Search
Close this search box.

PeduliLindungi: Benarkah Peduli dan Lindungi?

This post is also available in: English

Artikel ini merupakan bagian dari Pandemic of Control, seri artikel yang bertujuan mendorong diskursus publik mengenai kebangkitan otoritarianisme digital di Asia-Pasifik semasa COVID-19. Pandemic of Control diprakarsai oleh EngageMedia melalui kemitraan dengan CommonEdge. Baca informasi lebih lanjut tentang seri ini di sini dan tentang penulis yang berkontribusi di akhir tulisan ini.


Dengan terus berlanjutnya pandemi COVID-19 di Indonesia, aplikasi PeduliLindungi buatan pemerintah tetap menjadi bagian tak terpisahkan dari kehidupan sehari-hari. Dinamai dengan gabungan kata “peduli” dan “lindungi”, aplikasi ini mengaku melakukan keduanya dengan menjalankan pelacakan dan skrining status COVID-19, juga dengan menyediakan sumber bacaan dan informasi tentang COVID-19. Keberadaannya menjadi identik dan menyatu dengan pandemi COVID-19 sendiri, dan ketergantungan masyarakat terhadap informasi, akses, dan sumber bacaan yang disediakan oleh PeduliLindungi demi melindungi diri dari COVID-19 dibayangi risiko penggadaian haknya terhadap privasi data.

Saat tulisan ini dibuat, lebih dari 50 juta orang telah mengunduh aplikasi ini dari Google Play Store, menjadikannya aplikasi medis nomor satu secara nasional. Namun demikian, seiring bertambahnya jumlah pengguna yang mendaftar dan menggunakan aplikasi, keresahan masyarakat terhadap keamanan aplikasi dan pelacakan ekstensif yang dilakukan oleh PeduliLindungi pun semakin bertambah serius.

Pada September 2021, sertifikat vaksin Presiden Republik Indonesia Joko Widodo bocor di internet. Peristiwa ini terjadi hanya selang sebulan setelah aplikasi Electronic Health Alert Card (e-HAC) Indonesia diduga telah dibobol, menimbulkan gangguan terhadap data 1,3 juta penggunanya. Kebocoran ini telah menyulut diskursus publik tentang keamanan data dan jumlah informasi pribadi yang dikumpulkan dan disimpan oleh PeduliLindungi.

Sejak rangkaian peristiwa pembobolan tersebut, pemerintah Indonesia menyatakan bahwa data seluruh pengguna dijamin aman oleh PeduliLindungi, respons yang tidak jauh berbeda dari berbagai klarifikasi yang telah diberikan pemerintah menanggapi kasus-kasus pembobolan serupa yang pernah terjadi. Oleh karena itu, PeduliLindungi berpotensi menimbulkan ancaman lebih besar akibat frekuensi penggunaannya, jumlah penggunanya, dan keunikan jenis data yang disimpannya. Di saat bersamaan, solusi hukum yang bisa ditempuh warga Indonesia untuk melindungi datanya nyaris, bahkan sama sekali tidak ada.

Ritual harian: Cara PeduliLindungi mengendalikan kebebasan bergerak warga Indonesia pada umumnya

Walaupun tingkat pemakaian aplikasi berbeda-beda di tiap daerah, tidak ada satu pun platform pemerintah lain yang menandingi skala dan lingkup PeduliLindungi. Fitur utamanya juga telah terintegrasi dalam 15 aplikasi berorientasi konsumen dan pemerintah bahkan berencana untuk mengubah aplikasi PeduliLindungi menjadi sebuah dompet digital.

Untuk memasuki ruang publik manapun di Indonesia, pengunjung harus terlebih dahulu memindai kode QR yang diwajibkan di lokasi tersebut melalui PeduliLindungi atau aplikasi lain yang terhubung dengan PeduliLindungi, semisal aplikasi JAKI buatan pemerintah daerah DKI Jakarta dan GOJEK, startup raksasa Indonesia. Informasi yang dikumpulkan – seperti nama resmi pengguna, nomor KTP, kerentanan terhadap infeksi COVID-19, lokasi saat itu, dan durasi waktu berada dalam fasilitas yang dikunjungi – dicatat dan disimpan dalam server PeduliLindungi. Pada versi-versi sebelumnya, PeduliLindungi menyediakan informasi ini kepada pengguna melalui fitur “Riwayat Check-In“. Mereka yang belum terdaftar secara resmi dalam PeduliLindungi atau aplikasi terhubung lainnya hanya boleh memasuki ruang publik jika mampu menunjukkan sertifikat vaksin yang berlaku, yang juga tersimpan dalam basis data PeduliLindungi dan harus diakses melalui portalnya.

