Tinjauan Yuridis Perlindungan Privasi Pengguna Online terhadap Penggunaan Data Profiling Oleh Pelaku Usaha Online (Kasus Penyadapan Surat Elektronik Oleh Google Untuk Iklan)
Harzy Randhani Irdham
Ilmu Hukum, Fakultas Hukum Universitas Indonesia, Depok 16424, Indonesia E-mail:
[email protected]
Abstrak Jurnal ini membahas mengenai adanya indikasi pelanggaran privasi yang dilakukan oleh Google melalui salah satu produknya yaitu, Gmail, karena tindakan pemindaian konten surat elektronik yang dilakukannya untuk memuat iklan yang sesuai dengan profil pengguna. Tindakan yang disebut juga dengan profiling ini dapat dinilai sebagai sebuah tindakan penyadapan yang melanggar privasi penggunanya. Terkait hal ini, pengaturan perlindungan privasi di beberapa negara berbeda dan hasil penelitian ini menyarankan bahwa pemerintah harus mempertegas perlindungan privasi khususnya terhadap konsumen online konsumen/pengguna internet merasa aman dalam kegiatannya di dunia online.
Judicial Review Online User Privacy Protection Against Use of Data Profiling By Entrepreneur (Wiretapping Case of Electronic Mail By Google For Ad)
Abstract
This academic writing attempts to deal with the indication of privacy violation done by Google, through one of its product, Gmail. They scanned content of email so it can run ads that match the user profile. This action which is called profiling could be considered as an act of interception and violates the privacy of its users. Regarding this, regulation which arrange the protection of privacy is different in many countries and this writing result suggest that government should reaffirm privacy protection especially toward online consumer so that they could feel safe and secure in their activities in online world Keywords: Privacy, profiling, interception, customer protection
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
Pendahuluan Perkembangan teknologi di dunia terus berubah dan semakin maju dari masa ke masa. Sehingga tidak mengherankan jika kita menilik perkembangan teknologi yang begitu masif dilakukan pada tahun-tahun belakangan ini yang salah satunya merupakan perkembangan internet. Internet merupakan awal dari terobosan teknologi tersebut. Dalam era informasi ini, informasi dapat dikatakan selayaknya sebagai suatu aliran darah pada tubuh manusia.1 Internet yang menyatukan semua jaringan ada sehingga dapat menjadi satu jaringan global tunggal.2 Internet menyatukan jaringan yang ada didunia menjadi satu jaringan global tunggal. Dengan jumlah pengguna komputer yang sangat besar, tentu hal ini menjadi satu kesempatan bisnis yang tidak akan dilewatkan. Berbagai macam perusahaan besar yang sekarang sudah tidak asing lagi di telinga seperti Google, Microsoft, dan Yahoo berhasil memanfaatkan tren teknologi internet yang salah satunya adalah cloud computing. Beberapa contoh penggunaan komputasi awan yang paling umum adalah sebagai layanan penyedia surat elektronik seperti Gmail, Ymail, Hotmail, dll ataupun sebagai layanan penyimpanan data virtual seperti Dropbox, Google Drive, Box, dan masih banyak lagi contoh penggunaan lain komputasi awan. Saat ini Microsoft melalui websitenya, www.scroogled.com, melakukan kampanye besar-besaran mengenai tindakan yang dilakukan Google terhadap setiap surat elektronik yang masuk melalui jasa Gmail. Google melakukan pemindaian terhadap setiap surat elektronik masuk dan keluar, baik dari jasa surat elektronik Gmail sendiri, maupun jasa surat elektronik milik perusahaan lain seperti Hotmail, Ymail, bahkan surat elektronik pribadi.3 Google dapat melakukan apapun terkait data yang mereka gunakan walaupun mereka melakukan hal tersebut tidak secara langsung, namun menggunakan metode analisis secara otomatis yang dilakukan bukan oleh manusia. Namun apa yang dilakukan oleh Google 1
Edmon Makarim, Pengantar Hukum Telematika, (Jakarta : Rajagrafindo Persada, 2005), hal. 28.
2
Hossein Bidgoli, The Internet Encyclopedia (Volume 2), (New Jersey : John Wiley & Sons, Inc, 2004), hlm. 243. 3
“Scroogled”, http://www.scroogled.com/ diunduh pada tanggal 20 Maret 2013.
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
terhadap surat elektronik yang masuk tersebut disebut dengan behavioral targeting dengan teknik Data Profiling. Singkatnya, melalui proses profiling ini, pencarian berdasarkan suatu data dapat menghasilkan suatu penemuan kesimpulan yang dapat digunakan sesuai dengan keperluan yang diinginkan. Masalah ini berujung kepada bagaimana penggunaan Data Profiling ini dilakukan. Perkembangan internet yang begitu cepat membuat banyak pihak menggunakan metode ini untuk dapat meraup keuntungan lebih, karena mereka dapat menyesuaikan iklan yang dapat ditampilkan sesuai dengan profil yang diberikan melalui proses profiling tersebut. Hal ini yang saat ini marak dilakukan, dan salah satu perusahaan paling besar yang melakukan hal tersebut adalah Google. Hal ini menjadi sesuatu yang penting untuk dibahas karena penulis menilai permasalahan Data Profiling yang berpotensi untuk melanggar privasi di Indonesia belum begitu dimengerti oleh banyak orang dan perangkat hukum yang berlaku belum secara jelas mencantumkan hal tersebut. Hal ini salah satunya dapat dilihat melalui Penyelenggaraan Internet di Indonesia yang termasuk dalam hal yang diatur dalam Pasal 26 ayat (1) Undang Undang No 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik4 dan Pasal 31 (1) Undang-Undang yang sama5. Hal yang menjadi permasalahan adalah, apakah Data Profiling terhadap data pribadi seseorang yang dilakukan oleh Google dan banyak perusahaan lain dalam menjalankan bisnisnya boleh dilakukan? Kemudian apakah pemindaian untuk profiling dapat dikategorikan sebagai suatu bentuk penyadapan? Bagaimana pengaturan mengenai privasi di berbagai peraturan internasional dan di Indonesia?
