×

Pelacakan kontak COVID-19: Apa harga yang harus kita bayar dari segi privasi, hak, dan kebebasan?

This post is also available in: English

Keterangan gambar: Sebelum memasuki restoran cepat saji KFC di Indonesia, pengunjung harus mendaftarkan diri melalui aplikasi pelacakan kontak dari pemerintahan setempat. Foto oleh Debby Kristin

Apakah aplikasi pelacakan kontak (contact tracing) membantu mengurangi penyebaran COVID-19? Atau apakah alat ini hanya sandiwara keamanan yang memberikan kita ilusi keselamatan palsu sembari mengikis privasi, hak, dan kebebasan kita?

Sebagian besar aplikasi pelacakan kontak di kawasan Asia-Pasifik mengandalkan pertukaran token digital antarperangkat via Bluetooth Low Energy (BLE), data check-in melalui kode QR yang dipindai di lokasi, atau keduanya.

Dengan semakin maraknya penggunaan aplikasi sejenis, mulai muncul tren penambahan fitur-fitur yang tidak terkait atau diperlukan untuk pelacakan kontak ke dalam aplikasi, seperti sertifikat vaksin. Hal ini menjadi semakin meresahkan ketika pejabat negara secara terbuka mendukung integrasi pihak ketiga dengan layanan komersil (seperti di Indonesia) tanpa pertimbangan mendalam terhadap privasi, keamanan, dan aksesibilitas. Fitur-fitur tambahan ini memerlukan paket data dan kapasitas perangkat lebih besar, sehingga merugikan pengguna ponsel pintar segmen bawah (low-end), lebih lagi pemakai ponsel tidak pintar.

Beberapa aplikasi (seperti PeduliLindungi di Indonesia) juga melacak orang menggunakan GPS untuk menunjukkan apakah dia sedang berada di sebuah “zona merah”, atau lokasi dengan tingkat infeksi COVID-19 yang tinggi. Fitur lain yang umum dijumpai dalam aplikasi sejenis adalah instrumen penilaian yang mengkategorikan pengguna sebagai berisiko tinggi, sedang, atau rendah dari segi kemampuannya menularkan COVID-19 ke orang lain. Sebagai contoh, aplikasi HealthCode dari Tiongkok memiliki sistem “lampu lalu lintas” yang menetapkan status risiko pengguna sebagai merah, kuning, atau hijau. Banyak aplikasi juga menyediakan informasi kesehatan masyarakat seperti statistik harian COVID-19 dan tempat pengujian, informasi yang telah tersedia melalui situs web pemerintah dan diliput oleh media massa.

 

Tabel 1 – Perbandingan fitur-fitur aplikasi pelacakan kontak

 BluetoothKode QRSertifikat VaksinIntegrasi Pihak Ketiga
Australia - COVIDSafe
Bangladesh – Corona Tracer BD
Brunei – BruHealth
China – HealthCode
Hong Kong – LeaveHomeSafe
Indonesia – Peduli Lindungi
Malaysia – MySejahtera
Myanmar – Saw Saw Shar
Philippines – Stay Safe PH
Singapore – TraceTogether
Vietnam – Bluezone

 

Apa saja data pribadi yang sebenarnya dibutuhkan aplikasi pelacakan kontak?

Pada dasarnya, aplikasi pelacakan kontak hanya perlu melakukan tiga hal agar dapat berfungsi:

  1. Menyimpan token Bluetooth yang ditukarkan atau data lokasi kode QR yang dipindai di perangkat pengguna sebatas yang diperlukan saja
  2. Menganalisis token atau data yang disimpan untuk mencari kontak erat dengan orang terinfeksi dalam rentang waktu yang wajar
  3. Apabila ditemukan kontak erat, pejabat kesehatan akan mengabari pengguna mengenai potensinya terpapar COVID-19 agar yang bersangkutan menjalani uji COVID-19 dan melakukan isolasi mandiri.

Aplikasi hanya memerlukan informasi pengenal pribadi yang sangat minim untuk memfasilitasi penerapan strategi FTTIS (temukan, uji, lacak, isolasi, dukung) secara efektif oleh pejabat kesehatan. Namun demikian, penelitian DigitalReach menunjukkan bahwa berbagai inisiatif pelacakan kontak digital memiliki fitur-fitur dan celah-celah teknis yang memunculkan permasalahan privasi yang serius. Kebijakan privasi BruHealth milik Brunei menyatakan bahwa aplikasi tersebut mengumpulkan banyak jenis data, termasuk data pribadi, data lokasi dan pergerakan fisik, serta data sistem perangkat dan informasi jaringan (contoh: IMEI, IMSI, SSID, BSSID). Pengumpulan data yang melampaui batas seperti ini menimbulkan permasalahan serius tentang keamanan digital dan pengawasan negara.

