Urgensi Produk Hukum Jual Beli Data Nasabah

Akhir-akhir ini sering terdengar praktik bisnis jual beli data Nasabah yang dapat meraih keuntungan hingga miliaran rupiah. Data nasabah ini biasanya dimanfaatkan oleh telemarketer atau penjahat demi mencapai targetnya. Bagi telemarekter misalnya pada perusahaan asuransi atau bank, ia akan menggunakan data nasabah untuk mempromosikan produknya. Sedangkan bagi penjahat, ia akan menyalahgunakan data nasabah untuk penipuan atau pembobolan.

Jual beli data Nasabah ini tidak hanya dilakukan secara offline, melainkan juga dijual di pasar daring. Data yang biasanya diperjualbelikan antara lain nama, nomor ponsel, alamat, tanggal lahir, nomor kartu kredit hingga kemampuan finansial nasabah. Ironisnya lagi, Penulis menemukan daftar harga untuk jumlah nasabah yang diperjualbelikan dengan harga yang cukup miring. Data nasabah ini dalam digital economy memang sangat bernilai sehingga data tersebut harus dilindungi oleh negara.

Hingga saat ini, praktik jual beli data nasabah belum bisa disebut sebagai kejahatan karena tidak adanya aturan yang mengaturnya sebagaimana Asas Legalitas yang dianut dalam Kitab Undang-Undang Hukum Pidana ("KUHP") kita. 

Adapun aturan yang mungkin dapat digunakan adalah Pasal 378 KUHP tentang Penipuan. Namun, jual beli data ini tidak hanya bertujuan untuk menipu, melainkan juga untuk mengajak atau mempromosikan seseorang untuk mendaftar pada suatu produk yang ditawarkan oleh Pembeli data. 

Selain itu, penipuan adalah delik materiil dimana tindak pidana dianggap terjadi apabila akibat yang dilarang telah terjadi. Apabila mendasarkan pada kejahatan penipuan, maka hanya pembeli data yang dapat dipidana. Sedangkan yang menjadi perhatian publik di sini adalah untuk mencegah terjadinya praktik jual beli data, sehingga tidak hanya pembeli data yang dapat dihukum tetapi juga penjual data.

Jual beli data nasabah ini harus disusun sebagai delik formil, dimana tindak pidana dianggap terjadi apabila telah memenuhi unsur-unsur yang dilarang dalam suatu peraturan. 

Pada pencurian misalnya, asal semua unsur dalam Pasal 362 KUHP terpenuhi, tindak pidana sudah terjadi dan tidak dipersoalkan lagi, apakah orang yang merasakan kecurian itu merasa rugi atau tidak, merasa terancam kehidupannya atau tidak.

Produk hukum yang ada saat ini yaitu Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi dalam Sistem Elektronik ("Permen 20/2016") dan Surat Edaran  Otoritas Jasa Keuangan Nomor 14/SEOJK.07/2014 Tentang Kerahasiaan dan Keamanan Data dan/atau Informasi Pribadi Konsumen ("SEOJK 14/2014"). Kedua produk hukum tersebut masing-masing belum cukup untuk memberantas praktik jual beli data. Yang pertama, Peraturan Menteri tidak dapat mencantumkan ketentuan pidana dan yang kedua, Surat Edaran tersebut keberlakuannya tidak mengikat namun hanya sebagai pedoman atau anjuran.

Mengenai Permen 20/2016, Penulis merasa peraturan tersebut sangat dipaksakan karena materi muatannya tidak sesuai dengan standar perumusuan peraturan perundang-undangan yang baik. 

Pertama, sanksi adminstratif dalam Pasal 36 ayat (1) menyebutkan "... tanpa hak atau tidak sesuai dengan ketentuan dalam Peraturan Menteri ini atau peraturan perundang-undangan lainnya ...". Frasa yang dicetak tebal menimbulkan ketidakpastian hukum karena tidak menyebutkan secara jelas peraturan apa yang dimaksud. Perlu diketahui pula bahwa Indonesia mengenal hierarki peraturan perundang-undangan mulai dari Undang-Undang Dasar Negara Republik Indonesia 1945 hingga Peraturan Daerah. 