Saat seorang warga Indonesia tidak resmi terdaftar menjadi bagian sistem PeduliLindungi, ada sejumlah tantangan dan rintangan yang mengganggu rutinitas hariannya. Contohnya, jika seseorang tidak bisa mendapatkan tiket vaksinasi – entah itu atas pilihannya sendiri atau karena kekosongan vaksin – dia tidak boleh secara leluasa menggunakan dan memasuki halte bus, stasiun kereta, pasar, rumah sakit, gedung perkantoran, maupun ruang publik lainnya. Beberapa orang yang belum divaksin melaporkan kesulitan mendapatkan pengobatan dari fasilitas medis, yang mengandalkan basis data PeduliLindungi untuk memperoleh status COVID-19 seseorang.

Saat ini, pemakaian aplikasi bukan hanya diwajibkan lagi, melainkan juga menjadi tuntutan sosial demi mempertahankan kebebasan bergerak. Pembelaannya adalah bahwa tindakan sejenis ini bisa dibenarkan demi membatasi penyebaran COVID-19, meskipun kemampuannya dalam hal ini dipertanyakan. Tetap perlu digarisbawahi bahwa pemerintah tidak semestinya mengandalkan PeduliLindungi saja untuk memutuskan siapa yang berhak menjangkau kebutuhan dasar dan layanan publik yang disediakan kepada masyarakat Indonesia, terlepas dari kemampuan seseorang untuk mendapatkan vaksinasi, uji COVID-19, dan lainnya.

Pengguna PeduliLindungi bisa mengirimkan permohonan sertifikat vaksinasi melalui situs webnya. Selama memiliki nama lengkap, nomor KTP, tanggal lahir, serta tanggal dan jenis vaksin, seseorang bisa mengakses sertifikat vaksin siapapun. Tangkapan layar dari penulis.

Seberapa amankah datanya?

Banyak pertanyaan yang belum terjawab mengenai keamanan digital PeduliLindungi. Meskipun informasi rahasia yang disimpan secara daring tidak akan pernah sepenuhnya aman, pemerintah Indonesia belum pernah mengambil langkah memadai untuk menjamin keamanan berbagai basis datanya.

Saat basis data eHAC bocor pada tahun 2021, pemerintah memutuskan untuk mengalihkan isu dan menekankan bahwa hanya “eHAC yang lama dan terpisah” yang terdampak. Pemerintah juga tidak menerangkan langkah-langkah yang telah ditempuhnya untuk mengamankan kedua versi eHAC dan server-server-nya yang terhubung dengan satu sama lain (termasuk server yang digunakan oleh PeduliLindungi). Pada akhirnya, pemerintah hanya mengimbau warganya untuk menghapus aplikasi eHAC versi lawas dari ponsel mereka masing-masing.

PeduliLindungi tidak berhasil lepas dari kekurangan pertanggungjawaban ini. Poin pertama, sertifikat vaksin Presiden RI yang bocor menunjukkan betapa mudahnya untuk memperoleh sertifikat siapapun – bahkan bukan milik Anda sendiri. Untuk mengakses sertifikat seseorang melalui aplikasi, hanya diperlukan nama lengkap, nomor KTP, tanggal lahir, tanggal dan jenis vaksin – informasi yang bisa secara mudah diperoleh melalui media sosial atau bahkan dokumen cetak yang dibuang sembarangan.

Dalam kasus Presiden RI, penyidik menemukan bahwa informasi bersangkutan diperoleh melalui PCare, aplikasi terpisah dari Kementerian Kesehatan yang digunakan oleh penyedia layanan kesehatan untuk mengunggah data vaksinasi seorang pengguna ke dalam server PeduliLindungi. Hubungan antara kedua aplikasi sampai saat ini belum jelas.

Isu ini hanya diperparah dengan keterhubungan antara PeduliLindungi dan aplikasi pihak ketiga lainnya. Sebagai contoh, dia terhubung dengan Google dan penyedia piranti lunak lainnya yang melacak lokasi pengguna saat memasuki dan meninggalkan ruang publik dan saat menggunakan transportasi umum. Versi lawas aplikasi PeduliLindungi di ponsel diduga memiliki sejumlah anomali, termasuk penyimpanan data manual dalam aplikasi dan pengiriman data ke sebuah situs web eksternal di luar Indonesia. Di masa lampau, PeduliLindungi juga pernah mengirimkan data nama dan jenis perangkat pengguna ke salah satu anak perusahaan PT Telkom, BUMN telekomunikasi yang memiliki server di Singapura.

