Broker data menjual informasi penerbangan ke Bea Cukai dan ICE Amerika Serikat

 (eff.org)
1 poin oleh GN⁺ 2025-07-15 | 1 komentar | Bagikan ke WhatsApp
  • Broker data menjual informasi terkait penerbangan pribadi kepada Bea Cukai AS (CBP) dan Immigration and Customs Enforcement (ICE)
  • Baru-baru ini terungkap bahwa Airlines Reporting Corporation (ARC) mengumpulkan catatan pelancong dan membagikannya dengan lembaga pemerintah
  • Informasi dijual tanpa persetujuan pengguna, yang memicu masalah privasi serta upaya mengakali hak konstitusional
  • Data lokasi sensitif, riwayat penggunaan internet, dan data utilitas publik juga dihimpun dengan cara serupa lalu diserahkan ke lembaga penegak hukum
  • Untuk mengatasi masalah ini, kebutuhan akan legislasi perlindungan privasi yang kuat seperti RUU ‘Privacy First’ dan RUU ‘Fourth Amendment is Not For Sale’ semakin mengemuka

Masalah broker data dan penjualan informasi pribadi

  • Selama ini broker data memanfaatkan celah dalam undang-undang perlindungan data pribadi untuk mengumpulkan informasi pengguna
  • Mereka menjual data sensitif seperti informasi lokasi tanpa persetujuan kita, dan pelanggan utama mereka mencakup lembaga penegak hukum
  • Pasar data semacam ini menciptakan struktur di mana siapa pun bisa meraup keuntungan jika berhasil mengumpulkan data pribadi, sehingga juga menarik bagi lembaga pemerintah yang ingin menghindari batasan hukum

Kasus penjualan informasi penerbangan oleh ARC

  • Menurut pengungkapan 404 Media dan sejumlah media lain, Airlines Reporting Corporation (ARC) adalah broker data yang dimiliki dan dioperasikan oleh setidaknya delapan maskapai besar di AS
  • ARC mengumpulkan data tiket yang sensitif seperti daftar pelancong, seluruh rencana perjalanan, dan rincian pembayaran dari United Airlines, American Airlines, dan lainnya, lalu diam-diam menjualnya ke Bea Cukai AS (CBP)
  • Broker data bahkan menggunakan cara untuk menyembunyikan sumber informasi, sehingga mencegah lembaga pemerintah mengungkap asal data tersebut
  • Artinya, pemerintah dapat mengakses informasi tanpa prosedur yudisial seperti surat perintah, dan dengan menyembunyikan sumbernya, timbul masalah pelanggaran privasi serta penghindaran hak

Travel Intelligence Program (TIP) dan dampaknya

  • Travel Intelligence Program (TIP) milik ARC menghimpun lebih dari 1 miliar catatan perjalanan udara yang mencakup 39 bulan ke belakang dan ke depan
  • Dalam laporan internal, CBP menyatakan informasi ini diperlukan untuk membantu mengidentifikasi orang yang menjadi perhatian polisi lokal dan polisi negara bagian
  • Namun, di tengah situasi di AS yang ditandai dengan meningkatnya penegakan imigrasi serta pemeriksaan dan penggeledahan yang tidak masuk akal, risiko bahwa data ini akan memperluas kecurigaan hingga ke pelancong yang tidak bersalah menjadi semakin besar

Pengaruh ARC dan partisipasi maskapai

  • Melalui ARC, lebih dari 54% informasi penerbangan di seluruh dunia diproses, dan lebih dari 200 maskapai berpartisipasi dalam jaringan ini
  • Dewan direksinya mencakup banyak perwakilan maskapai AS dan internasional seperti JetBlue, Delta, Lufthansa, Air France, Air Canada
  • Dengan menjual informasi sensitif dalam jumlah besar kepada lembaga penegak hukum, maskapai menunjukkan kecenderungan mengutamakan keuntungan dibanding privasi pribadi
  • Baru-baru ini juga terungkap bahwa ICE (Immigration and Customs Enforcement) membeli data pribadi pelancong dari ARC