Tinjauan Teoritis Pengertian Privasi dijabarkan melalui Black Law Dictionary sebagai The condition or state of being free from public attention to intrusion into or interference with one’s acts or 4
Undang-undang No 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik, selanjutnya disebut
UU ITE. 5
Indonesia, Undang-Undang Tentang Informasi dan Transaksi Elektronik, UU No. 8 Tahun 2008, LN No. 58 Tahun 2008, TLN No. 4843, Pasal 31 ayat (1)
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
decision.6 Privasi bukanlah merupakan hak yang absolut, namun dapat dibatasi oleh kepentingan umum dan dimungkinkan adanya campur tangan dari pemerintah sepanjang ditetapkan oleh hukum, yang dirancang untuk tujuan yang sah dan dilaksanakan secara proporsional. Pemerintah memiiki kewajiban untuk melindungi privasi dari gangguan pihak ketiga. Namun pada esensinya, lingkup paling kecil dari privasi adalah privat, yaitu memiliki hak untuk dapat sendiri (the right to be alone), dan hak untuk tidak diganggu (the right to be not disturbed or observed). Terdapat beberapa pengaturan Internasional yang mengatur mengenai prinsip perlindungan privasi di dunia. Peraturan tersebut adalah: a. Amerika Serikat dengan Fair Information Practice Principles (FIPs) Prinsip ini meliputi : Notice/Awareness, Choice/Consent, Access/Participation, Integrity/Security, dan Enforcement/Redress. b. Uni Eropa dengan Organization for Economic Co-operation and Development (OECD) Principles Prinsip ini meliputi: Collection Limitation, Data Quality, Purpose Specification, Use Limitation,
Security
Safeguards,
Openness,
Individual
Participation,dan
Accountability Principles. c. Kesepakatan Antara Uni Eropa dan Amerika Serikat dengan Safe Harbour Dengan kesepakatan yang dibuat oleh Amerika Serikat dan Uni Eropa, membuat perusahaan Amerika yang telah memenuhi ketentuan dalam Safe Harbour dapat melakukan transaksi data dengan Uni Eropa. Prinsip yang terdapat di dalam Safe Harbour adalah: Notice, Choice, Onward Transfer, Security, Data Integrity, Access, dan Enforcement. d. Asian Pacific Economic Cooperation (APEC) dengan Privacy Framework Adapun prinsip yang terkandung dalam Privacy Framework APEC adalah: Preventing Harm, Notice, Collection Limitation, Uses of Personal Information,Choice, Integrity of Personal Information, Security Safeguards, Access and Correction, dan Accountability. e. International Covenant on Civil and Political Rights (ICCPR)
6
Bryan A. Garner, Black’s Law Dictionary, (USA: West, 2009), hlm 1315
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
Untuk mengetahui perkembangan perlindungan privasi di Indonesia, kita harus mengikuti perkembangan peraturan perundang-undangan yang ada di Indonesia, peraturanperaturan tersebut adalah: a. Undang-Undang Dasar 1945 Pasal 28F, Pasal 28 G (1), Pasal 28I (1) dan (4), dan Pasal 28J ayat (2). b. Undang-Undang No 7 Tahun 1971 Tentang Ketentuan Pokok Kearsipan Pasal 2. c. Undang-Undang No 23 Tahun 1992 Tentang Kesehatan Pasal 53 ayat (2). d. Undang-Undang No 8 Tahun 1997 Tentang Dokumen Perusahaan Pasal 1 dan 2. e. Undang-Undang No 10 Tahun 1998 Tentang Perbankan Pasal 40. f. Undang-Undang No 39 Tahun 1999 Tentang Hak Asasi Manusia Pasal 12, Pasal 14 ayat (2), Pasal 21, Pasal 29 ayat (1), Pasal 31 ayat (1), dan Pasal 32. g. Undang-Undang No 36 Tahun 1999 Pasal 22, Pasal 40 dan Pasal 42 ayat (1). h. Undang-Undang No 8 Tahun 1999 Tentang Perlindungan Konsumen Pasal 1, Pasal 14 dan Pasal 15 i. Undang-Undang No 12 Tahun 2005 Tentang Pengesahan International Covenant on Civil and Political Rights (ICCPR) Pasal 17. j. Undang-Undang No 23 Tahun 2006 Tentang Administrasi Kependudukan Pasal 1 dan Pasal 85 Ayat (1). k. Undang-Undang No 14 Tahun 2008 Tentang Keterbukaan Informasi Publik Pasal 2 ayat (1), Pasal 4 ayat (1), dan Pasal 6 ayat (1). l. Undang-Undang No 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik Pasal 26. m. Peraturan Pemerintah No 82 Tahun 2012 Tentang Penyelenggaraan Sistem dan Transaksi Elektronik Pasal 15. Tabel Perbandingan Pengaturan Privasi Internasional Dengan Indonesia. Prinsip APEC dan OECD
Indonesia
Preventing Harm
Tidak diatur dalam Peraturan Perundangan di Indonesia
Notice
Pasal 21 Undang-Undang Hak Asasi Manusia, menyebutkan bahwa “Setiap orang berhak atas keutuhan pribadi, baik rohani maupun jasmani, dan karena itu tidak boleh manjadi objek penelitian tanpa persetujuan darinya” dan Pasal 26 Undang-undang ITE, yang menyebutkan, “setiap penggunaan informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
persetujuan orang yang bersangkutan.” Collection Limitation
Dalam peraturan di Indonesia, tidak dapat peraturan yang membatasi pengumpulan data yang dapat dilakukan, namun sesuai dengan ketentuan 2 pasal diatas, untuk setiap penggunaan informasi terhadap data pribadi seseorang, maka harus ada persetujuan dari pihak yang bersangkutan.