 

Tabel 2: Aplikasi pelacakan kontak dan perlindungan data pribadi

 Data PribadiKebijakan PrivasiKedudukan UU Perlindungan Data Pribadi Nasional
Australia – COVIDSafeNomor telepon, nama, rentang usia, kode posDitampilkan jelas

Privacy Act 1988
Bangladesh – Corona Tracer BDNomor telepon, kartu identitas, geolokasiTidak ditampilkanTidak ada UU perlindungan data pribadi yang komprehensif
Brunei – BruHealthNama, gender, tanggal lahir, nomor kartu identitas atau akta kelahiran, alamat, nomor telepon, alamat email, nomor rekam medis, fotokopi dokumen identitas, foto, pengenal perangkat dan jaringanTidak ditautkan dalam situs web tentang aplikasiTidak ada UU perlindungan data pribadi yang komprehensif
Indonesia – Peduli LindungiNama, nomor kartu identitas, nomor telepon atau alamat email, geolokasi, rekam medisDitampilkan sangat jelas di situs web, berbeda dengan dalam aplikasiRUU perlindungan data pribadi yang komprehensif dalam proses perundangan
Malaysia – MySejahteraNama, nomor kartu identitas atau paspor, tanggal lahir, negara asal, nomor telepon, alamat email, gender, informasi perangkatDitampilkan dengan jelasPersonal Data Protection Act 2010, tidak berlaku untuk pemerintah
Myanmar – Saw Saw SharNama, nomor telepon, pengenal perangkat dan jaringanSitus web tidak dapat lagi diaksesTidak ada UU perlindungan data pribadi yang komprehensif
Filipina – Stay Safe PHNama, usia, gender, nomor kontak, foto, alamat, alamat emailDitampilkan dengan jelasData Privacy Act 2012
Singapura – TraceTogetherNama, tanggal lahir, nomor telepon, nomor kartu identitas atau pasporDitampilkan dengan jelasPersonal Data Protection Act 2012
Vietnam – BluezoneNama, nomor telepon, alamatDitampilkan dalam bentuk FAQ (daftar pertanyaan) dan syarat & ketentuanPersonal Data Protection Decree (berlaku sejak Desember 2021)

 

Ketiadaan undang-undang perlindungan data pribadi nasional yang komprehensif di semua selain segelintir negara dalam tabel di atas menunjukkan bahwa praktis tidak ada pengamanan, terutama saat ketentuan yang ada bahkan tidak berlaku untuk pemerintah (seperti di Malaysia). Dalam hal terjadinya pembobolan keamanan dan privasi melalui aplikasi-aplikasi ini, nyaris tidak ada langkah hukum yang bisa dijalankan oleh pengguna. Untuk sebagian besar kasus, pemberlakuan aplikasi pelacakan kontak menciptakan perangkap ketaatan (compliance trap). Lantas, mengapa tidak ada tekanan lebih keras terhadap pendekatan otoriter ini?

Apakah aplikasi pelacakan kontak benar-benar bekerja sebagaimana mestinya?

Coba renungkan: Sejak peluncuran aplikasi pelacakan kontak COVID-19 di negara Anda, berapa kali Anda pernah dikabari bahwa Anda merupakan kontak erat seseorang yang terinfeksi?

Mengingat dampak pandemi yang begitu luas, sudah sewajarnya jika Anda menduga akan dikabari beberapa kali bahwa Anda merupakan kontak erat seseorang dalam 18 bulan terakhir. Namun, hal ini tidak terjadi di negara seperti Malaysia, yang telah mencabut sebagian besar pembatasan perjalanannya dan menggaungkan pembukaan kembali berbagai lini usaha untuk memulihkan ekonominya yang terpuruk. Seorang anggota dewan berkata bahwa aplikasi pelacakan kontak Malaysia, MySejahtera, “disfungsional” karena, walau pemakaiannya diwajibkan dan secara universal diberlakukan di segala instansi pemerintah dan tempat usaha, sangat sedikit pelacakan kontak yang sebenarnya dilakukan oleh aplikasi tersebut.

