News Berita

Ketika Data Pribadi Jadi Komoditas yang Terus Dijarah

Bot penjual NIK dan foto KTP kini punya skema harga, top up QRIS, bahkan program referral. Data pribadi kita sudah jadi industri jasa, bukan sekadar bocor.

Ketika Data Pribadi Jadi Komoditas yang Terus Dijarah
Ilustrasi keamanan data pribadi. Foto: Shutterstock/SURI_STUDIO.
Ilustrasi keamanan data pribadi. Foto: Shutterstock/SURI_STUDIO.

Bayangkan sebuah bot di aplikasi percakapan yang bisa mengecek data siapa saja hanya dengan mengetik nomor induk kependudukan. Menunya rapi seperti aplikasi startup sungguhan: cek data BPJS satu token, cek pelat nomor kendaraan satu token, cek NIK plus foto KTP tiga token, lengkap dengan sistem top up otomatis lewat QRIS dan program referral untuk mengajak pengguna baru. Bot semacam itu bukan fiksi. Pertengahan Juli 2026, keberadaannya viral setelah Kombes Pol Dr. Manang Soebeti, S.I.K., M.Si., dalam akun Instagram terverifikasi miliknya mengunggah temuannya tersebut, memicu belasan ribu tanda suka dan keresahan warganet yang baru sadar betapa mudahnya data pribadi mereka bocor dan diperjualbelikan.

Kekhawatiran sesungguhnya dari kasus ini bukan pada datanya, melainkan pada bentuk bisnisnya. Selama ini kebocoran data pribadi di Indonesia sebagai peristiwa: sekali bocor, data itu dijual putus di forum gelap, lalu selesai. Dukcapil mengalami kebocoran 337 juta data kependudukan pada 2023. Pusat Data Nasional Sementara lumpuh diserang ransomware Brain Cipher pada 2024.

Kementerian Komunikasi dan Digital sendiri kebobolan data pelamar kerja pada Januari 2026. Namun bot semacam ini menunjukkan sesuatu yang lebih mengerikan: data curian dari peristiwa-peristiwa itu tidak berhenti diperjualbelikan sekali, ia diolah ulang menjadi layanan berlangganan yang bisa diakses kapan saja, oleh siapa saja, dengan pengalaman pengguna yang dirancang serapi aplikasi resmi.

Dengan kata lain, kejahatan data pribadi di Indonesia sudah naik kelas dari sekadar kebocoran data menjadi industri jasa. Persediaan datanya nyaris tak terbatas, mengingat Indonesia Cyber Security Forum mencatat lebih dari 2,3 miliar data pribadi diduga milik warga negara Indonesia telah beredar di forum gelap dalam tiga tahun terakhir. Model bisnis semacam inilah yang membuat siapa pun dengan sedikit kemampuan teknis bisa membuka "toko" data instan seperti EDABU BPJS, lengkap dengan skema harga bertingkat dan program afiliasi.

Ini mustahil terjadi seandainya data curian hanya beredar mentah dan sulit diakses orang awam. Semakin matang model bisnisnya, semakin kecil pula kemungkinan pelakunya untuk berhenti: satu bot yang ditutup bisa digantikan dalam hitungan jam memakai cadangan data yang sama, berbeda dari kebocoran konvensional yang sifatnya sekali habis dan butuh insiden baru untuk terulang.

Praktik ini jelas melanggar UU No. 27/2022 tentang Pelindungan Data Pribadi, yang mengancam pemrosesan data tanpa persetujuan dengan pidana penjara hingga enam tahun. Namun pertanyaan yang lebih relevan bukan soal ancaman hukumnya, melainkan siapa yang punya wewenang menindaknya. Jawabannya nyaris selalu sama: tidak ada. Undang-Undang Perlindungan Data Pribadi (UU PDP) berlaku penuh sejak 17 Oktober 2024, tetapi hingga pertengahan 2026 lembaga pengawas independen yang seharusnya menjadi tulang punggung penegakan hukum atas insiden kebocoran data pribadi belum juga terbentuk. Tanpa lembaga itu, tidak ada otoritas yang bisa memerintahkan penutupan bot semacam ini, menyita hasil kejahatannya, atau menuntut operatornya ke pengadilan. Ujungnya, hanya keributan sesaat di media sosial.

Kekosongan ini berjalan seiring lemahnya kesadaran publik. Skor keamanan digital dalam Indeks Literasi Digital Indonesia hanya 3,12 dari skala 5, terendah di antara semua indikator literasi digital, dan kerugian dari kejahatan siber yang tercatat Indonesia Anti-Scam Centre serta Satuan Tugas Pemberantasan Aktivitas Keuangan Ilegal (Satgas PASTI) sudah mencapai Rp9,5 triliun hingga April 2026. Kombinasi pasokan data yang melimpah, model bisnis yang matang, dan pengawasan yang kosong inilah yang membuat "toko" data pribadi semacam ini tumbuh subur.

Sayangnya, kebijakan pemerintah belum bergerak searah dengan tren yang terus tumbuh ini. Sejak 1 Juli 2026, registrasi kartu SIM baru mewajibkan verifikasi wajah. Artinya, makin banyak data sensitif terkumpul di satu tempat, sementara pengawasannya belum memadai. Banyak pihak berharap solusinya adalah segera membentuk lembaga pengawas independen. Itu penting, tapi prosesnya sudah bertahun-tahun tak jelas kapan rampung.

Ada cara yang lebih cepat lewat regulator yang sudah ada sekarang: Bank Indonesia mengawasi penyedia QRIS yang memproses top up token bot semacam ini, sementara Kementerian Komunikasi dan Digital berwenang atas penyelenggara sistem elektronik seperti platform aplikasi percakapan yang menampungnya. Menutup satu bot saja percuma selama jalur pembayaran dan platformnya masih dibiarkan terbuka. Taruhannya kini makin besar: bot berikutnya mungkin tidak lagi menjual NIK dan foto KTP kita, melainkan wajah kita sendiri.

Buka sumber asli