Uses of Personal Information
Perlindungan privasi dilakukan dalam tindak Penyidikan sebagaimana diatur dalam Undang-undang No 8 Tahun 1981, tentang Kitab Undang-Undang Hukum Pidana, Pasal 48 Ayat (3) yang berbunyi, “Penyidik dan para pejabat pada semua tingkat pemeriksaan dalam proses peradilan wajib merahasiakan dengan sungguh-sungguh atas kekuatan sumpah jabatan isi surat yang dikembalikan itu.” Dalam hal ini, isi surat yang merupakan suatu informasi pribadi dilindungi oleh Penyidik dan para pejabat dalam proses pemeriksaan.
Choice
Tidak diatur mengenai pilihan terkait pengumpulan, penggunaan, dan pengungkapan informasi pribadi
Integrity of Personal Information
Tidak diatur
Security Safeguards
Ketentuan yang mengatur mengenai perlindungan keamanan dan hukuman yang diberikan beberapa diatur dalam Pasal 42 Undang-undang Tentang Telekomunikasi Jo. Pasal 57 UU tentang Telekomunikasi, kemudian Pasal 26 ayat (1) dan (2) UU ITE.
Access and Correction
Hak untuk memperoleh, memiliki, menyimpan, mengolah, dan menyampaikan informasi di jelaskan dalam Pasal 28 F UUD 1945.
Accountability
Diatur dalam Pasal 15 PP No 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
Amerika dan Uni Eropa memiliki pandangan yang berbeda mengenai perlindungan privasi. Uni Eropa memilih untuk mengambil posisi yang menyatakan bahwa regulasi yang ditetapkan merupakan hal yang esensial demi memberikan perlindungan hukum kepada masyarakat di dalam pangsa pasar sehingga pemerintah berperan menjaga privasi masyarakatnya. Hal ini dilakukan dengan adanya Data Protection Directive. Amerika melakukan pendekatan yang dilakukan secara sektoral sehingga masing-masing wilayah negara bagian memiliki peraturan yang berbeda, dimana pengontrolan dilakukan oleh pelaku usaha (Self Regulatory), karena budaya Amerika yang tidak ingin dikekang oleh pemerintahannya sendiri.
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
Indonesia sendiri belum berhasil memenuhi seluruh ketentuan yang terdapat dalam prinsip perlindungan data baik oleh APEC maupun Eropa. Hal ini dapat berdampak kepada peraturan yang diatur dalam Uni Eropa yang mengatur bahwa mereka mengizinkan arus bebas informasi kepada negara dengan perlindungan data yang memadai dan atau setingkat dengan perlindungan data yang ditetapkan oleh Uni Eropa. Hal tersebut dapat mengakibatkan informasi tidak dapat ditransfer dari Uni Eropa ke Indonesia. Karena pada dasarnya Indonesia belum memenuhi secara keseluruhan ketentuan yang telah diterapkan di Uni Eropa, namun berdasarkan Peraturan Pemerintah No 82 Tahun 2012 Tentang Penyelenggaraan Sistem dan Transaksi Elektronik yang mengatur mengenai mengenai sertifikat keandalan. Sertifikasi keandalan merupakan salah satu bentuk Self Regulatory karena sertifikasi tersebut dikeluarkan oleh lembaga sertifikasi diluar pemerintah yang diatur dalam pasal 67 dimana sertifikat keandalan bertujuan untuk melindungi konsumen dalam transaksi elektronik. Karena itu, walaupun ketentuan privasi di Indonesia diatur dalam peraturan perundang-undangan, namun juga pengaturan secara Self regulatory juga diakui di Indonesia. Oleh karena itu, Indonesia mengikuti ketentuan privasi di Uni Eropa dan Amerika Serikat. Penyadapan berasal dari kata sadap yang dalam arti kiasan adalah mendengarkan (merekam) informasi (rahasia, pembicaraan) orang lain dengan sengaja tanpa sepengetahuan orangnya.7 Umumnya, penyadapan dalam bahasa inggris artinya adalah intercept yaitu, “Electronic or mechanical eavesdropping, usually done by law-enforcement officers under court order, to listen to private conversations.”8 Menurut Edmon Makarim, istilah penyadapan yang digunakan dalam bahasa Indonesia dalam konteks berkomunikasi, sebenarnya mengacu kepada istilah wiretapping yang sebenarnya secara historis berawal dari eavesdropping. Kemudian sesuai dengan perkembangan teknologi, berkembang pula pengertian dan istilahnya menjadi interception. Sekilas tampaknya semua hal tersebut tidak mempunyai makna yang berbeda karena ujungujungnya adalah suatu tindakan yang tujuannya adalah memperoleh informasi yang dikomunikasikan oleh para pihak. Namun secara teknis hal tersebut sebenarnya memiliki 7
http://kbbi.web.id/sadap, diunduh pada tanggal 30 Juni 2013
8
Garner, Op. Cit., hlm 1738.
