Tanggung jawab apa yang dipikul bisnis saat mengungkapkan informasi pelanggan?

Informasi jutaan pelanggan bocor

Kementerian Keamanan Publik telah menunjukkan serangkaian perusahaan teknologi yang telah membocorkan informasi pelanggan atau perusahaan pialang layanan taksi yang telah menggunakan informasi penumpang yang bocor untuk menawarkan layanan melalui pesan SMS... Kementerian Keamanan Publik juga menyatakan bahwa situasi kebocoran dan penjualan data pribadi saat ini tersebar luas, bersifat publik, dan semakin rumit. Lebih serius lagi, banyak data yang dijual secara publik dalam jangka waktu yang lama, dalam jumlah besar, di dunia maya. Jual beli ini tidak hanya terjadi secara individu, antar individu, tetapi juga melibatkan perusahaan, organisasi, dan badan usaha.

Pada tahun 2018, forum teknologi melaporkan kebocoran informasi tentang Thegioididong.com dan peretas yang memperoleh informasi penting seperti alamat email, riwayat transaksi, dan bahkan nomor kartu, yang membuat jutaan pelanggan resah. The Gioi Di Dong segera mengeluarkan siaran pers yang mengonfirmasi bahwa informasi tersebut palsu, sistem masih aman, beroperasi normal, dan tidak terpengaruh. Setelah itu, semuanya berangsur-angsur tenang.

Pada April 2018, VNG mencatat bahwa 160 juta akun Zing ID berisiko bocor dan dapat memengaruhi sebagian data pelanggan gim perusahaan. Perusahaan menyatakan telah segera mengambil langkah-langkah untuk menangani, mencegah intrusi, dan membatasi jumlah pengguna yang terdampak insiden tersebut melalui langkah-langkah teknis. Namun, VNG mengakui bahwa sejumlah pengguna telah mengalami kebocoran informasi, tetapi "cakupan pengguna yang sebenarnya terdampak insiden ini tidak besar, terkonsentrasi pada pelanggan gim dan tidak memengaruhi produk VNG lainnya", dan berjanji untuk selalu memastikan hak dan keamanan pelanggan, serta akan menyelesaikan secara tuntas setiap masalah yang timbul bagi pelanggan...

Menurut Bapak Vo Do Thang, Pusat Keamanan Siber Athena, untuk kasus-kasus spesifik seperti yang disebutkan oleh Kementerian Keamanan Publik, investigasi harus dilakukan untuk mengetahui apakah sistem perusahaan diserang atau apakah karyawan perusahaan mencuri dan membocorkannya. Namun, apa pun alasannya, kebocoran data menandakan adanya kerentanan pada sistem perusahaan. Kerentanan ini bisa bersifat teknis maupun manusiawi. Oleh karena itu, memastikan keamanan dan keselamatan jaringan secara umum atau melindungi data pribadi pelanggan harus dipantau dan diterapkan secara berkala 24/24, 365 hari setahun tanpa kelalaian. Karena tidak ada yang berani menjamin bahwa sistem mereka selalu aman karena peretas dapat menyerang kapan saja. Belum lagi situasi di mana karyawan perusahaan sendirilah yang mencuri data pelanggan untuk dijual kepada pihak luar...

Dunia memiliki hukuman yang berat, tetapi Vietnam memiliki sedikit sanksi.

Baru-baru ini, terdapat serangkaian kasus kebocoran informasi pelanggan, tetapi hampir tidak ada unit yang dihukum atau diberi sanksi. Sementara itu, negara-negara di seluruh dunia telah memberlakukan sanksi berat atas perilaku ini. Misalnya, pada Juli 2019, Komisi Perdagangan Federal AS memutuskan untuk mendenda Facebook sebesar 5 miliar dolar AS setelah data pribadi 87 juta pengguna jejaring sosial ini diakses dan digunakan secara ilegal oleh Cambridge Analytica. Menurut penyelidikan, Facebook mengizinkan Cambridge Analytica untuk mengakses data 50 juta pengguna AS secara ilegal selama kampanye pemilihan presiden 2016 serta referendum Brexit di Inggris pada tahun 2016... Ini adalah denda terbesar di dunia untuk skandal kebocoran data pengguna.

Di Vietnam, terdapat banyak peraturan terkait sanksi atas kebocoran dan pengungkapan informasi. Saat ini, Rancangan Peraturan Pemerintah tentang Sanksi Pelanggaran Administratif di Bidang Keamanan Jaringan (yang sedang dikonsultasikan dan menunggu pengumuman dari Pemerintah) menetapkan bahwa sanksi maksimum bagi organisasi yang melanggar peraturan perlindungan data pribadi adalah denda hingga 5% dari total pendapatan tahun fiskal sebelumnya di Vietnam untuk pelanggaran kedua atau lebih. Di saat yang sama, terdapat sanksi tambahan berupa pencabutan izin usaha industri yang mewajibkan pengumpulan data pribadi selama 1-3 bulan.

Bapak Vu Ngoc Son, Direktur Teknis Perusahaan Teknologi Keamanan Siber Vietnam, mengatakan bahwa hingga saat ini, karena kurangnya peraturan yang rinci tentang perlindungan data pribadi, bisnis dan organisasi yang melanggar hanya akan dikenakan sanksi administratif. Oleh karena itu, usulan denda maksimum hingga 5% dari total pendapatan dalam rancangan undang-undang mendatang sesuai untuk Vietnam dan memiliki efek jera sehingga unit-unit memiliki tanggung jawab yang lebih tinggi dalam melindungi data pelanggan. Namun, menurut Bapak Son, denda ini masih belum tinggi dibandingkan dengan dunia. Karena di banyak negara, sebagian besar denda akan dinilai berdasarkan skala dampak setiap pelanggaran. Misalnya, jika ada pelanggaran yang berasal dari bisnis kecil tetapi berdampak serius pada sejumlah besar pengguna, dendanya akan tetap sangat besar. "Di Vietnam, masih belum ada skala untuk menilai dampak setiap kasus kebocoran informasi pribadi, jadi wajar saja jika mengusulkan denda berdasarkan pendapatan. Saya pikir ini akan menjadi langkah maju baru dalam proses pengendalian dan perlindungan data pribadi masyarakat," kata Bapak Vu Ngoc Son.

Sependapat, Bapak Vo Do Thang berkomentar bahwa regulasi yang lebih rinci tentang sanksi administratif khusus dan publik atas tindakan perlindungan data pribadi pelanggan akan memaksa bisnis untuk meninjau sistem keamanan jaringan mereka. Terdapat proses penilaian dan pemantauan berkala terhadap sumber daya teknis dan manusia untuk memastikan kerahasiaan informasi pelanggan. Hal ini serupa dengan regulasi tentang jaminan keselamatan kebakaran di gedung perkantoran dan tempat keramaian. Badan pengelola negara juga perlu memperkuat inspeksi, pengawasan, dan sanksi tegas bagi bisnis yang melanggar. Pelanggaran pertama dapat dipublikasikan di media massa; pelanggaran kedua akan dikenakan sanksi administratif yang sesuai, dan kemudian layanan dapat ditangguhkan untuk sementara waktu agar bisnis dapat memperkuat sistem keamanan jaringannya.