This post is also available in:
English
Apakah aplikasi pelacakan kontak (contact tracing) membantu mengurangi penyebaran COVID-19? Atau apakah alat ini hanya sandiwara keamanan yang memberikan kita ilusi keselamatan palsu sembari mengikis privasi, hak, dan kebebasan kita?
Sebagian besar aplikasi pelacakan kontak di kawasan Asia-Pasifik mengandalkan pertukaran token digital antarperangkat via Bluetooth Low Energy (BLE), data check-in melalui kode QR yang dipindai di lokasi, atau keduanya.
Dengan semakin maraknya penggunaan aplikasi sejenis, mulai muncul tren penambahan fitur-fitur yang tidak terkait atau diperlukan untuk pelacakan kontak ke dalam aplikasi, seperti sertifikat vaksin. Hal ini menjadi semakin meresahkan ketika pejabat negara secara terbuka mendukung integrasi pihak ketiga dengan layanan komersil (seperti di Indonesia) tanpa pertimbangan mendalam terhadap privasi, keamanan, dan aksesibilitas. Fitur-fitur tambahan ini memerlukan paket data dan kapasitas perangkat lebih besar, sehingga merugikan pengguna ponsel pintar segmen bawah (low-end), lebih lagi pemakai ponsel tidak pintar.
Beberapa aplikasi (seperti PeduliLindungi di Indonesia) juga melacak orang menggunakan GPS untuk menunjukkan apakah dia sedang berada di sebuah “zona merah”, atau lokasi dengan tingkat infeksi COVID-19 yang tinggi. Fitur lain yang umum dijumpai dalam aplikasi sejenis adalah instrumen penilaian yang mengkategorikan pengguna sebagai berisiko tinggi, sedang, atau rendah dari segi kemampuannya menularkan COVID-19 ke orang lain. Sebagai contoh, aplikasi HealthCode dari Tiongkok memiliki sistem “lampu lalu lintas” yang menetapkan status risiko pengguna sebagai merah, kuning, atau hijau. Banyak aplikasi juga menyediakan informasi kesehatan masyarakat seperti statistik harian COVID-19 dan tempat pengujian, informasi yang telah tersedia melalui situs web pemerintah dan diliput oleh media massa.
Bluetooth | Kode QR | Sertifikat Vaksin | Integrasi Pihak Ketiga | |
|---|---|---|---|---|
| Australia – COVIDSafe | ⬤ | |||
| Bangladesh – Corona Tracer BD | ⬤ | |||
| Brunei – BruHealth | ⬤ | ⬤ | ⬤ | |
| China – HealthCode | ⬤ | ⬤ | ||
| Hong Kong – LeaveHomeSafe | ⬤ | |||
| Indonesia – Peduli Lindungi | ⬤ | ⬤ | ⬤ | ⬤ |
| Malaysia – MySejahtera | ⬤ | ⬤ | ⬤ | ⬤ |
| Myanmar – Saw Saw Shar | ⬤ | ⬤ | ||
| Philippines – Stay Safe PH | ⬤ | |||
| Singapore – TraceTogether | ⬤ | ⬤ | ⬤ | |
| Vietnam – Bluezone | ⬤ |
Apa saja data pribadi yang sebenarnya dibutuhkan aplikasi pelacakan kontak?
Pada dasarnya, aplikasi pelacakan kontak hanya perlu melakukan tiga hal agar dapat berfungsi:
- Menyimpan token Bluetooth yang ditukarkan atau data lokasi kode QR yang dipindai di perangkat pengguna sebatas yang diperlukan saja
- Menganalisis token atau data yang disimpan untuk mencari kontak erat dengan orang terinfeksi dalam rentang waktu yang wajar
- Apabila ditemukan kontak erat, pejabat kesehatan akan mengabari pengguna mengenai potensinya terpapar COVID-19 agar yang bersangkutan menjalani uji COVID-19 dan melakukan isolasi mandiri.
Aplikasi hanya memerlukan informasi pengenal pribadi yang sangat minim untuk memfasilitasi penerapan strategi FTTIS (temukan, uji, lacak, isolasi, dukung) secara efektif oleh pejabat kesehatan. Namun demikian, penelitian DigitalReach menunjukkan bahwa berbagai inisiatif pelacakan kontak digital memiliki fitur-fitur dan celah-celah teknis yang memunculkan permasalahan privasi yang serius. Kebijakan privasi BruHealth milik Brunei menyatakan bahwa aplikasi tersebut mengumpulkan banyak jenis data, termasuk data pribadi, data lokasi dan pergerakan fisik, serta data sistem perangkat dan informasi jaringan (contoh: IMEI, IMSI, SSID, BSSID). Pengumpulan data yang melampaui batas seperti ini menimbulkan permasalahan serius tentang keamanan digital dan pengawasan negara.