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
pengertian yang berbeda.9 Dalam hal ini Edmon menunjuk kepada penjelasan pasal 26 Undang-Undang Tindak Pidana Korupsi dimana secara tegas selanjutnya dijelaskan istilah “eavesdropping”, ”wiretapping”, dan “interception”. Penyadapan dapat dilakukan untuk tindakan yang tidak melanggar hukum (lawful) dan dilakukan oleh Penyidik Pejabat Polisi Negara Repulik Indonesia dalam suatu penyidikan tindak pidana. Oleh karena itu, jika penyadapan tersebut dilakukan oleh pihak yang bukan merupakan penyidik dan atau pihak penyidik yang melakukan penyadapan tanpa alasan hukum pembenar, maka penyadapan tidak boleh dilakukan. Dijelaskan diatas bahwa penyadapan hanya boleh dilakukan oleh penyidik dan hanya dalam keadaan tertentu, sangat mendesak dan terbatas pada delik tertentu. Oleh karena itu, Undang-undang menjelaskan larangan melakukan tindakan penyadapan, yaitu dalam Pasal 22 Undang-undang Telekomunikasi No 36 Tahun 1999 dan Undang-Undang No 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik Pasal 31 ayat (1) dan (2). Kemudian mengenai Profiling, beberapa orang menyatakan pendapat mengenai definisinya, the process of ‘discovering’ patterns in data in databases that can be used to identify or represent a human or nonhuman subject (individual or group) and / or the application of profiles (sets of correlated data) to individuate and represent an individual subject or to identify a subject as a member of a group (which can be an existing community or a ‘discovered’ category).10 (Hildebrandt:2009) “means collectiog and using pieces of information about individuals to make assumptions about them and their future behaviour.”11 “Modern technique relies on the massive processing of personal data in order to identify patterns that allow for the automatic categorisation of individual.”12 9
Hal ini dikemukakan oleh Edmon Makarim dalam Jurnalnya yang berjudul Analisis Terhadap Kontroversi Rancangan Peraturan Pemerintah Tentang Tata Cara Intersepsi Yang Sesuai Dengan Hukum (Lawful Interception), Artikel yang dimuat dalam Jurnal Hukum dan Pembangunan, Tahun Ke-40 No. 2, April 2010, hlm 226, dalam Tesis Wellza Ardhiansyah, Kewenangan Penyadapan: Suatu Tinjauan Aspek Hak Asasi Manusia Di Indonesia (Perlindungan Hak Pribadi Warga Negara Dalam Negara Hukum), Universitas Indonesia: 2012, hlm 70 10
Kai Rainenberg, et al., The Future of Identity in The Information Society, (Berlin: Springer, 2009),
11
An Introduction to Data Protection, The EDRi papers, Issue 06.
hlm 275.
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
Berdasarkan uraian diatas, maka dapat disimpulkan bahwa kegiatan profiling adalah kegiatan menghimpun informasi mengenai individu atau data personal dalam suatu basis data untuk dapat menentukan atau mewakilkan suatu individu atau kelompok kedalam subyek kelompok tertentu secara otomatis. Profiling digunakan untuk mengumpulkan data dengan suatu cara agar dapat ditarik sebuah kesimpulan, sehingga prediksi atau ekspektasi dapat diusulkan. Kegiatan profiling tersebut kemudian menghasilkan suatu pengetahuan (Knowledge) tertentu dengan menggunakan proses yang dikenal sebagai Knowledge discovery in databases (KDD). Pengetahuan yang dihasilkan tersebut bersifat non-representasional, dimana ia tidak memberikan keadaan saat ini. Ketika dibawa ke tingkat yang lebih abstrak, kegiatan profiling mengarah kepada identifikasi dari pola dalam suatu data yang sudah ada, yang kemudian berkembang menjadi pengetahuan probabilitas mengenai individu-individu, kelompok, atau sesuatu yang bukan manusia pada saat ini dan dimasa depan. Dalam arti lain, pandangan yang sekarang kita miliki dan di masa yang akan datang akan terbentuk berdasarkan apa yang dihasilkan oleh data mining. Hal inilah yang membuat kegiatan profiling adalah suatu hal produktif untuk mendapatkan pengetahuan. Profiling dapat digunakan untuk menghasilkan suatu “realitas” dari kejadian di masa lalu.13
12
Gloriz Gonzales Fuster, Serge Gutwirth and Erika Ellyne, “Profiling in The European Union: A High-Risk Practice”, INEX Policy Brief No 10,(2010), hlm 2. 13
Serge Gutwirth, Yves Poullet, Paul De Hert, Data Protection in a Profiled World, New York: Springer, 2010, hlm 32.
