Data pribadiData pribadi, juga dikenal sebagai informasi pribadi atau informasi pengenal pribadi (dalam bahasa inggris personally identifiable informatian disingkat PII),[1][2][3] adalah informasi apa pun yang terkait dengan orang yang dapat diidentifikasi. Singkatan PII dipahami secara luas di Amerika Serikat, tetapi frasa yang disingkat memiliki empat varian umum berdasarkan personal atau personally, dan identifiable atau identifying. Tidak semuanya sama dan setara, maka untuk tujuan hukum definisi yang sangat bervariasi tergantung pada yurisdiksi dan tujuan.[a] Di bawah aturan perlindungan data Uni Eropa dan lainnya, yang terutama berpusat pada Peraturan Perlindungan Data Umum (GDPR), istilah "data pribadi" secara signifikan lebih luas, dan menentukan cakupan dimana peraturan tersebut akan digunakan peraturan.[4] Publikasi spesial National Institute of Standards and Technology 800-122[5] mendefinisikan informasi pengenal pribadi sebagai "setiap informasi tentang individu yang dikelola oleh suatu lembaga, termasuk (1) informasi apa pun yang dapat digunakan untuk membedakan atau melacak identitas individu, seperti nama, nomor jaminan sosial, tanggal dan tempat lahir, nama gadis ibu, atau catatan biometrik; dan (2) informasi lain apa pun yang terkait atau dapat dikaitkan dengan individu, seperti informasi medis, pendidikan, keuangan, dan pekerjaan." Jadi, misalnya, alamat IP pengguna tidak diklasifikasikan sebagai PII sendiri, tetapi diklasifikasikan sebagai PII tertaut. Namun, di Uni Eropa, alamat IP pelanggan Internet dapat digolongkan sebagai data pribadi.[6] Data pribadi didefinisikan melalui GDPR sebagai "Informasi apapun yang terhubung atau dapat dihubungkan ke orang".[7][5] Konsep PII telah menjadi hal yang lazim dikenal, karena teknologi informasi dan Internet telah mempermudah pengumpulan PII maupun identas itu sendiri yang mengarah ke pengerukan keuntungan dalam mengumpulkan dan menjualnya kembali secara ilegal. PII juga dapat dimanfaatkan oleh penjahat untuk menguntit atau mencuri identitas seseorang, atau untuk perencanaan tindak kriminal. Sebagai respon terhadap ancaman ini, banyak kebijakan privasi situs web yang secara khusus membahas pengumpulan PII,[8] dan pembuat undang-undang seperti Parlemen Eropa telah memberlakukan serangkaian undang-undang seperti Peraturan Perlindungan Data Umum (GDPR) untuk membatasi distribusi dan aksesibilitas PII itu sendiri.[9] Kebingungan muncul seputar apakah PII berarti informasi yang dapat diidentifikasi (yaitu, dapat dikaitkan dengan seseorang) atau mengidentifikasi (yaitu, terkait secara unik dengan seseorang, sehingga PII dapat mengidentifikasi mereka dan menjadi identitas kepada mereka). Dalam aturan data privasi preskriptif seperti HIPAA, item-item PII telah ditentukan secara khusus. Dalam aturan perlindungan data yang lebih luas seperti GDPR, data pribadi didefinisikan dengan cara berbasis prinsip non-preskriptif. Informasi yang mungkin tidak dianggap sebagai PII menurut HIPAA namun dapat menjadi data pribadi untuk dalam peraturan GDPR. Untuk alasan ini, "PII" biasanya tidak digunakan lagi secara internasional. Jadi batasan berlakunya pemahaman PII hanya berbatas pada pemahaman serta yurisdiksi aturan tersebut. DefinisiPemerintah AS menggunakan istilah "identifikasi pribadi" pada tahun 2007 dalam sebuah memorandum dari Kantor Eksekutif Presiden, Kantor Manajemen dan Anggaran[10] dan penggunaan itu sekarang muncul dalam standar AS seperti Panduan NIST untuk Melindungi Kerahasiaan Informasi Identifikasi Pribadi (SP 800-122).[11] Konsep kombinasi informasi yang diberikan dalam definisi SB1386 adalah kunci untuk membedakan PII dengan benar, seperti yang didefinisikan oleh Kantor Manajemen dan anggaran AS, dari "informasi pribadi". Informasi, seperti nama, yang tidak memiliki konteks tidak dapat dikatakan sebagai "informasi pribadi" pada SB1386, tetapi harus dikatakan hanya sebatas PII yang bisa saja mengakses ke identitas itu sendiri. Misalnya, nama Riyadi tidak memiliki arti dan oleh karena itu bukan "informasi pribadi" SB1386, melainkan PII. Nomor Induk Kependudukan (NIK) tanpa nama atau identitas terkait lainnya atau informasi konteks bukanlah "informasi pribadi" SB1386, tetapi adalah PII. Misalnya, NIK 078-05-1120 dengan sendirinya adalah PII, tetapi bukan "informasi pribadi" SB1386. Namun kombinasi nama yang valid dengan NIK yang benar adalah "informasi pribadi" SB1386.