Data pribadi
Data pribadi, juga dikenal sebagai informasi pribadi atau informasi pengenal pribadi (dalam bahasa inggris personally identifiable informatian disingkat PII),[1][2][3] adalah informasi apa pun yang terkait dengan orang yang dapat diidentifikasi.
Singkatan PII dipahami secara luas di Amerika Serikat, tetapi frasa yang disingkat memiliki empat varian umum berdasarkan personal atau personally, dan identifiable atau identifying. Tidak semuanya sama dan setara, maka untuk tujuan hukum definisi yang sangat bervariasi tergantung pada yurisdiksi dan tujuan.[a] Di bawah aturan perlindungan data Uni Eropa dan lainnya, yang terutama berpusat pada Peraturan Perlindungan Data Umum (GDPR), istilah "data pribadi" secara signifikan lebih luas, dan menentukan cakupan dimana peraturan tersebut akan digunakan peraturan.[4]
Publikasi spesial National Institute of Standards and Technology 800-122[5] mendefinisikan informasi pengenal pribadi sebagai "setiap informasi tentang individu yang dikelola oleh suatu lembaga, termasuk (1) informasi apa pun yang dapat digunakan untuk membedakan atau melacak identitas individu, seperti nama, nomor jaminan sosial, tanggal dan tempat lahir, nama gadis ibu, atau catatan biometrik; dan (2) informasi lain apa pun yang terkait atau dapat dikaitkan dengan individu, seperti informasi medis, pendidikan, keuangan, dan pekerjaan." Jadi, misalnya, alamat IP pengguna tidak diklasifikasikan sebagai PII sendiri, tetapi diklasifikasikan sebagai PII tertaut. Namun, di Uni Eropa, alamat IP pelanggan Internet dapat digolongkan sebagai data pribadi.[6]
Data pribadi didefinisikan melalui GDPR sebagai "Informasi apapun yang terhubung atau dapat dihubungkan ke orang".[7][5]
Konsep PII telah menjadi hal yang lazim dikenal, karena teknologi informasi dan Internet telah mempermudah pengumpulan PII maupun identas itu sendiri yang mengarah ke pengerukan keuntungan dalam mengumpulkan dan menjualnya kembali secara ilegal. PII juga dapat dimanfaatkan oleh penjahat untuk menguntit atau mencuri identitas seseorang, atau untuk perencanaan tindak kriminal. Sebagai respon terhadap ancaman ini, banyak kebijakan privasi situs web yang secara khusus membahas pengumpulan PII,[8] dan pembuat undang-undang seperti Parlemen Eropa telah memberlakukan serangkaian undang-undang seperti Peraturan Perlindungan Data Umum (GDPR) untuk membatasi distribusi dan aksesibilitas PII itu sendiri.[9]
Kebingungan muncul seputar apakah PII berarti informasi yang dapat diidentifikasi (yaitu, dapat dikaitkan dengan seseorang) atau mengidentifikasi (yaitu, terkait secara unik dengan seseorang, sehingga PII dapat mengidentifikasi mereka dan menjadi identitas kepada mereka). Dalam aturan data privasi preskriptif seperti HIPAA, item-item PII telah ditentukan secara khusus. Dalam aturan perlindungan data yang lebih luas seperti GDPR, data pribadi didefinisikan dengan cara berbasis prinsip non-preskriptif. Informasi yang mungkin tidak dianggap sebagai PII menurut HIPAA namun dapat menjadi data pribadi untuk dalam peraturan GDPR. Untuk alasan ini, "PII" biasanya tidak digunakan lagi secara internasional. Jadi batasan berlakunya pemahaman PII hanya berbatas pada pemahaman serta yurisdiksi aturan tersebut.
Definisi
[sunting | sunting sumber]Pemerintah AS menggunakan istilah "identifikasi pribadi" pada tahun 2007 dalam sebuah memorandum dari Kantor Eksekutif Presiden, Kantor Manajemen dan Anggaran[10] dan penggunaan itu sekarang muncul dalam standar AS seperti Panduan NIST untuk Melindungi Kerahasiaan Informasi Identifikasi Pribadi (SP 800-122).[11]
Konsep kombinasi informasi yang diberikan dalam definisi SB1386 adalah kunci untuk membedakan PII dengan benar, seperti yang didefinisikan oleh Kantor Manajemen dan anggaran AS, dari "informasi pribadi". Informasi, seperti nama, yang tidak memiliki konteks tidak dapat dikatakan sebagai "informasi pribadi" pada SB1386, tetapi harus dikatakan hanya sebatas PII yang bisa saja mengakses ke identitas itu sendiri. Misalnya, nama Riyadi tidak memiliki arti dan oleh karena itu bukan "informasi pribadi" SB1386, melainkan PII. Nomor Induk Kependudukan (NIK) tanpa nama atau identitas terkait lainnya atau informasi konteks bukanlah "informasi pribadi" SB1386, tetapi adalah PII. Misalnya, NIK 078-05-1120 dengan sendirinya adalah PII, tetapi bukan "informasi pribadi" SB1386. Namun kombinasi nama yang valid dengan NIK yang benar adalah "informasi pribadi" SB1386.[12]
Kombinasi nama dengan konteks juga dapat dianggap sebagai PII; misalnya, jika nama seseorang ada dalam daftar pasien Covid-19. Namun, nama tersebut tidak perlu digabungkan dengan konteks untuk menjadi PII. Alasan untuk perbedaan ini adalah bahwa informasi kecil seperti nama, meskipun mungkin tidak cukup untuk dilakukan identifikasi, nantinya dapat digabungkan dengan informasi lain untuk mengidentifikasi orang dan membuat mereka dalam bahaya.