Kedua, Pasal 36 ayat (2) menyebutkan bahwa tata cara pelaksanaan sanksi administratif diatur dengan Peraturan Menteri. Bagaimana mungkin suatu Peraturan yang tingkatannya sama dalam hierarki peraturan perundang-undangan dapat menunjuknya kembali untuk menyusun peraturan pelaksana atau hal yang lebih teknis. Dengan kata lain, Menteri Komunikasi dan Informatika dalam Permen 20/2016 menunjuk lembaganya sendiri untuk menetapkan Peraturan Menteri yang baru. Hal mana bertentangan dengan Undang-Undang Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-Undangan.

Selanjutnya, adapun larangan mengenai pemberian data nasabah yang dimuat dalam SEOJK 14/2014 bersumber dari Pasal 31 ayat (1) Peraturan Otoritas Jasa Keuangan Nomor  1 Tahun 2013 Tentang Perlindungan Konsumen Sektor Jasa Keuangan ("POJK 1/2013") yang berbunyi "Pelaku Usaha Jasa Keuangan dilarang dengan cara apapun, memberikan data dan/atau informasi mengenai Konsumennya kepada pihak ketiga."

Pengaturan tersebut tidak berhenti sampai pada larangan memberikan data dan/atau informasi namun juga menyertai sanksi administratif apabila dilakukan oleh Pelaku Usaha Jasa Keuangan sebagaimana diatur dalam Pasal 53 POJK 1/2013. Namun,  tetap saja tidak menjadikan praktik jual beli data nasabah sebagai kejahatan karena ancaman sanksi tersebut hanyalah administratif dan diberikan oleh Otoritas Jasa Keuangan dengan memperhatikan aspek pembinaan terhadap pihak yang akan dikenakan sanksi. Dengan kata lain, sanksi tersebut tidak serta merta dapat diterapkan kepada penjual data nasabah.

Masalah selanjutnya adalah larangan tersebut ditujukan kepada Pelaku Usaha Jasa Keuangan. Sehingga perlu dibuktikan apakah tindakan karyawan Pelaku Usaha Jasa Keuangan (bank) yang menjual data nasabah dapat diatribusikan atau dianggap mewakili Pelaku Usaha Jasa Keuangan (bank) sebagai pihak yang diatur dalam Pasal 31 ayat (1) POJK 1/2013 di atas. Mungkin saja terjadi suatu karyawan bank yang menjual data nasabah tanpa sepengetahuan bank sehingga Peraturan tersebut jelas tidak memadai.

Oleh karena itu, Penulis berharap Pemerintah segera mengeluarkan produk hukum khususnya dalam bentuk Undang-Undang yang mampu mengatasi keresahan masyarakat mengenai praktik jual beli data nasabah. Produk hukum mana harus memperhatikan pihak terkait seperti Nasabah, Pelaku Usaha Jasa keuangan, Otoritas Jasa Keuangan, Bank Indonesia bahkan Kepolisian Negara Republik Indonesia. 

Terutama apabila hendak menyusun praktik jual beli data sebagai delik formil, sertakan pula wewenang Kepolisian Negara Republik Indonesia untuk menuntut perkara jual beli data nasabah tanpa adanya aduan dari korban.

Penulis juga hendak mengkritik SEOJK 14/2014 yang membebaskan Pelaku Usaha Jasa Keuangan yang memberikan data nasabah (konsumen) kepada Pihak Ketiga sepanjang nasabah (konsumen) memberikan persetujuan tertulis. 

Peraturan tersebut dapat  diibaratkan seperti seseorang diperbolehkan mencuri sepanjang korban menyetujui. Sangat tidak masuk akal! Dengan demikian, sampailah pada kesimpulan bahwa jual beli data nasabah ini harus diatur sebagai delik formil dan delik biasa bukan delik aduan.