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
Gambar 1. Proses KDD14
Targeting marketing merupakan suatu disiplin ilmu yang dapat digunakan diberbagai macam media, dimana salah satunya adalah untuk menargetkan iklan secara online berdasarkan kebiasaan pengguna,yang dinamakan dengan behavioral targeting. Ketika seorang pengguna mengunjungi suatu website, halaman yang mereka kunjungi, waktu yang dikunjungi untuk setiap halaman, tautan yang mereka klik, pencarian yang mereka lakukan, dan segala interaksi lainya, dikumpulkan oleh website dalam bentuk data, dan faktor lainnya, untuk membuat profil. Hasilnya, pemilik website dapat menggunakan data tersebut untuk menciptakan segmentasi pengguna berdasarkan pengunjung yang memiliki kemiripan profil. Ketika pengunjung tersebut kembali dengan menggunakan browser yang sama, maka profil mereka dapat digunakan oleh pengiklan untuk memposisikan iklan mereka kepada pengunjung yang menunjukan minat paling tinggi terhadap produk atau jasa yang ditawarkan.15
Pembahasan Kasus ini adalah kasus antara Keith Dunbar v. Google Case No. 5:10-cv-00194, dimana kasus posisinya adalah sebagai berikut: Produk “Gmail” adalah salah satu dari layanan surat elektronik terpopuler di dunia yang dimiliki oleh Tergugat. Gmail merupakan suatu layanan gratis untuk semua orang yang berpartisipasi, dan di sponsori oleh iklan (advertising/ads). Sejak tahun 2004, Tergugat telah memberikan targeted ads melalui teknologi pemindaian otomatis. Pemindaian dilakukan berdasarkan kata kunci yang kemudian digunakan untuk mencocokan dan menyediakan iklan yang relevan untuk ditampilkan kepada pengguna Gmail yang membuka surat elektronik mereka dalam kotak masuk. Proses ini berdasarkan pernyataan Tergugat, dilakukan secara otomatis dan tanpa melibatkan manusia.
14
Usama Fayyad, Gregory Piatetsky-Shapiro, and Padhraic Smyth, “From Data Mining to Knowledge Discovery in Database”, AI Magazine, Vol 17, (Fall Issue), hlm. 41, 1997 15
https://en.wikipedia.org/wiki/Behavioral_targeting diunduh pada tanggal 30 Juni 2013
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
Kemudian Penggugat, yang bukan merupakan pengguna Gmail, mengklaim Tergugat telah melanggar ketentuan dalam Electronic Communication Privacy Act (ECPA) ketika Tergugat melakukan pemindaian dari surat elektronik yang diterima olehnya dari beberapa pengguna Gmail. Melalui pemindaian tersebut, Tergugat telah melakukan pencegatan terhadap semua surat elektronik yang dikirim kepada pengguna Gmail oleh pengirim dari akun surat elektronik manapun. Oleh karena itu telah terjadi intersepsi surat elektronik dari pemilik akun non-Gmail. Menurut penggugat, hal tersebut telah melanggar ketentuan dari ECPA of 1986, 18 U.S.C, Section 2511 (1)(a) dan Section 2511 (1)(d) Untuk menjelaskan keterkaitan antara penyadapan, pemindaian, dan profiling dalam kasus Google, maka harus dapat dibandingkan mengenai persamaan ruang lingkup pemindaian, profiling, dan penyadapan. Penyadapan memiliki ruang lingkup paling luas dalam undang-undang ITE, yaitu Kegiatan untuk mendengarkan, merekam, membelokkan, mengubah, menghambat, dan/atau mencatat transmisi Informasi Elektronik dan/atau Dokumen Elektronik yang tidak bersifat publik, baik menggunakan jaringan kabel komunikasi maupun jaringan nirkabel, seperti pancaran elektromagnetis 16 atau radio frekuensi.
Dan Permenkominfo No. 11 Tahun 2006 Tentang Penyadapan Terhadap Informasi, Penyadapan Informasi adalah mendengarkan, mencatat, atau merekam suatu pembicaraan yang dilakukan oleh Aparat Penegak Hukum dengan memasang alat atau perangkat tambahan pada jaringan 17 telekomunikasi tanpa sepengetahuan orang yang melakukan pembicaraan atau komunikasi tersebut.
Kedua definisi diatas sama-sama memiliki unsur mendengar, merekam, dan mencatat, sedangkan unsur-unsur membelokkan, mengubah, menghambat tidak dijelaskan dalam definisi penyadapan oleh Permenkominfo. Namun sebaliknya, unsur aparat penegak hukum, dan tanpa sepengetahuan orang yang melakukan pembicaraan atau komunikasi, tidak disebutkan dalam Undang-undang ITE. Oleh karena itu, lingkup dari definisi ITE lebih luas dibandingkan definisi dalam Permenkominfo, karena penyadapan tersebut tidak dibatasi oleh subjeknya. Sedangkan definisi pemindaian menurut Cambridge Dictionary, yaitu scan : “to look at something carefully, with the eyes or with a machine, in order to get information. To look 16
Indonesia, UU ITE, Op. Cit., Penjelasan Pasal 31.