Jadi tidak semua penyandingan antara nama dan konteks selalu diartikan sebagai data pribadi. Jika identitas yang disandingan tersebut tidak menuju ke sebuah identitas individu secara langsung, bisa saja tidak dimaknai sebagai data pribadi tapi sebatas informasi pengenal pribadi.
Dalam slang internet dan peretas, praktik menemukan dan merilis informasi semacam itu disebut " doxing ".[13][14] Kadang-kadang digunakan untuk menghalangi kolaborasi dengan penegak hukum.[15] Kadang-kadang, doxing dapat memicu penangkapan, terutama jika lembaga penegak hukum mencurigai bahwa individu yang "didoxing" mungkin panik dan menghilang.[16]
Adapun ASEAN dalam ASEAN Declaration of Human Right (2012) pasal 21 menyatakan setiap orang berhak mendapat perlindungan hukum atas serangan privasi terhadap data pribadi. Aturan ini juga menggaris bawahi serangan terhadap kehormatan dan reputasi dalam menerjemahkan serangan terhadap data pribadi. Secara mendasar Indonesia sendiri juga mengatur warga negara agar memiliki rasa kemanusiaan yang adil dan beradab, sehingga sebetulnya pancasila juga sudah mengatur hak atas warga negaranya[17]
Indonesia sendiri melalui Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP) mendefinisikannya sebagai setiap data tentang seseorang baik yang teridentifikasi dan atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik.[18] Data pribadi sendiri dibagi menjadi dua jenis. Pertama, data pribadi yang bersifat umum, seperti nama lengkap, jenis kelamin, kewarganegaraan, agama, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang. Kedua, data pribadi yang bersifat spesifik, meliputi data dan informasi kesehatan, data biometrik, data genetika, kehidupan/orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.[19]
Aturan data pribadi
[sunting | sunting sumber]Australia
[sunting | sunting sumber]Di Australia, Privacy Act 1988 berkaitan dengan perlindungan privasi individu, menggunakan Prinsip Privasi OECD dari tahun 1980-an untuk menetapkan model peraturan berbasis prinsip yang luas (tidak seperti di AS, di mana cakupan umumnya tidak didasarkan pada prinsip-prinsip luas tetapi pada teknologi tertentu, praktik bisnis atau item data). Bagian 6 memiliki definisi yang relevan.[20] Detail penting adalah bahwa definisi 'informasi pribadi' juga berlaku di mana individu dapat diidentifikasi secara tidak langsung:
"informasi pribadi" berarti informasi atau pendapat tentang individu yang diidentifikasi, atau individu yang dapat diidentifikasi secara wajar apakah informasi atau pendapat itu benar atau tidak; dan apakah informasi atau opini tersebut dicatat dalam bentuk material atau tidak. [penekanan ditambahkan]
Secara teknis dijelaskan beberapa informasi yang diidentifikasi adalah[20]:
- Nama
- Nama alias
- Tanggal lahir
- Jenis kelamin
- Alamat terakhir yang diketahui (maksimal 2 alamat)
- Nama tempat kerja terakhir
- Nomor SIM
Keamanan pribadi
[sunting | sunting sumber]Perlindungan data pribadi menjadi isu krusial saat ini. Kebocoran data tidak hanya disebabkan oleh peretas yang cerdas, tetapi karena pengamanan yang lemah. Penyalahgunaan data pribadi tidak hanya berpotensi merugikan seseorang karena tindak pencurian data tersebut bisa membahayakan keamanan suatu negara.[21]
Setiap orang di sisi lain pada dasarnya berhak memperoleh perlindungan atas data pribadi yang erat kaitannya dengan kehidupan privasi atau personal yang perlu dirahasiakan.[22] Hal ini disebabkan karena semua pihak, termasuk masyarakat, menginginkan agar data pribadinya aman, tidak diperjualbelikan, dan disalahgunakan oleh beberapa pihak yang tidak bertanggung jawab.[23] Ada lima alasan penting untuk menjaga data pribadi karena kasus intimidasi daring berbasis jenis kelamin, penyalahgunaan data pribadi, penipuan, pencemaran nama baik, dan kendali atas data pribadi.[24] Di Indonesia tanggung jawab penggunaan data pribadi secara terpusat dikontrol oleh Kementerian Komunikasi dan Informasi, tetapi tanggungjawab data pribadi dalam hal kemanan siber menjadi kewenangan instansi Polri, BSSN, BIN dan Kementerian Pertahanan. Keempat lembaga ini yang dapat melakukan antisipasi dan penindakan terhadap penyalahgunaan keamanan pribadi.[17]
Referensi
[sunting | sunting sumber]- ^ "Management of Data Breaches Involving Sensitive Personal Information (SPI)". Va.gov. Washington, DC: Department OF Veterans Affairs. 6 Januari 2012. Diarsipkan dari versi asli tanggal 26 Mei 2015. Diakses tanggal 5 Desember 2021.