[12] Kombinasi nama dengan konteks juga dapat dianggap sebagai PII; misalnya, jika nama seseorang ada dalam daftar pasien Covid-19. Namun, nama tersebut tidak perlu digabungkan dengan konteks untuk menjadi PII. Alasan untuk perbedaan ini adalah bahwa informasi kecil seperti nama, meskipun mungkin tidak cukup untuk dilakukan identifikasi, nantinya dapat digabungkan dengan informasi lain untuk mengidentifikasi orang dan membuat mereka dalam bahaya. Jadi tidak semua penyandingan antara nama dan konteks selalu diartikan sebagai data pribadi. Jika identitas yang disandingan tersebut tidak menuju ke sebuah identitas individu secara langsung, bisa saja tidak dimaknai sebagai data pribadi tapi sebatas informasi pengenal pribadi. Dalam slang internet dan peretas, praktik menemukan dan merilis informasi semacam itu disebut " doxing ".[13][14] Kadang-kadang digunakan untuk menghalangi kolaborasi dengan penegak hukum.[15] Kadang-kadang, doxing dapat memicu penangkapan, terutama jika lembaga penegak hukum mencurigai bahwa individu yang "didoxing" mungkin panik dan menghilang.[16] Adapun ASEAN dalam ASEAN Declaration of Human Right (2012) pasal 21 menyatakan setiap orang berhak mendapat perlindungan hukum atas serangan privasi terhadap data pribadi. Aturan ini juga menggaris bawahi serangan terhadap kehormatan dan reputasi dalam menerjemahkan serangan terhadap data pribadi. Secara mendasar Indonesia sendiri juga mengatur warga negara agar memiliki rasa kemanusiaan yang adil dan beradab, sehingga sebetulnya pancasila juga sudah mengatur hak atas warga negaranya[17] Indonesia sendiri melalui Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP) mendefinisikannya sebagai setiap data tentang seseorang baik yang teridentifikasi dan atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik.[18] Data pribadi sendiri dibagi menjadi dua jenis. Pertama, data pribadi yang bersifat umum, seperti nama lengkap, jenis kelamin, kewarganegaraan, agama, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang. Kedua, data pribadi yang bersifat spesifik, meliputi data dan informasi kesehatan, data biometrik, data genetika, kehidupan/orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.[19] Aturan data pribadiAustraliaDi Australia, Privacy Act 1988 berkaitan dengan perlindungan privasi individu, menggunakan Prinsip Privasi OECD dari tahun 1980-an untuk menetapkan model peraturan berbasis prinsip yang luas (tidak seperti di AS, di mana cakupan umumnya tidak didasarkan pada prinsip-prinsip luas tetapi pada teknologi tertentu, praktik bisnis atau item data). Bagian 6 memiliki definisi yang relevan.[20] Detail penting adalah bahwa definisi 'informasi pribadi' juga berlaku di mana individu dapat diidentifikasi secara tidak langsung:
Secara teknis dijelaskan beberapa informasi yang diidentifikasi adalah[20]:
Keamanan pribadiPerlindungan data pribadi menjadi isu krusial saat ini. Kebocoran data tidak hanya disebabkan oleh peretas yang cerdas, tetapi karena pengamanan yang lemah. Penyalahgunaan data pribadi tidak hanya berpotensi merugikan seseorang karena tindak pencurian data tersebut bisa membahayakan keamanan suatu negara.[21] Setiap orang di sisi lain pada dasarnya berhak memperoleh perlindungan atas data pribadi yang erat kaitannya dengan kehidupan privasi atau personal yang perlu dirahasiakan.[22] Hal ini disebabkan karena semua pihak, termasuk masyarakat, menginginkan agar data pribadinya aman, tidak diperjualbelikan, dan disalahgunakan oleh beberapa pihak yang tidak bertanggung jawab.[23] Ada lima alasan penting untuk menjaga data pribadi karena kasus intimidasi daring berbasis jenis kelamin, penyalahgunaan data pribadi, penipuan, pencemaran nama baik, dan kendali atas data pribadi.[24] Di Indonesia tanggung jawab penggunaan data pribadi secara terpusat dikontrol oleh Kementerian Komunikasi dan Informasi, tetapi tanggungjawab data pribadi dalam hal kemanan siber menjadi kewenangan instansi Polri, BSSN, BIN dan Kementerian Pertahanan. Keempat lembaga ini yang dapat melakukan antisipasi dan penindakan terhadap penyalahgunaan keamanan pribadi.[17] Referensi
|