Pendahuluan
Kebocoran data pribadi bukan lagi peristiwa luar biasa dalam ekosistem digital, melainkan telah menjadi fenomena berulang, baik di sektor swasta maupun lembaga publik. Setiap kali dugaan kebocoran mencuat, publik disuguhkan angka-angka besar, pernyataan klarifikasi, dan janji investigasi. Namun di balik dinamika tersebut, terdapat pertanyaan hukum yang lebih mendasar: ketika warga menggugat akibat kebocoran data, siapa yang memikul beban pembuktian?
Pertanyaan ini tampak sederhana, tetapi implikasinya mendalam. Hukum pembuktian tidak pernah sepenuhnya netral karena menentukan siapa yang harus menjelaskan, siapa yang harus membuktikan, dan siapa yang menanggung risiko apabila fakta tidak sepenuhnya terang. Dalam perkara kebocoran data, konfigurasi pembuktian yang konvensional berpotensi menempatkan warga pada posisi yang secara struktural lebih lemah. Di sinilah isu kebocoran data berkelindan dengan keadilan prosedural.
Kebocoran Data sebagai Ketimpangan Informasi
Secara struktural, perkara kebocoran data selalu ditandai oleh ketimpangan informasi. Pengendali data dan penyelenggara sistem elektronik memiliki kendali atas arsitektur sistem, standar keamanan, log aktivitas, laporan audit, dan kebijakan mitigasi risiko. Sebaliknya, subjek data hanya mengetahui bahwa datanya diduga bocor atau beredar tanpa izin.
Dalam sejumlah kasus besar di Indonesia, baik yang melibatkan platform digital, layanan publik, maupun basis data administrasi, narasi publik umumnya berhenti pada pengumuman resmi dan penyelidikan internal. Detail teknis yang paling menentukan, seperti sumber kerentanan, metode penetrasi, atau kegagalan pengamanan tertentu, jarang sepenuhnya terbuka. Situasi ini memperlihatkan apa yang dalam teori pembuktian dikenal sebagai asymmetry of information. Contohnya terlihat jelas pada kasus-kasus besar beberapa tahun terakhir. Pada Mei 2020, Tokopedia menyatakan tengah menyelidiki dugaan upaya pencurian data pengguna setelah muncul klaim kebocoran dalam skala besar, yang ramai diberitakan termasuk klaim data puluhan juta akun (Reuters, 2020).
Pada 2021, dugaan kebocoran data peserta BPJS Kesehatan memicu perhatian luas, termasuk pernyataan bahwa BSSN melakukan investigasi dan masih menunggu hasil penyelidikan/verifikasi. Dalam narasi publik, warga dihadapkan pada angka dan fragmen informasi, sementara detail paling penting, dari celah, vektor serangan, hingga kontrol keamanan yang gagal, tetap berada dalam ruang tertutup institusi (Tempo, 2021).
Contoh lain muncul pada isu dugaan kebocoran data pemilih. KPU merilis siaran pers yang menyatakan mengetahui adanya informasi dugaan penjualan data yang diduga milik KPU dan menyampaikan langkah-langkah tindak lanjut. Sekali lagi, publik menerima pernyataan institusional, bukan akses terhadap bukti teknis yang memadai untuk menguji kesalahan sistem (KPU, 2023).
Tiga contoh itu menunjukkan pola yang sama, begitu kebocoran terjadi, warga sering harus bergerak di atas kabut. Dan kabut itu bukan karena warga malas, melainkan karena desain sistem, yang menguasai informasi adalah pihak yang potensial bertanggung jawab. Dalam teori privasi modern, ketimpangan ini bukan efek samping, melainkan karakter bawaan ekosistem data yang membuat kerugian sulit dibuktikan dan karenanya mudah dinormalisasi (Solove, 2007).
Ketika sengketa masuk ke pengadilan, ketimpangan ini tidak serta-merta hilang. Hukum acara perdata pada prinsipnya menempatkan beban pembuktian pada pihak yang mendalilkan. Artinya, warga yang menggugat harus membuktikan adanya perbuatan melawan hukum, kerugian, dan hubungan sebab-akibat. Namun bagaimana mungkin warga membuktikan kegagalan sistem keamanan yang sepenuhnya berada dalam penguasaan tergugat?