Walaupun terdapat bukti bahwa aplikasi pihak ketigalah yang dapat menjadi penyebab pembobolan data di aplikasi milik pemerintah lainnya, kebijakan privasi PeduliLindungi yang terbaru mencantumkan klausul pembatasan tanggung jawab untuk “pelanggaran atau akses tidak sah”, termasuk cara-cara pihak ketiga menggunakan data PeduliLindungi. Aplikasi juga melepaskan tanggung jawab terhadap kerusakan akibat kegagalan dan gangguan sistemnya.

Pembatasan Tanggung Jawab aplikasi PeduliLindungi versi ponsel. Tangkapan layar dari penulis.

Kekurangan perlindungan, pengaturan, dan pertanggungjawaban masih berlanjut

Dengan jumlah infeksi yang tinggi sekalipun, masyarakat masih terus memperdebatkan apakah pemantauan dan pelacakan oleh PeduliLindungi benar-benar diperlukan untuk membatasi penyebaran COVID-19. Terlepas dari sisi yang Anda dukung dalam perdebatan ini, respons pemerintah Indonesia terhadap pembobolan data dan peristiwa meresahkan lainnya di masa lampau gagal menyentuh akar permasalahan: keamanan server PeduliLindungi dan privasi data penggunanya.

Pemerintah tidak pernah menerbitkan hasil audit keamanan awal PeduliLindungi, walaupun dengan demikian mereka dapat memberi tahu masyarakat tentang keamanan dan keselamatan aplikasi sebelum pemberlakuannya. Sampai saat ini, belum ada kabar lebih baru mengenai pelaksanaan audit tambahan sejak dugaan kebocoran sertifikat vaksin Presiden RI.

PeduliLindungi juga belum terdaftar dalam daftar Penyelenggara Sistem Elektronik (PSE) milik pemerintah sendiri – persyaratan wajib untuk suatu server publik berdasarkan peraturan yang ada.

Saran dari Indonesia Internet Governance Forum (ID-IGF) mengenai perbaikan yang bisa dilakukan untuk menjamin keamanan dan privasi aplikasi juga sebagian besar diabaikan, meskipun telah dikomunikasikan langsung kepada salah satu pemangku kepentingan aplikasi di saluran televisi nasional.

Lagi-lagi, wargalah yang menanggung dampak dari kekurangan perlindungan, pengaturan, dan pertanggungjawaban ini. Warga Indonesia telah mengorbankan kebebasan bergerak dan privasinya, serta mempercayakan datanya kepada pemerintah, dengan landasan bahwa melakukan hal ini akan mencegah virus semakin menyebar dan membuka jalan bagi Indonesia untuk mengakhiri pandemi.

Lebih parahnya lagi, Indonesia saat ini tidak memiliki legislasi khusus tentang perlindungan privasi data. Walaupun terdapat sejumlah pasal yang mengatur tentang persetujuan terhadap pemakaian data individu, letaknya tersebar dalam berbagai tingkat peraturan perundangan.

Sebagai contoh, Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) mengatur bahwa persetujuan harus diperoleh dari pengguna untuk pemakaian data pribadi yang diperoleh melalui media elektronik. UU ITE juga menambahkan bahwa, jika pengadilan memutuskan bahwa penggunaan data tidak selayaknya dan menimbulkan kerugian, layanan hosting data media elektronik tersebut harus segera menghapus informasi yang bersangkutan. Tidak ada pembahasan mengenai konsekuensi bagi media elektronik yang menyalahgunakan data pribadi, maupun peraturan spesifik tentang perbaikan kerugian yang ditimbulkan oleh penyalahgunaan tersebut. Peraturan Menteri tentang Perlindungan Data Pribadi dalam Sistem Elektronik yang saat ini ada lebih bersifat sebagai pedoman yang tidak memiliki klausul hukuman atau konsekuensi bagi mereka yang melanggar ketentuan yang ada. Meskipun sudah ada Rancangan Undang-Undang Perlindungan Data Pribadi, proses pembahasannya masih mandek di DPR-RI dan sedikit sekali perbaikan yang sudah dilakukan terhadapnya.

Di saat PeduliLindungi dan pemerintah Indonesia terus bergerak dengan gegabah dan menyembunyikan dan meminggirkan kekhawatiran yang ada, kita harus mempertanyakan: Apakah PeduliLindungi sungguh-sungguh memedulikan dan melindungi masyarakat Indonesia?


Siti Rochmah Desyana adalah seorang pengamat isu hak asasi manusia yang secara khusus tertarik dengan isu kesetaraan dan keadilan. Saat ini dia bekerja untuk Program Penurunan Ketimpangan di International NGO Forum on Indonesian Development (INFID) dan menulis tentang dunia untuk mengisi waktu luangnya.