Dalam periode 2022–2025, lebih dari 2,3 miliar data warga negara Indonesia dilaporkan beredar di forum gelap (dark web), memperlihatkan eskalasi kebocoran yang belum terkendali.

Sebelum UU PDP disahkan, Indonesia juga telah mengalami sejumlah insiden kebocoran besar. Pada 2020, sekitar 91 juta akun Tokopedia dilaporkan bocor, disusul 1,3 juta data pengguna Bukalapak pada 2021. 

Di tahun yang sama, kebocoran 279 juta data peserta BPJS Kesehatan yang mencakup NIK hingga data medis memicu keprihatinan publik luas.
Namun, setelah UU PDP berlaku, tren kebocoran belum menunjukkan penurunan. 

Pada 2022, kebocoran data registrasi kartu SIM terjadi akibat lemahnya proses verifikasi. Tahun berikutnya, sekitar 409 juta data dari BPJS Kesehatan, PLN Mobile, dan sejumlah platform e-commerce dilaporkan bocor. Bahkan pada 2024, jumlah kebocoran meningkat menjadi 668 juta data dari enam platform digital besar.

Berulangnya insiden tersebut memperkuat kritik bahwa tantangan utama perlindungan data di Indonesia bukan terletak pada kekosongan hukum, melainkan pada lemahnya implementasi, pengawasan, dan penegakan aturan yang sudah ada.

Menanggapi kondisi tersebut, Wakil Ketua Komisi XI DPR RI M. Hanif Dhakiri menegaskan bahwa kehadiran negara dalam isu perlindungan data pribadi tidak boleh berhenti pada pembentukan undang-undang.

“UU PDP sudah memberi payung hukum. Namun implementasi yang tegas dan konsisten masih menjadi pekerjaan besar. Tanpa itu, perlindungan data berisiko berhenti sebagai norma di atas kertas,” kata dia dalam keterangannya, Jumat (9/1/2026).

Hanif menjelaskan bahwa tanggung jawab perlindungan data bersifat berlapis. Pengelola data dan lembaga keuangan wajib memastikan keamanan sistem serta tata kelola risiko data nasabah. Regulator dan pengawas, dalam hal ini Otoritas Jasa Keuangan (OJK), memiliki tanggung jawab memastikan standar keamanan dipatuhi dan audit berjalan efektif. 

Di sisi lain, negara harus memastikan ekosistem penegakan UU PDP berjalan solid tanpa saling lempar kewenangan antar-lembaga.

Terkait peran OJK, Hanif menilai persoalan utama bukan sekadar kuat atau lemahnya pengawasan, melainkan adanya kesenjangan antara kecepatan ancaman siber dan kemampuan adaptasi institusi.

“Ancaman siber bergerak jauh lebih cepat dibanding adaptasi rata-rata institusi. Karena itu pengawasan harus lebih proaktif, berbasis risiko, dan dilengkapi stress test ketahanan siber, bukan sekadar checklist kepatuhan administratif,” ujarnya.

Hanif menambahkan bahwa regulasi pada dasarnya telah tersedia, namun efektivitasnya sangat bergantung pada konsistensi implementasi, kualitas audit, kesiapan sumber daya manusia, serta pengujian sistem yang dilakukan secara berkala.

Dalam konteks kebijakan lintas sektor, Hanif menegaskan pentingnya sinkronisasi antara UU Perbankan, regulasi OJK, dan UU PDP. 

Menurutnya, perlindungan data nasabah merupakan bagian tak terpisahkan dari stabilitas sistem keuangan dan kepercayaan publik.

“Yang harus disinkronkan mencakup standar data nasabah, mekanisme pelaporan insiden, koordinasi antar-otoritas, serta kejelasan penindakan saat terjadi pelanggaran lintas rezim aturan,” katanya.