- ^ Stevens, Gina (10 April 2012). "Data Security Breach Notification Laws" (PDF). fas.org. Diakses tanggal 5 Desember 2021.
- ^ Greene, Sari Stern (2014). Security Program and Policies: Principles and Practices (PDF). Indianapolis, IN, US: Pearson IT Certification. hlm. 349. ISBN 978-0-7897-5167-6. OCLC 897789345.
- ^ Schwartz, Paul M; Solove, Daniel (2014). "Reconciling Personal Information in the United States and European Union". California Law Review (dalam bahasa Inggris). 102 (4). doi:10.15779/Z38Z814.
- ^ a b "NIST Special Publication 800-122" (PDF). nist.gov.
- ^ "European Court of Justice rules IP addresses are personal data". The Irish Times. 19 Oktober 2016. Diakses tanggal 5 Desember 2021.
- ^ "Personal Data". General Data Protection Regulation (GDPR) (dalam bahasa Inggris). Diakses tanggal 5 Desember 2021.
- ^ Nokhbeh, Razieh (2017). "A study of web privacy policies across industries". Journal of Information Privacy & Security. 13: 169–185.
- ^ "Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)". European Data Consilium. 11 Juni 2015. Diakses tanggal 5 Desember 2021.
- ^ M-07-16 SUBJECT:Safeguarding Against and Responding to the Breach of Personally Identifiable Information Diarsipkan 2020-02-08 di Wayback Machine. FROM: Clay Johnson III, Deputy Director for Management (2007/05/22)
- ^ "Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)" (PDF). Special Publication 800-122. NIST.
- ^ "Text of California Senate Bill SB 1386 ref paragraph SEC. 2 1798.29.(e)". California.
- ^ James Wray and Ulf Stabe (19 Desember 2011). "The FBI's warning about doxing was too little too late". Thetechherald.com. Diarsipkan dari versi asli tanggal 31 Oktober 2012. Diakses tanggal 5 Desember 2021.
- ^ "Anonymous's Operation Hiroshima: Inside the Doxing Coup the Media Ignored (VIDEO)". Ibtimes.com. 1 Januari 2012. Diakses tanggal 5 Desember 2021.
- ^ Clark Estes, Adam (28 Juli 2011). "Did LulzSec Trick Police into Arresting the Wrong Guy? - Technology". The Atlantic. The Atlantic Wire. Diakses tanggal 5 Desember 2021.
- ^ Bright, Peter (7 Maret 2012). "Doxed: how Sabu was outed by former Anons long before his arrest". Ars Technica. Diakses tanggal 5 Desember 2021.
- ^ a b Makarim, Edmon. "Pertanggungjawaban Hukum Terhadap Kebocoran Data Pribadi". hukumonline.com (dalam bahasa Indonesia). Diakses tanggal 2021-12-02.
- ^ Kementerian Komunikasi dan Informatika Republik Indonesia (31 Juli 2020). "Bersama Lindungi Data Pribadi di Platform Digital". Kementerian Komunikasi dan Informatika Republik Indonesia. Diakses tanggal 8 Desember 2021.
- ^ Sahara, Wahyuni (3 September 2021). "Apa yang Dimaksud dengan Data Pribadi?". Kompas. Diakses tanggal 8 Desember 2021.
- ^ a b "Privacy Act 1988-Sect 6". Commonwealth Consolidate Act. Diakses tanggal 2021-11-28.
- ^ Suryana, Wahyu (25 November 2021). "Pahami Pentingnya Perlindungan Data Pribadi". Republika. Diakses tanggal 8 Desember 2021.
- ^ Hukum Online (7 Agustus 2020). "5 Hal Penting Seputar Data Pribadi". Hukum Online. Diakses tanggal 8 Desember 2021.
- ^ Sekretariat Jenderal Dewan Perwakilan Rakyat Republik Indonesia (31 Agustus 2021). "Perlindungan Data Pribadi di Indonesia Dinilai Masih Lemah". Sekretariat Jenderal Dewan Perwakilan Rakyat Republik Indonesia. Diarsipkan dari versi asli tanggal 2021-12-08. Diakses tanggal 8 Desember 2021.
- ^ KOMINFO, PDSI. "5 Alasan Mengapa Data Pribadi Perlu Dilindungi". Website Resmi Kementerian Komunikasi dan Informatika RI (dalam bahasa Inggris). Diakses tanggal 2021-12-02.
Kesalahan pengutipan: Ditemukan tag <ref>
untuk kelompok bernama "lower-alpha", tapi tidak ditemukan tag <references group="lower-alpha"/>
yang berkaitan