Dampak lanjutan dan kondisi pelanggaran privasi

  • Kebebasan bergerak adalah inti dari masyarakat demokratis, tetapi broker data seperti ARC diam-diam menciptakan lingkungan yang memungkinkan pelacakan riwayat perjalanan
  • Di tengah meningkatnya perdebatan di AS mengenai kemungkinan kerugian hukum berdasarkan kewarganegaraan, agama, atau kecenderungan politik, penggunaan data ARC berisiko berujung pada penyalahgunaan kewenangan negara
  • Selain informasi penerbangan, broker data juga menjual data lokasi smartphone, data backbone internet, dan catatan utilitas publik, sehingga cakupan pelanggaran privasi terus meluas

Tuntutan kebijakan dan solusi

  • Di saat otoritas pemerintah semakin sering mengambil langkah-langkah yang melemahkan kebebasan dan hak, pengumpulan dan penjualan data dalam skala besar seperti ini menimbulkan kekhawatiran yang lebih besar
  • Kasus ARC meningkatkan kesadaran akan perlunya RUU yang mengutamakan privasi seperti ‘Privacy First’ serta perlunya legislasi yang mewajibkan prinsip minimalisasi pemrosesan data oleh perusahaan
  • Selain itu, muncul desakan untuk meloloskan RUU ‘Fourth Amendment is Not For Sale’, agar lembaga penegak hukum tidak bisa mengakali pengumpulan informasi tanpa surat perintah dengan membeli data dari broker data
  • Terakhir, regulasi seperti pendaftaran broker data dan peningkatan transparansi juga menjadi tugas mendesak

Bacaan terkait

1 komentar

 
GN⁺ 2025-07-15
Komentar Hacker News

  • Banyak orang tidak menyadari betapa mudahnya membangun model data seperti ini bahkan tanpa akses data primer yang istimewa. Prototipe yang kubuat pada 2012 menunjukkan bahwa hanya dengan data media sosial atau periklanan saja, riwayat penerbangan sebagian besar orang bisa dilacak secara akurat dalam skala besar. Hal seperti ini sudah mungkin dilakukan sejak lama. Kurang lebih caranya adalah menyaring sisi ruang-waktu dalam entity graph yang berada di bawah 300 km/jam atau jarak di bawah 200 km. Dengan kriteria ini, kita bisa memperkirakan apakah seseorang “naik pesawat” dan juga mengetahui titik keberangkatan serta tujuannya. Jika sisi ini dikaitkan dengan data penerbangan publik atau data IoT pemeliharaan mesin jet, kita bahkan bisa mencocokkannya ke penerbangan tertentu. Kebanyakan orang tidak menyadari bagaimana data IoT industri yang biasa-biasa saja bisa dipakai untuk menyimpulkan relasi di bidang lain. Kadang ada kasus langka di mana beberapa penerbangan sekaligus mungkin cocok, tetapi jika melihat riwayat penerbangan sebelumnya lalu memilih maskapai utama yang biasa dipakai, hampir selalu hasilnya cocok sempurna. Efektivitasnya sangat mengesankan, dan sama sekali tidak memerlukan data primer maskapai maupun analisis yang rumit. Pada akhirnya, waktu dan ruang adalah primary key dunia nyata

    • Mendengar penjelasan “kami menyaring rute yang mungkin merupakan penerbangan”, inti masalahnya tetap sama: siapa yang sejak awal memiliki 'data ruang-waktu' itu. Pada akhirnya ini tidak jauh berbeda dari “kalau saya punya riwayat transaksi kartu kreditmu, saya bisa tahu kapan, di mana, dan ke toko mana kamu pergi.” Memang menyeramkan, tetapi yang benar-benar serius adalah fakta bahwa akses ke data seperti itu dimungkinkan. Kalau sejak awal seseorang sudah tahu seluruh lokasi kasar seseorang berdasarkan waktu, maka data ruang-waktu itu sendiri jauh lebih berharga daripada riwayat naik pesawat orang tersebut

    • Yang menurutku menarik adalah orang khawatir berbagai data pribadi bisa dikumpulkan dan disalahgunakan, tetapi kebanyakan yang dilakukan dengan data itu ternyata cuma menampilkan iklan yang lebih tertarget

    • Data seperti “IoT pemeliharaan mesin jet” itu sebenarnya didapat dari mana?