Distribusi beban pembuktian dalam situasi demikian bukan hanya persoalan teknis prosedural. Ia mencerminkan pilihan normatif tentang siapa yang harus menanggung risiko ketidakjelasan fakta. Jika risiko itu selalu dibebankan kepada warga, maka perlindungan data pribadi berpotensi menjadi hak yang secara formal diakui, tetapi secara praktis sulit ditegakkan.
Kerangka Normatif dan Tantangan Implementasi
Hukum Indonesia sebenarnya telah memberikan fondasi normatif yang cukup kuat. Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik mewajibkan Penyelenggara Sistem Elektronik untuk memberitahukan kepada pemilik data apabila terjadi kegagalan pelindungan data pribadi. Ketentuan ini menegaskan bahwa kebocoran data bukan sekadar insiden teknis, tetapi peristiwa hukum yang menimbulkan kewajiban.
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi kemudian mempertegas prinsip keamanan, akuntabilitas, dan tanggung jawab pengendali data. Pengendali tidak hanya diwajibkan melindungi data, tetapi juga bertanggung jawab atas pelanggaran yang menimbulkan kerugian. Dalam paradigma perlindungan data modern, prinsip akuntabilitas berarti bahwa pengendali harus mampu menunjukkan kepatuhan terhadap kewajiban hukum, bukan sekadar menyatakan telah patuh.
Namun, antara norma dan praktik pembuktian terdapat jarak yang tidak kecil. Untuk memperoleh ganti rugi, warga tetap harus membuktikan adanya kelalaian atau pelanggaran kewajiban. Pembuktian ini sering kali menuntut pemahaman teknis yang rumit terkait dengan standar enkripsi, sistem firewall, manajemen akses, atau prosedur audit internal. Tanpa akses terhadap dokumen dan sistem tersebut, warga berhadapan dengan tembok informasi.
Dengan demikian, persoalan kebocoran data bukan hanya soal apakah norma sudah cukup, tetapi apakah mekanisme pembuktian memungkinkan norma itu bekerja secara efektif.
Redistribusi Beban Pembuktian yang Proporsional
Apakah solusi atas persoalan ini adalah pembalikan total beban pembuktian? Tidak selalu. Pembalikan total berpotensi mengganggu keseimbangan sistem hukum. Namun yang dapat dipertimbangkan adalah redistribusi yang proporsional.
Salah satu pendekatan yang berkembang dalam praktik komparatif adalah model prima facie liability. Dalam pendekatan ini, apabila penggugat dapat menunjukkan bahwa data berada dalam penguasaan tergugat dan telah terjadi insiden kebocoran yang terverifikasi, maka timbul asumsi awal adanya kegagalan perlindungan. Beban kemudian bergeser kepada pengendali data untuk membuktikan bahwa ia telah menerapkan standar keamanan yang memadai dan tidak lalai.
Pendekatan ini tidak menghilangkan kewajiban penggugat untuk menunjukkan kerugian atau dampak, tetapi menempatkan kewajiban menjelaskan sistem dan prosedur pengamanan pada pihak yang paling mengetahui. Redistribusi semacam ini sejalan dengan prinsip akuntabilitas dalam perlindungan data dan mencerminkan keseimbangan yang lebih realistis terhadap ketimpangan informasi.
Dalam konteks Indonesia, pendekatan ini dapat dikembangkan melalui interpretasi progresif terhadap asas keadilan, itikad baik, dan tanggung jawab profesional. Pengadilan dapat mempertimbangkan bahwa ketika kebocoran telah diakui atau terindikasi kuat, pengendali data memiliki kewajiban untuk membuka dan menjelaskan standar keamanan yang diterapkan.