17
Indonesia, Kementerian Komunikasi dan Informatika, Peaturan Menteri Komunikasi dan Informatika Tentang Teknis Penyadapan Terhadap Informasi, Permenkominfo No. 11/PER/M.KOMINFO/02/2006, pasal 1 angka 37.
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
through a text quickly in order to find a piece of information that you want or to get a general idea of what the text contains.”18 Melalui definisi tersebut, terdapat unsur penting yaitu, to get information atau untuk mendapatkan informasi. Dalam konteks ini, tidak disebutkan untuk informasi yang didapat adalah informasi publik atau bukan. Dengan demikian, pemindaian dapat dilakukan terhadap informasi publik ataupun non publik. Jika pemindaian dilakukan untuk mendapatkan informasi publik, maka pemindaian tersebut tidak termasuk dalam konteks penyadapan. Sebaliknya, jika pemindaian tersebut dilakukan untuk mendapatkan informasi non publik, maka pemindaian tersebut termasuk dalam konteks penyadapan. Profiling yang dijelaskan adalah kegiatan menghimpun informasi mengenai individu atau data personal dalam suatu basis data untuk dapat menentukan atau mewakilkan sauatu individu atau kelompok dalam subyek kelompok tertentu secara otomatis. Sedangkan disebutkan melalui halaman bantuan Adword bahwa,“Gmail can show you ads when your keywords match words used in a persons’s emails (contextual targeting).”19 Sehingga didapat bahwa contextual targeting merupakan tindakan profiling yang dilakukan oleh Google. Sehingga pemindaian yang dilakukan oleh Google merupakan suatu tindakan profiling. Sehingga dari dua persamaan tersebut dapat disimpulkan bahwa, Penyadapan dilakukan untuk mendapatkan informasi non publik. Dalam konteks ini, profiling yang dilakukan oleh Google, bertujuan untuk mengumpulkan informasi mengenai individu lewat produk-produk yang ditawarkan, bahkan melalui konten yang surat elektronik, dimana informasi tersebut merupakan informasi yang bersifat non publik. Karena
kegiatan
profiling
yang
dilakukan
oleh
Google
bertujuan
untuk
mengumpulkan informasi non publik, maka kegiatan tersebut merupakan tindakan penyadapan. Selain itu, Google sebagai suatu perusahaan tidak melakukan penyadapan tersebut sebagai suatu bagian penyidikan pidana yang dilakukan oleh aparat penegak hukum. Oleh sebab itu, penyadapan yang dilakukan oleh Google merupakan tindakan penyadapan yang melanggar hukum. Karena pemindaian yang dilakukan oleh Google, merupakan tindakan penyadapan, maka terjadi pelanggaran hukum yang dilakukan oleh Google, terhadap beberapa peraturan 18
http://dictionary.cambridge.org/dictionary/british/scan_1?q=scanning diunduh pada tanggal 2 Juli
19
https://support.google.com/adwords/answer/2404243?hl=en diunduh pada tanggal 25 Juni 2013.
2013.
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
yang diatur di beberapa negara, yaitu Amerika ditinjau berdasarkan ketentuan dari Electronic Communication Privacy Act. Kemudian Uni Eropa ditinjau berdasarkan ketentuan European Union Data Protection Directive 95/46/EC, dan Indonesia ditinjau UU ITE, PP 82 Tahun 2012, dan UU Perlindungan Konsumen. Gugatan yang diajukan oleh Penggugat, berdasarkan Electronic Communication Privacy Act (ECPA), yaitu ketentuan dari ECPA of 1986, 18 U.S.C, Section 2511 (1)(a) dan Section 2511 (1)(d), Seluruh unsurnya terpenuhi. Except as otherwise specifically provided in this chapter any person who: a)
intentionally intercepts, endeavors to intercept, or procures any other person intercept or 20 endeavor to intercept,any wire, oral, or electronic communication.
d) intentionally uses, or endeavors to use, the contents of any wire, oral, or electronic communication, knowing or having reason to know that the information was obtained through the interception of a 21 wire, oral, or electronic communication in violation of this subsection.
Kemudian jika dilihat berdasarkan peraturan perlindungan privasi di Uni Eropa, maka berlaku ketentuan European Union Privacy Directive 95/46/EC, karena kegiatan pemindaian Google tersebut merupakan tindakan pemindaian yang dilakukan secara otomatis, sebagaimana dijelaskan dalam pasal 3 ayat (1), This Directive shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.22
Kemudian mengenai ketentuan pasal mengenai pemindaian surat tersebut, berlaku pasal 7 yang menjelaskan, “Member States shall provide that personal data may be processed only if: The data subject has unambiguously given his concent.”23 Dalam praktiknya, pemindaian yang dilakukan Google, hanya disetujui oleh pengguna Gmail, sehingga pihak diluar pengguna Gmail tidak mengetahui adanya tindakan pemindaian. Hal ini berarti subyek data belum memberikan izinnya secara jelas. Karena salah satu unsur dari pasal 7 European Union Privacy Directive ini tidak terpenuhi, maka masyarakat dapat
20
Amerika Serikat, Electronic Communication Privacy Act, Sec 2511 (1) (a)
21
Ibid., Sec 2511 (1) (d).
22
Uni Eropa, EU Privacy Directive, Pasal 3 ayat 1.
