Data NPWP Jokowi Sekeluarga Diduga Bocor, Pakar: Saatnya Presiden Bentuk Komisi Pelindungan Data Pribadi

TEMPO.CO, Jakarta - Pemerintah kembali kebobolan. Lebih dari 6 juta info Nomor Pokok Wajib Pajak (NPWP) nan terdaftar di Direktorat Jenderal Pajak bocor dan diperjualbelikan. Hacker pembobol menyatakan info tersebut termasuk milik Presiden Jokowi, serta anaknya Gibran Rakabuming Raka dan Kaesang Pangarep, Menteri Keuangan Sri Mulyani Indrawati, hingga Menteri Perdagangan Zulkifli Hasan.

"Sebanyak 6 juta info NPWP diperjualbelikan dengan nilai sekitar 150 juta rupiah,” kata Pendiri Ethical Hacker Indonesia Teguh Aprianto melalui akun X miliknya pada Rabu, 18 September 2024.

Data nan bocor tersebut termasuk Nomor Identitas Kependudukan (NIK), NPWP, alamat, nomor telepon, alamat email.

Teguh menyertakan gambar berupa tangkapan layar di forum jual beli info hasil peretasan nan menunjukkan akun dengan nama Bjorka sebagai user menyatakan telah mengumpulkan lebih dari 6,6 juta info pribadi nan dijual di forum tersebut dengan harga  US$ 10 ribu alias setara dengan Rp 152,96 juta.

Informasi mengenai kebocoran info NPWP itu juga diunggah oleh perusahaan keamanan siber Falcon Feeds di platform X. Namun, dalam pernyataannya, mereka menyebut keaslian info itu belum terverifikasi.

Bocornya info dari tangan pemerintah ini sudah terjadi nan ke sekian kali. 

Pakar keamanan siber Dr. Pratama Persadha mengatakan, Presiden Jokowi perlu sigap membentuk badan nan menjadi Penyelenggara Pelindungan Data Pribadi selain untuk memenuhi ketentuan Undang-undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) nan mulai bertindak pada tanggal 18 Oktober 2024.

Sesuai petunjuk pasal 59 undang-undang tersebut, Komisi Penyelenggara Pelindungan Data Pribadi bekerja melaksanakan perumusan dan penetapan kebijakan dan strategi Pelindungan Data Pribadi, pengawasan terhadap penyelenggaraan Pelindungan Data Pribadi, dan penegakan norma administratif terhadap pelanggaran Undang-Undang ini.

Meskipun undang-undang nan disahkan 18 Oktober 2022 bakal bertindak hanya dua hari sebelum Jokowi lengser, dia tetap bertanggung jawab mengeluarkan Keppres turunan Undang-undang Perlindungan Data Pribadi termasuk pembentukan lembaga pengaturnya, kata Pratama seperti dikutip Antara, Kamis, 19 September 2024.

Iklan

"masih ada waktu bagi Presiden untuk membentuk lembaga Penyelenggara Pelindungan Data Pribadi, ialah sampai 17 Oktober mendatang," katanya.

Sebelumnya, Lembaga Riset Keamanan Siber CISSReC mengungkapkan beragam kejadian siber terjadi secara beruntun di Indonesia, mulai dari kegagalan sistem Pusat Dana Nasional Sementara (PDNS) lantaran serangan ransomware, Penjualan info pribadi dari Inafis oleh seorang peretas dengan nama MoonzHaxor di darkweb, peretasan Badan Intelijen Strategis (Bais), Kemenhub, KPU, hingga peretasan dan pencurian info pribadi dari 4,7 juta aparatur sipil negara (ASN) nan berasal dari Badan Kepegawaian Negara (BKN).

Maraknya kebocoran info nan terjadi ini, menurut Pratama nan merupakan pengajar pascasarjana pada Sekolah Tinggi Intelijen Negara (STIN), juga menyebabkan meningkatnya penipuan dengan memanfaatkan info pribadi nan bocor tersebut, penggunaan info rampasan untuk mengambil pinjol, serta menerima pengiriman iklan tentang rayuan bermain gambling online.

Apalagi, kata dia, pelindungan info pribadi juga masuk ke dalam pelindungan kewenangan asasi manusia lantaran merupakan petunjuk dari Pasal 28G Ayat (1) Undang-Undang Dasar (UUD) Tahun 1945 nan menyatakan bahwa setiap orang berkuasa atas perlindungan info pribadi, keluarga, kehormatan, martabat, dan kekayaan barang nan di bawah kekuasaannya, serta berkuasa atas rasa kondusif dan perlindungan dari ancaman ketakutan untuk melakukan alias tidak melakukan sesuatu nan merupakan kewenangan asasi.

Dengan tidak adanya Lembaga/Komisi PDP nan dapat memberikan hukuman tersebut, perusahaan alias organisasi nan mengalami kebocoran info pribadi seolah-olah abai terhadap kejadian keamanan siber, katanya.

Bahkan, mereka juga tidak mempublikasikan laporan mengenai dengan kejadian pencurian data. Padahal, perihal tersebut melanggar UU PDP Pasal 46 ayat (1). Dalam undang-undang ini menyebut bahwa dalam perihal terjadi kegagalan pelindungan info pribadi, pengendali info pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada subjek info pribadi dan lembaga.

Hanin Marwah berkontribusi dalam penulisan tulisan ini.

Pilihan Editor Gempa Bandung: 82 Cedera, 800 Bangunan Rusak 14 Jadwal Kereta Whoosh Dibatalkan