporasi terkaitnya. Tetapi Shopee tidak menyebutkan apakah promosi produk yang bisa dilakukan berbekal data yang dikumpulkan Shopee itu bisa produk di luar Shopee atau tidak.

Yang menjadi pertanyaan apakah ini berpotensi digunakan oleh afiliasi Shopee untuk mempromosikan produk milik afiliasinya berbekal data pribadi yang dikumpulkan Shopee?

Keamanannya bagaimana?
Terkait keamanannya, Shopee memastikan keamanan data pribadi yang ada di sistem mereka, namun Shopee mengatakan tidak ada jaminan mutlak. Shopee tidak menyebutkan lebih detail soal lokasinya penyimpanan datanya saat ini.

Pada pasal 8.4 Shopee menyebut pihak ketiga kemungkinan menyadap atau mengakses data pribadi yang dikirimkan ke atau tersimpan di situs tanpa izin, teknologi mungkin rusak atau tidak bekerja, atau seseorang mungkin mengakses dan menyalahgunakan tanpa adanya kesalahan dari pihak Shopee. Shopee mengaku menerapkan pengaturan keamanan untuk melindungi data pribadi sesuai aturan hukum, tetapi lagi-lagi Shopee mengatakan bahwa tidak ada jaminan keamanan mutlak.

Menyoal penyimpanan data di luar negeri, bagaimana kedaulatan data?

Presiden Joko Widodo dalam sejumlah kesempatan menyampaikan pentingnya kedaulatan data yang disebutnya sebagai komoditas baru setelah era minyak bumi. Namun, pada Oktober 2019, presiden menandatangani PP 71/2019 yang mengoreksi PP 82/2012. Salah satu poin penting dalam PP 82/2012 adalah penyelenggara transaksi elektronik wajib menyimpan data di data centre yang ada di Indonesia. Dalam PP 71/2019 poin itu diubah, sehingga mengizinkan perusahaan swasta menyimpan data pengguna Indonesia di luar negeri.

"Penyelenggara Sistem Elektronik Lingkup Privat dapat mengelola, memproses dan/atau menyimpan Sistem Elektronik dan Data Elektronik di wilayah Indonesia dan/atau di luar wilayah Indonesia,” begitu bunyi salah satu pasalnya.

Perubahan itu sempat menuai protes dari sejumlah pelaku industri data center di Indonesia seperti Indonesia Data Center Provider Organization (IDPRO), Asosiasi Cloud Computing Indonesia (ACCI), Asosiasi Penyelenggara Jasa Internet Indonesia (APJII), Federasi Teknologi Informasi Indonesia (FTII), Asosiasi Peranti Lunak Telematika Indonesia (ASPILUKI), Indonesia ICT Institute serta induk asosiasi sektor ICT Indonesia, Masyarakat Telematika Indonesia (MASTEL).

Kumpulan asosiasi itu menilai kebijakan pemerintah yang mengizinkan data pengguna Indonesia untujk disimpan atau ditransfer ke luar negeri berlawanan dengan semangat kedaulatan data.

"Indonesia ke depan tidak akan memiliki kedaulatan data karena Pemerintah memberikan lampu hijau kepada Penyelenggara Sistem Elektronik Lingkup Privat dan aplikasi-aplikasi yang berasal dari negara lain untuk bisa menyimpan data di luar wilayah Indonesia," kata kumpulan asosiasi itu dalam siaran pers bersama saat PP 71/2019 belum disahkan. (Lihat: Pemerintah Jokowi Tak Konsisten Soal Kedaulatan Data)

Namun, Plt. Direktur Pengendalian Aplikasi Informatika Kementerian Komunikasi dan Informatika, Anthonius Malau dalam wawancara (31 Oktober 2019) mengatakan PP 71/2019 ini tidak berbenturan dengan kedaulatan data. Anthonius menyoroti bahwa jika tidak punya akses terhadap data tersebut baru bisa dikatakan kita tidak berdaulat.

"Jadi, data bisa disimpan di mana saja, tapi tetap sesuai dengan pembagian data yang sudah dicantumkan dan kita bisa akses data tersebut kapan saja," katanya. (Baca: Kominfo: PP 71/2019 Tak Berbenturan dengan Kedaulatan Data)

Implikasi terhadap keamanan nasional suatu negara
Ketua Indonesia Cyber Security Forum (ICSF), Ardi Sutedja mengatakan sebaliknya. Dia menyoroti bahwa prinsip kedaulatan data itu selama data-data warga negara Indonesia maka seharusnya ada itikad baik dari PSE-nya menyimpan datanya di dalam negeri saja.  

"Rancu [pernyataan Anthonius], punya akses kepada data yang diberikan secara sukarela, tapi kalau data-data tersebut dibagikan dengan pihak ketiga bagaimana? Dan ini seringkali tidak transparan, apalagi kalau PSE merger atau dibeli PSE atau perusahaan lain," ujarnya, kepada Cyberthreat.id, Rabu (17 Februari 2021).

Menurut Ardi, banyak yang belum paham terkait kedaulatan data, "apalagi para regulator". Terkait PP 71, Ardi mengatakan telah menimbulkan pertanyaan dari banyak praktisi tentang "alam berpikirnya" para regulator pada saat menyusun PP tersebut.

"Semua hanya bicara [kedaulatan data] tapi sama sekali tidak ada penindakan dari regulator sehingga disalahgunakan," ujarnya ketika ditanyai apakah kedaulatan hanya omong kosong saja jika faktanya data warga Indonesia malah bisa disimpan di luar negeri dan dibagikan ke pihak lain.

Menurutnya, di dalam PP 71 ada aturan main spesifik terkait dengan data-data pribadi Warga Negara Indonesia, tetapi karena mungkin sifatnya PP dan bukan undang-undang, dianggap kurang efektif. Padahal, Ardi mengatakan jika didalami lebih lanjut terlebih soal "kebocoran" atau "data sharing", data-data pribadi warga negara sudah memiliki implikasi terhadap keamanan nasional dari suatu negara.

"Mungkin pola pikir bangsa kita dan regulator kita belum sampai kesana sehingga masih dianggap sebagai hal yang lumrah. Mungkin juga perlu ada suatu insiden besar sehingga nanti memerlukan suatu statemen dari Bapak Presiden seperti dalam hal UU ITE agar pada melek dan bisa agak sedikit cerdas di era digital ini," kata Ardi. []

Editor: Yuswardi A. Suud

 

Berita terkait:

• Demi Kedaulatan Data, Turki Larang Warganya Beriklan di Twitter, Periscope dan Pinterest

• Berkaca dari WhatsApp, Bisakah Gojek Berbagi Data Pengguna dengan Telkomsel, Tokopedia, dan Bank Jago

• Soal Kemungkinan Berbagi Data Pengguna dengan Gojek, Begini Kata Telkomsel

• Shinta Dewi Cyber Law Unpad: UU PDP Perlu Atur Persetujuan Pemilik Data Terkait Merger Perusahaan