23
Ibid., Pasal 7 huruf (a).
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
menolak data personal mereka untuk diproses, yang dalam hal ini, sebagai cara untuk menampilkan iklan dalam layanan Gmail. Jika kasus tersebut masuk dalam ranah hukum Indonesia, maka beberapa peraturan dapat berlaku. Peraturan yang mengatur mengenai penyadapan diatur dalam UU No 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, dimana kasus Google ini termasuk didalam lingkup pasal 2 Undang-undang ini, sehingga peraturan yang ada di dalam Undang-Undang ini berlaku. Mengenai penyadapan, hal tersebut diatur dalam pasal Pasal 31 ayat (1) yang berbunyi, Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum melakukan intersepsi atau penyadapan atas Informasi Elektronik dan/atau Dokumen Elektronik dalam suatu Komputer dan/atau Sistem Elektronik tertentu milik Orang lain.24
Dimana seluruh unsur dalam pasal tersebut terpenuhi. Karena ketentuan pasal 31 ayat (1) terpenuhi, maka berlaku pula ketentuan dalam pasal 47 yang menyebutkan bahwa tindakan tersebut dapat dipidana dengan pidana penjara paling lama 10 tahun atau denda paling banyak 800 juta rupiah.25 Selain itu, itu kita juga dapat melihat pada pasal 15 Peraturan Pemerintah No 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik: (1) Penyelenggara Sistem Elektronik wajib: a. menjaga rahasia, keutuhan, dan ketersediaan Data Pribadi yang dikelolanya; b. menjamin bahwa perolehan, penggunaan, dan pemanfaatan Data Pribadi berdasarkan persetujuan pemilik Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan c. menjamin penggunaan atau pengungkapan data dilakukan berdasarkan persetujuan dari pemilik Data Pribadi tersebut dan sesuai dengan tujuan yang disampaikan kepada pemilik Data Pribadi pada saat perolehan data.26 Dan Google telah melanggar ketentuan Perlindungan Konsumen yang ada dalam Undang-Undang Perlindungan Konsumen, Pasal 18 ayat (1) g dan Pasal 18 ayat (2) yang bertentangan dengan ketentuan yang tercantum di dalam Privacy Policy mereka.
24
Indonesia, UU ITE, Op. Cit., Pasal 31.
25
Ibid., Pasal 47.
26
Indonesia, Peraturan Pemerintah Tentang Penyelenggaran Sistem Dan Transaksi Elektronik, PP No. 82 Tahun 2012, LN No. 189, TLN No. 5348, Pasal 15.
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
Hal yang dilakukan oleh Google bukanlah suatu tindakan yang jarang dilakukan di dunia online, hal ini dikarenakan perusahaan sejenis seperti Microsoft dan atau Yahoo juga melakukan hal yang serupa dengan yang dilakukan oleh Google. Microsoft dalam ketentuan layanannya menyatakan bahwa Microsoft juga melakukan pemindaian secara otomatis terhadap surat elektronik, pesan obrolan, atau foto untuk melindungi dari spam, malware, atau untuk meningkatkan layanan Microsoft sendiri.
27
Dalam hal ini, apa yang dilakukan oleh
Google dan Microsoft relatif sama. Namun, perbedaannya terletak pada Google yang secara terus terang menyatakan bahwa pemindaian otomatis tersebut dilakukan salah satunya untuk menampilkan iklan, sedangkan Microsoft tidak. Kemudian jika di bandingkan dengan Yahoo, maka berdasarkan ketentuan tambahannya,28maka Yahoo dapat melakukan pemindaian konten surat elektronik yang kemudian digunakan sebagai data untuk menampilkan iklan. Dalam hal ini, terms tersebut menyebutkan bahwa pihak yang bertanggung jawab untuk memberitahukan adanya pemindaian surat elektronik, bahkan untuk surat elektronik yang dikirim oleh pengguna email non-Yahoo, adalah pengguna Yahoo itu sendiri. Hal ini berbeda dengan yang tertulis dalam Privacy Policy Google. Aturan tersebut bahkan terdapat dalam halaman pendaftaran akun surat elektronik Yahoo. Kesimpulan Amerika memiliki budaya liberal sehingga mereka tidak menyukai adanya turut campur pemerintah. Oleh karena itu, mereka menggunakan aturan self regulation. Berbeda dengan Uni Eropa, dimana perlindungan data secara menyeluruh diatur melalui Data Protection Directive. Bahkan peraturan tersebut membuat Amerika Serikat untuk menyepakati Safe Harbour Agreement agar tingkat perlindungan arus informasi yang terjadi antara Uni Eropa dan Amerika dapat terjamin. Berbeda dengan pengaturan yang ada di Indonesia, dimana Indonesia menerapkan ketentuan diantara keduanya. Indonesia memberlakukan ketentuan Self Regulatory, dan beberapa ketentuan lainnya diatur melalui peraturan perundang-undangan. Karena pada dasarnya Indonesia belum memenuhi secara keseluruhan ketentuan yang telah diterapkan di Uni Eropa, namun berdasarkan Peraturan Pemerintah No 82 Tahun 2012 Tentang Penyelenggaraan Sistem dan Transaksi Elektronik 27
http://windows.microsoft.com/en-US/windows-live/microsoft-services-agreement diakses pada tanggal 23 Juni 2013 28
http://info.yahoo.com/legal/us/yahoo/mail/atos.html diunduh pada tanggal 23 Juni 2013.
