TRIBUNNEWS.COM, JAKARTA - Kasus kebocoran data dan serangan siber di Indonesia terus berulang dalam beberapa tahun terakhir, meski Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) telah diberlakukan. 

Data Badan Siber dan Sandi Negara (BSSN) mencatat, sepanjang 2023 terjadi lebih dari 1,2 miliar upaya serangan siber, termasuk yang menyasar sektor perbankan dan keuangan.

Situasi ini menunjukkan bahwa keberadaan regulasi belum otomatis diikuti oleh perlindungan data yang efektif. 

Dalam periode 2022–2025, lebih dari 2,3 miliar data warga negara Indonesia dilaporkan beredar di forum gelap (dark web), memperlihatkan eskalasi kebocoran yang belum terkendali.

Sebelum UU PDP disahkan, Indonesia juga telah mengalami sejumlah insiden kebocoran besar. Pada 2020, sekitar 91 juta akun Tokopedia dilaporkan bocor, disusul 1,3 juta data pengguna Bukalapak pada 2021. 

Di tahun yang sama, kebocoran 279 juta data peserta BPJS Kesehatan yang mencakup NIK hingga data medis memicu keprihatinan publik luas.

Namun, setelah UU PDP berlaku, tren kebocoran belum menunjukkan penurunan. 

Pada 2022, kebocoran data registrasi kartu SIM terjadi akibat lemahnya proses verifikasi. Tahun berikutnya, sekitar 409 juta data dari BPJS Kesehatan, PLN Mobile, dan sejumlah platform e-commerce dilaporkan bocor.

Bahkan pada 2024, jumlah kebocoran meningkat menjadi 668 juta data dari enam platform digital besar.

Berulangnya insiden tersebut memperkuat kritik bahwa tantangan utama perlindungan data di Indonesia bukan terletak pada kekosongan hukum, melainkan pada lemahnya implementasi, pengawasan, dan penegakan aturan yang sudah ada.

Menanggapi kondisi tersebut, Wakil Ketua Komisi XI DPR RI M. Hanif Dhakiri menegaskan bahwa kehadiran negara dalam isu perlindungan data pribadi tidak boleh berhenti pada pembentukan undang-undang.

“UU PDP sudah memberi payung hukum. Namun implementasi yang tegas dan konsisten masih menjadi pekerjaan besar. Tanpa itu, perlindungan data berisiko berhenti sebagai norma di atas kertas,” kata dia dalam keterangannya, Jumat (9/1/2026).

Hanif menjelaskan bahwa tanggung jawab perlindungan data bersifat berlapis. Pengelola data dan lembaga keuangan wajib memastikan keamanan sistem serta tata kelola risiko data nasabah. Regulator dan pengawas, dalam hal ini Otoritas Jasa Keuangan (OJK), memiliki tanggung jawab memastikan standar keamanan dipatuhi dan audit berjalan efektif. 

Di sisi lain, negara harus memastikan ekosistem penegakan UU PDP berjalan solid tanpa saling lempar kewenangan antar-lembaga.

Terkait peran OJK, Hanif menilai persoalan utama bukan sekadar kuat atau lemahnya pengawasan, melainkan adanya kesenjangan antara kecepatan ancaman siber dan kemampuan adaptasi institusi.