| Data Pribadi | Kebijakan Privasi | Kedudukan UU Perlindungan Data Pribadi Nasional | |
|---|---|---|---|
| Australia – COVIDSafe | Nomor telepon, nama, rentang usia, kode pos | Ditampilkan jelas | Privacy Act 1988 |
| Bangladesh – Corona Tracer BD | Nomor telepon, kartu identitas, geolokasi | Tidak ditampilkan | Tidak ada UU perlindungan data pribadi yang komprehensif |
| Brunei – BruHealth | Nama, gender, tanggal lahir, nomor kartu identitas atau akta kelahiran, alamat, nomor telepon, alamat email, nomor rekam medis, fotokopi dokumen identitas, foto, pengenal perangkat dan jaringan | Tidak ditautkan dalam situs web tentang aplikasi | Tidak ada UU perlindungan data pribadi yang komprehensif |
| Indonesia – Peduli Lindungi | Nama, nomor kartu identitas, nomor telepon atau alamat email, geolokasi, rekam medis | Ditampilkan sangat jelas di situs web, berbeda dengan dalam aplikasi | RUU perlindungan data pribadi yang komprehensif dalam proses perundangan |
| Malaysia – MySejahtera | Nama, nomor kartu identitas atau paspor, tanggal lahir, negara asal, nomor telepon, alamat email, gender, informasi perangkat | Ditampilkan dengan jelas | Personal Data Protection Act 2010, tidak berlaku untuk pemerintah |
| Myanmar – Saw Saw Shar | Nama, nomor telepon, pengenal perangkat dan jaringan | Situs web tidak dapat lagi diakses | Tidak ada UU perlindungan data pribadi yang komprehensif |
| Filipina – Stay Safe PH | Nama, usia, gender, nomor kontak, foto, alamat, alamat email | Ditampilkan dengan jelas | Data Privacy Act 2012 |
| Singapura – TraceTogether | Nama, tanggal lahir, nomor telepon, nomor kartu identitas atau paspor | Ditampilkan dengan jelas | Personal Data Protection Act 2012 |
| Vietnam – Bluezone | Nama, nomor telepon, alamat | Ditampilkan dalam bentuk FAQ (daftar pertanyaan) dan syarat & ketentuan | Personal Data Protection Decree (berlaku sejak Desember 2021) |
Ketiadaan undang-undang perlindungan data pribadi nasional yang komprehensif di semua selain segelintir negara dalam tabel di atas menunjukkan bahwa praktis tidak ada pengamanan, terutama saat ketentuan yang ada bahkan tidak berlaku untuk pemerintah (seperti di Malaysia). Dalam hal terjadinya pembobolan keamanan dan privasi melalui aplikasi-aplikasi ini, nyaris tidak ada langkah hukum yang bisa dijalankan oleh pengguna. Untuk sebagian besar kasus, pemberlakuan aplikasi pelacakan kontak menciptakan perangkap ketaatan (compliance trap). Lantas, mengapa tidak ada tekanan lebih keras terhadap pendekatan otoriter ini?
Apakah aplikasi pelacakan kontak benar-benar bekerja sebagaimana mestinya?
Coba renungkan: Sejak peluncuran aplikasi pelacakan kontak COVID-19 di negara Anda, berapa kali Anda pernah dikabari bahwa Anda merupakan kontak erat seseorang yang terinfeksi?
Mengingat dampak pandemi yang begitu luas, sudah sewajarnya jika Anda menduga akan dikabari beberapa kali bahwa Anda merupakan kontak erat seseorang dalam 18 bulan terakhir. Namun, hal ini tidak terjadi di negara seperti Malaysia, yang telah mencabut sebagian besar pembatasan perjalanannya dan menggaungkan pembukaan kembali berbagai lini usaha untuk memulihkan ekonominya yang terpuruk. Seorang anggota dewan berkata bahwa aplikasi pelacakan kontak Malaysia, MySejahtera, “disfungsional” karena, walau pemakaiannya diwajibkan dan secara universal diberlakukan di segala instansi pemerintah dan tempat usaha, sangat sedikit pelacakan kontak yang sebenarnya dilakukan oleh aplikasi tersebut.