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
yang mengatur mengenai mengenai sertifikat keandalan yang merupakan ciri dari pengaturan secara Self Regulatory. Oleh karena itu, Indonesia mengikuti ketentuan privasi di Uni Eropa dan Amerika Serikat. Pada kasus pemindaian konten surat elektronik oleh Google, Pengguggat menuduh Google melakukan tindakan intercept yang terhadap konten surat elektronik baik dari pengguna Gmail maupun pengguna non-Gmail. Tindakan tersebut pada dasarnya merupakan bentuk profiling, dimana hasil pemindaian tersebut digunakan untuk menghimpun informasi mengenai individu agar Google dapat menawarkan iklan yang sesuai dengan minat dan keinginan penggunanya. Selain itu, bentuk pemindaian terhadap data informasi pribadi merupakan salah satu bentuk penyadapan, karena pemindaian tersebut dilakukan terhadap informasi non publik. Ketentuan pelanggaran penyadapan tersebut diatur dalam Pasal 31 ayat (1) Undang-undang Informasi dan Transaksi Elektronik, selain konteks penyadapan, tindakan Google tersebut juga melanggar ketentuan Pasal 18 ayat (2) Undang-undang Perlindungan Konsumen dan Pasal 15 Peraturan Pemerintah No 82 Tahun 2012. Karena itu, tindakan profiling yang dilakukan oleh pihak Google tersebut tidak boleh dilakukan. Saran Indonesia perlu membuat suatu peraturan perundang-undangan yang dikhususkan untuk perlindungan privasi masyarakatnya. Dimana dalam beberapa peraturan tersebut, harus dijelaskan mengenai definisi yang konkrit dan seragam tentang definisi penyadapan. Hal ini agar ruang lingkup dari penyadapan jelas batasan-batasannya. Kemudian pengguna/konsumen harus memperhatikan ketentuan dan kebijakan privasi sebelum menggunakan jasa/produk suatu website dan memperhatikan sertikasi keandalan yang diberikan terhadap website tersebut. Dan pemerintah harus melakukan tindakan tegas terhadap Google dan atau pihak-pihak lainnya yang telah mengabaikan kepentingan dan hakhak dari konsumennya, terutama mengenai hak fundamental seperti perlindungan privasi. Oleh karena itu, kepada pihak-pihak yang merasa pelindungan privasi dilanggar, maka selalu ada pilihan untuk menggunakan produk-produk selain yang ditawarkan oleh Google.
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
DAFTAR PUSTAKA
BUKU Bidgoli, Hossein. The Internet Encyclopedia. Volume 2. New Jersey : John Wiley & Sons, Inc, 2004. Garner, Bryan A. Black’s Law Dictionary. USA: West, 2009. Gutwirth, Serge, Yves Poullet and Paul De Hert. Data Protection in a Profiled World. New York: Springer, 2010. Makarim, Edmon. Pengantar Hukum Telematika (Suatu Kajian Kompilasi). Jakarta: PT Rajagrafindo Persada, 2005. Rainenberg, Kai. Et. al. The Future of Identity in The Information Society. Berlin: Springer, 2009.
ARTIKEL/JURNAL Fuster, Gloriz Gonzales, Serge Gutwirth and Erika Ellyne. “Profiling in The European Union: A High-Risk Practice.” INEX Policy Brief No 10. (2010): 2.
SKRIPSI/TESIS/DISERTASI Ardhiansyah, Wellza. “Kewenangan Penyadapan: Suatu Tinjauan Aspek Hak Asasi Manusia Di Indonesia (Perlindungan Hak Pribadi Warga Negara Dalam Negara Hukum).” Tesis Pascasarjana Universitas Indonesia. Jakarta, 2012.
PERATURAN PERUNDANG-UNDANGAN Amerika Serikat, Electronic Communication Privacy Act, Indonesia. Peraturan Pemerintah Tentang Penyelenggaran Sistem Dan Transaksi Elektronik, PP No. 82 Tahun 2012, LN No. 189, TLN No. 5348.
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013
Indonesia. Undang-Undang Tentang Informasi dan Transaksi Elektronik, UU No. 8 Tahun 2008, LN No. 58 Tahun 2008, TLN No. 4843. Kementerian Komunikasi dan Informatika. Peraturan Menteri Komunikasi dan Informatika Tentang Teknis Penyadapan Terhadap Informasi. Permenkominfo No. 11/PER/M.KOMINFO/02/2006. Uni Eropa. Data Protection Directive.
INTERNET “Behavioural Targeting.” https://en.wikipedia.org/wiki/Behavioral_targeting diunduh pada tanggal 30 Juni 2013. “Microsoft Service Agreement.” http://windows.microsoft.com/en-US/windowslive/microsoft-services-agreement diakses pada tanggal 23 Juni 2013. “Scroogled”. http://www.scroogled.com/ diunduh pada tanggal 20 Maret 2013. “Yahoo! Global Communications Additional Terms of Service for Yahoo! Mail and Yahoo! Messenger.” http://info.yahoo.com/legal/us/yahoo/mail/atos.html diakses pada tanggal 23 Juni 2013.
Tinjauan yuridis perlindungan..., Harzy Randhani Irdham, FH UI, 2013