Equality of Arms dalam Sengketa Digital
Isu kebocoran data juga berkaitan erat dengan asas equality of arms. Asas ini menuntut agar para pihak dalam proses peradilan memiliki kesempatan yang seimbang untuk mengajukan dan membantah bukti. Kesetaraan ini bukan sekadar formalitas bahwa kedua pihak dapat berbicara, tetapi mencakup akses substantif terhadap sarana pembuktian.
Dalam sengketa kebocoran data, kesetaraan dapat terganggu karena satu pihak menguasai seluruh informasi teknis. Jika mekanisme pembuktian tidak memberikan ruang bagi pengungkapan dokumen teknis, audit keamanan, atau penggunaan ahli independen, maka kesetaraan prosedural menjadi ilusi.
Penerapan asas equality of arms dalam perkara kebocoran data berarti memastikan bahwa ketimpangan informasi tidak berubah menjadi ketimpangan keadilan. Pengadilan dapat berperan aktif dalam mengelola pembuktian, misalnya dengan memerintahkan pengungkapan dokumen tertentu atau menunjuk ahli independen. Dengan cara ini, proses peradilan tetap berada dalam koridor imparsialitas, namun tidak abai terhadap realitas struktural yang timpang.
Kebutuhan Pedoman Pembuktian oleh Mahkamah Agung
Perkembangan jenis sengketa yang semakin teknis menuntut respons institusional. Dalam konteks kebocoran data, Mahkamah Agung dapat mempertimbangkan penyusunan pedoman pembuktian yang memberikan arah interpretatif bagi hakim dalam menangani perkara serupa.
Pedoman tersebut tidak harus mengubah hukum acara secara fundamental. Ia dapat memuat prinsip-prinsip umum: pentingnya menilai ketimpangan informasi, kemungkinan penerapan asumsi awal ketika kebocoran terverifikasi, standar minimal pengungkapan oleh pengendali data, serta parameter proporsionalitas dalam menilai tanggung jawab.
Keberadaan pedoman akan memperkuat konsistensi dan prediktabilitas putusan, sekaligus menjaga agar pendekatan peradilan terhadap kebocoran data tidak terfragmentasi. Dalam sistem hukum yang tengah bertransformasi digital, pedoman semacam ini menjadi bagian dari adaptasi kelembagaan terhadap jenis sengketa baru.
Penutup
Kebocoran data menguji tidak hanya keamanan sistem, tetapi juga keadilan prosedural dalam sistem hukum. Jika warga selalu dibebani untuk membuktikan kegagalan sistem yang tidak pernah ia kendalikan, maka perlindungan data akan terasa normatif dan jauh dari praktik.
Distribusi beban pembuktian yang lebih proporsional, penerapan asas equality of arms, serta kemungkinan penyusunan pedoman pembuktian oleh Mahkamah Agung merupakan langkah-langkah yang dapat memperkuat legitimasi peradilan di era digital.
Pada akhirnya, negara hukum digital menuntut kesesuaian antara distribusi kuasa informasi dan distribusi tanggung jawab pembuktian. Perlindungan data bukan hanya tentang hak untuk dilindungi, tetapi tentang keberanian sistem hukum untuk memastikan bahwa yang memegang kendali atas sistem juga memikul beban menjelaskannya ketika sistem itu gagal.
Daftar Bacaan
Alexy, R. (2002). A Theory of Constitutional Rights. Oxford University Press.
Hijmans, H. (2016). The European Union as Guardian of Internet Privacy. Springer.
Solove, D. J. (2007). The Future of Reputation: Gossip, Rumor, and Privacy on the Internet. Yale University Press.
Indonesia. (2019). PP Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Indonesia. (2022). UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi.
Reuters. (2020). Tokopedia menyelidiki dugaan kebocoran data pengguna.
Tempo. (2021). Pernyataan BSSN terkait investigasi dugaan kebocoran data BPJS Kesehatan.
KPU. (2023). Siaran pers terkait informasi dugaan kebocoran data milik KPU.
Court of Justice of the European Union (CJEU). (2024). Putusan terkait Art. 82 GDPR (tanggung jawab/ekskulpasi pengendali)
Untuk Mendapatkan Berita Terbaru Suara BSDK, Follow Channel WhatsApp: SUARABSDKMARI