Beberapa negara juga memiliki lebih dari satu aplikasi pelacakan kontak. Aplikasi COVIDsafe yang diumumkan oleh pemerintah pusat Australia pada April 2020 secara umum telah digantikan oleh berbagai jenis aplikasi berbasis QR yang dimandatkan oleh pemerintah negara bagian. Malaysia telah mengembangkan aplikasi MyTrace yang berbasis Bluetooth sebelum praktis menelantarkannya dengan kehadiran MyTrace yang berbasis QR. Di Thailand, anggota masyarakat menolak aplikasi Mor Chana, sehingga pemerintah terpaksa berbalik arah dan batal mewajibkan penggunaannya. Keadaan kacau-balau dalam kepemimpinan kebijakan publik dalam hal ini mencerminkan perselisihan kepentingan politik dan komersil yang mengalihkan fokus, energi, dan sumber daya dari keseluruhan strategi FTTIS dan menomorduakan data pribadi, kesehatan, dan keselamatan para penggunanya.
Seberapa amankah aplikasi-aplikasi pelacakan kontak?
Warga negara di seluruh penjuru dunia perlu menuntut transparansi lebih besar mengenai cara data pribadi dikumpulkan, disimpan, dan diolah. Begitu banyak aspek cara kerja dan teknologi yang digunakan aplikasi-aplikasi sejenis ini tidak dikomunikasikan secara luas kepada para pengguna. Berikut beberapa pertanyaan yang sebaiknya Anda ajukan kepada pemerintah di negara Anda mengenai aplikasi pelacakan kontak yang diwajibkan olehnya:
- Apakah ada data yang tersimpan di perangkat, ditransfer melalui jaringan, atau disimpan di lokasi lain tanpa enkripsi? Mana data yang dienkripsi dan mana yang tidak? Bagaimana enkripsi dilakukan?
- Siapa yang mengembangkan aplikasi dan mengapa mereka yang dipilih? Siapa yang memiliki akses terhadap data? Data apa saja yang dapat mereka akses?
- Berapa lama aplikasi dan infrastruktur penyokongnya menyimpan segala data? Apa yang terjadi dengan data tersebut saat aplikasi tidak lanjut digunakan?
- Apakah kode sumber aplikasi bersifat terbuka (open source) dan/atau diaudit dan diverifikasi oleh pihak ketiga?
Kita harus memberikan tekanan lebih keras terhadap aplikasi-aplikasi ini. Sebagai contoh, BruHealth Brunei dan PeduliLindungi Indonesia menyimpan rekam medis, meskipun pemerintah tidak pernah menunjukkan adanya kebutuhan untuk mengumpulkannya dan tidak tersedia perlindungan data yang memadai. September tahun lalu, media Indonesia memberitakan bahwa sertifikat vaksin Presiden Jokowi sendiri bocor melalui PeduliLindungi, dengan nomor induk kependudukannya (NIK) terpampang jelas pada dokumen elektronik tersebut. Hingga saat ini, belum ada respons jelas yang diberikan mengenai kebocoran data ini maupun langkah-langkah khusus yang diambil untuk mengamankan data pengguna aplikasi, meskipun sejumlah pakar keamanan telah menyuarakan kekhawatiran mereka.
Pendekatan FTTIS bertujuan untuk digunakan dalam pengelolaan kesehatan masyarakat, dan memang terdapat alasan sah untuk melakukan pelacakan kontak secara massal – selama terdapat pengendalian dan pengamanan yang tepat. Namun demikian, kita harus menetapkan batasan dan menolak segala bentuk pengawasan negara. Di bulan Januari, Menteri Dalam Negeri Singapura mengakui bahwa polisi dapat menggunakan data TraceTogether dalam proses penyelidikan pidana, hal yang jelas-jelas melampaui batasan dan tujuan aplikasi pelacakan kontak tersebut. Setelah penolakan masyarakat, barulah parlemen Singapura mengesahkan undang-undang untuk membatasi penggunaan aplikasi tersebut oleh pihak kepolisian hanya untuk penyelidikan kasus pembunuhan, terorisme, dan pidana berat lainnya. Komponen pengawasan yang sudah tertanam dalam sistem ini dapat terjerumus makin dalam dan perlu diawasi lebih lanjut. Di Malaysia, pejuang hak asasi manusia yang mengungkit kekhawatiran serupa berhadapan dengan gangguan dari pihak berwenang. Lebih banyak yang harus kita lakukan agar kita lebih waspada dan menyuarakan penentangan terhadap kecenderungan otoriter pemerintah-pemerintah kita yang semakin menyusup ke dalam.
Untuk bacaan lebih lanjut mengenai aplikasi pelacakan kontak COVID-19, kunjungi halaman informasi berikut dari DigitalReach.
Khairil Zhafri adalah Manager Hak Digital dan Teknologi EngageMedia. Kenali dirinya lebih lanjut melalui halaman mengenai team page.
