Database pengaduan Komisi Perlindungan Anak Indonesia (KPAI) mengalami kebocoran setelah informasi hal tersebut tersebar di media sosial yang pertama kali dikabarkan oleh akun Twitter @txtdarionlshop. Akun tersebut menemukan salah satu akun bernama C77 menjual dua file database pengaduan KPAI dengan nama “Leaked Database KPAI” di situs Raidforums, yang diunggah pada 13 Oktober 2021.
KPAI mengakui dan sedang menyelidiki kebocoran data tersebut. Selain itu, KPAI juga telah melaporkan kepada Direktorat Tindak Pidana Siber Bareskrim Mabes Polri pada 18 Oktober. Selain itu, KPAI juga menyurati Badan Siber dan Sandi Negara dan Kementerian Komunikasi dan Informatika pada 19 dan 21 Oktober.
“Menindaklanjuti surat tersebut, Direktorat Siber Mabes Polri dan Badan Siber dan Sandi Negara telah berkoordinasi dengan KPAI untuk langkah–langkah selanjutnya dan KPAI telah melakukan mitigasi untuk menjaga keamanan data. Adanya kasus pencurian data ini tidak mengganggu layanan pengaduan KPAI. Layanan tetap berjalan dan aman,” jelas Ketua KPAI, Susanto dalam keterangan persnya, Jumat (22/10).
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar, menyayangkan kebocoran data pribadi pada lembaga negara tersebut. Dia menjelaskan berdasarkan sampel data yang diunggah, data yang diduga mengalami kebocoran meliputi 13 elemen data pribadi (nama, nomor identitas, email, telepon, pekerjaan, pendidikan, tempat dan tanggal lahir, alamat, kota, provinsi, dan kewarganegaraan), serta sejumlah data pribadi yang bersifat sensitif (agama dan jenis kelamin).
Dia menilai berulangnya insiden kebocoran data ini memperlihatkan lemahnya sistem perlindungan data pribadi dan mekanisme penegakannya. Bahkan akun C77 yang menjual database pengaduan KPAI, dalam unggahannya di Raidforums menyatakan, bahwa situs lembaga negara rentan diretas, terutama yang menggunakan domain ‘go.id’. (Baca: Urgensi Dunia Hukum Mengejar Kecepatan Transformasi Siber)
Padahal mengacu pada Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik, semestinya sistem elektronik pemerintah telah menerapkan sistem keamanan yang kuat, termasuk memastikan perlindungan data pribadi yang diprosesnya. “KPAI yang memiliki mandat untuk melakukan monitoring realisasi hak anak, semestinya bekerja berdasarkan pendekatan berbasis hak anak atau child rights-based approach, termasuk dalam melakukan pemrosesan data pribadi terkait anak,” terang Wahyudi.
Pendekatan tersebut merupakan kerangka komprehensif yang mengatur semua tindakan yang berkaitan dengan anak dan seluruh institusi HAM nasional. Monitoring dengan pendekatan berbasis hak anak bertumpu pada sejumlah prinsip utama, termasuk di dalamnya ketentuan jangan membahayakan atau do no harm, menghormati harkat dan martabat anak, kepentingan terbaik bagi anak, serta perlindungan dan kerahasiaan. Khusus terkait dengan pelaksanaan prinsip perlindungan dan kerahasiaan, seluruh Interaksi dengan anak-anak selama proses pemantauan, harus mencakup aspek perlindungan terhadap hak anak di dalamnya.