Beberapa negara juga memiliki lebih dari satu aplikasi pelacakan kontak. Aplikasi COVIDsafe yang diumumkan oleh pemerintah pusat Australia pada April 2020 secara umum telah digantikan oleh berbagai jenis aplikasi berbasis QR yang dimandatkan oleh pemerintah negara bagian. Malaysia telah mengembangkan aplikasi MyTrace yang berbasis Bluetooth sebelum praktis menelantarkannya dengan kehadiran MyTrace yang berbasis QR. Di Thailand, anggota masyarakat menolak aplikasi Mor Chana, sehingga pemerintah terpaksa berbalik arah dan batal mewajibkan penggunaannya. Keadaan kacau-balau dalam kepemimpinan kebijakan publik dalam hal ini mencerminkan perselisihan kepentingan politik dan komersil yang mengalihkan fokus, energi, dan sumber daya dari keseluruhan strategi FTTIS dan menomorduakan data pribadi, kesehatan, dan keselamatan para penggunanya.

Seberapa amankah aplikasi-aplikasi pelacakan kontak?

Warga negara di seluruh penjuru dunia perlu menuntut transparansi lebih besar mengenai cara data pribadi dikumpulkan, disimpan, dan diolah. Begitu banyak aspek cara kerja dan teknologi yang digunakan aplikasi-aplikasi sejenis ini tidak dikomunikasikan secara luas kepada para pengguna. Berikut beberapa pertanyaan yang sebaiknya Anda ajukan kepada pemerintah di negara Anda mengenai aplikasi pelacakan kontak yang diwajibkan olehnya:

  1. Apakah ada data yang tersimpan di perangkat, ditransfer melalui jaringan, atau disimpan di lokasi lain tanpa enkripsi? Mana data yang dienkripsi dan mana yang tidak? Bagaimana enkripsi dilakukan?
  2. Siapa yang mengembangkan aplikasi dan mengapa mereka yang dipilih? Siapa yang memiliki akses terhadap data? Data apa saja yang dapat mereka akses?
  3. Berapa lama aplikasi dan infrastruktur penyokongnya menyimpan segala data? Apa yang terjadi dengan data tersebut saat aplikasi tidak lanjut digunakan?
  4. Apakah kode sumber aplikasi bersifat terbuka (open source) dan/atau diaudit dan diverifikasi oleh pihak ketiga?

Kita harus memberikan tekanan lebih keras terhadap aplikasi-aplikasi ini. Sebagai contoh, BruHealth Brunei dan PeduliLindungi Indonesia menyimpan rekam medis, meskipun pemerintah tidak pernah menunjukkan adanya kebutuhan untuk mengumpulkannya dan tidak tersedia perlindungan data yang memadai. September tahun lalu, media Indonesia memberitakan bahwa sertifikat vaksin Presiden Jokowi sendiri bocor melalui PeduliLindungi, dengan nomor induk kependudukannya (NIK) terpampang jelas pada dokumen elektronik tersebut. Hingga saat ini, belum ada respons jelas yang diberikan mengenai kebocoran data ini maupun langkah-langkah khusus yang diambil untuk mengamankan data pengguna aplikasi, meskipun sejumlah pakar keamanan telah menyuarakan kekhawatiran mereka.

Pendekatan FTTIS bertujuan untuk digunakan dalam pengelolaan kesehatan masyarakat, dan memang terdapat alasan sah untuk melakukan pelacakan kontak secara massal – selama terdapat pengendalian dan pengamanan yang tepat. Namun demikian, kita harus menetapkan batasan dan menolak segala bentuk pengawasan negara. Di bulan Januari, Menteri Dalam Negeri Singapura mengakui bahwa polisi dapat menggunakan data TraceTogether dalam proses penyelidikan pidana, hal yang jelas-jelas melampaui batasan dan tujuan aplikasi pelacakan kontak tersebut. Setelah penolakan masyarakat, barulah parlemen Singapura mengesahkan undang-undang untuk membatasi penggunaan aplikasi tersebut oleh pihak kepolisian hanya untuk penyelidikan kasus pembunuhan, terorisme, dan pidana berat lainnya. Komponen pengawasan yang sudah tertanam dalam sistem ini dapat terjerumus makin dalam dan perlu diawasi lebih lanjut. Di Malaysia, pejuang hak asasi manusia yang mengungkit kekhawatiran serupa berhadapan dengan gangguan dari pihak berwenang. Lebih banyak yang harus kita lakukan agar kita lebih waspada dan menyuarakan penentangan terhadap kecenderungan otoriter pemerintah-pemerintah kita yang semakin menyusup ke dalam.

Untuk bacaan lebih lanjut mengenai aplikasi pelacakan kontak COVID-19, kunjungi halaman informasi berikut dari DigitalReach.


Khairil Zhafri adalah Manager Hak Digital dan Teknologi EngageMedia. Kenali dirinya lebih lanjut melalui halaman mengenai team page.

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan.

Please type in the numbers you see. *

Subscribe to the EngageMedia newsletter!

Twice a month, get updates on EngageMedia activities and opportunities.