    • Mungkin ICE memerlukan data seperti ini untuk melacak kapan orang tertentu mengunjungi kota atau negara tertentu

  • Menarik bahwa ARC hanya disebut sebagai “broker data”. Sebenarnya ARC maupun IATA adalah clearinghouse pembayaran tiket pesawat sekaligus pihak yang memelihara dan mengawasi sistem industri terkait. Secara alami data transaksi mengalir ke mereka, dan mereka menghasilkan pendapatan dengan menjualnya. Tetapi ini bukan struktur seperti broker data lain yang mengumpulkan data dari luar lalu menjualnya kembali; mereka sendiri memiliki data primer tersebut. Persoalan mendasarnya memang apakah penjualan atau pembagian data sensitif yang belum dianonimkan seperti ini seharusnya diizinkan, tetapi bagaimanapun ini adalah data primer yang sangat mendasar. Tautan penjelasan struktur lengkap Airline Reporting Corporation juga layak dilihat

    • Penjelasan ini tidak benar-benar membantah pokok yang dibahas dalam artikelnya

  • Jumlah dan cakupan data yang dijual broker jauh lebih besar daripada yang bisa dibayangkan. Kalaupun kamu membayangkan yang paling buruk, kondisi nyatanya mungkin sepuluh kali lebih parah

    • Rekanku pernah menargetkan satu orang tertentu dengan iklan banner bergambar dan memasukkan kalimat “Sudah kubilang aku bisa sejauh ini, kawan!” untuk mendemonstrasikan efeknya. Orang biasa hampir tidak tahu seberapa banyak perusahaan iklan dan broker data mengetahui tentang diri mereka

    • Sekitar 2014, saat bekerja dengan para perekrut, aku melihat alat yang mengeruk informasi orang dari LinkedIn, Yelp, Twitter, GitHub, Eventbrite, dan lainnya. Bahkan saat itu saja sudah mungkin mengumpulkan informasi yang sangat luas sampai lebih dari 10 tahun riwayat. Kalau bekerja sama dengan pihak seperti Palantir, tampaknya pemerintah bahkan bisa melakukan analisis gaya penulisan atau analisis psikologis sampai ke posting Reddit

    • Aku punya ide proyek seni yang membutuhkan profil data semacam ini, jadi kalau ada yang bisa merekomendasikan sumber bagus yang murah untuk dibeli, tolong beri tahu. Proyeknya sangat besar jadi aku bahkan tidak tahu harus mulai dari mana

    • Sebagai orang yang bekerja di industri ini, rasanya kenyataannya “1000 kali lebih parah”

    • Kurasa sebagian besar pengguna HN hampir tidak memahami kondisi nyata industri ini. Arah pembahasannya mungkin harus diubah total. Kebanyakan orang berpikir hanya Google saja yang menjual data pribadi mereka, padahal industri data yang sebenarnya jauh lebih longgar pengamanannya. Misalnya, semudah menelepon dan memesan agar riwayat transaksi kartu kredit seorang dokter gigi lokal berusia 35 tahun dipilihkan khusus untuk orang itu saja dalam format yang kamu inginkan dan dikirim dalam sehari

  • Mengagumkan betapa tersembunyinya pasar data ini. Begitu banyak perusahaan besar mengekstrak dan memperdagangkan data setiap hari, tetapi di tengah hiruk-pikuk “desentralisasi” seperti sekarang, tetap saja tidak ada marketplace data terbuka. Aku sudah lama berharap muncul model yang memungkinkan jual beli data perilaku secara terbuka, dan sebenarnya aku berharap orang juga tidak lagi sekadar menjadi “produk”, melainkan memberi data ke perusahaan lalu mendapat kompensasi sebagai imbalannya

    • Kurasa sebenarnya tidak setersembunyi itu. Pada 2021 ada seseorang yang mendatangi rumah orang lain untuk membalas dendam 50 tahun lalu, dan dia tertangkap CCTV sambil membawa folder PeopleFinders. Yang mengejutkan adalah bahkan lembaga pemerintah pun menjual data seperti ini

    • Menurutku bukannya mencari cara mengambil lebih banyak dari model pendapatan seperti ini, yang benar justru menutup semuanya dan menghentikannya

  • Aku tidak paham kenapa CBP dan ICE harus membeli informasi dari broker data. TSA toh memindai boarding pass semua orang

    • Mungkin untuk mengakses data yang dikumpulkan TSA ada aturan dan prosedur ketat, sedangkan untuk membeli informasi yang sama dari broker hampir tidak ada persyaratan berarti. Sumber datanya juga bisa beragam, bukan hanya TSA, melainkan maskapai, perusahaan pembayaran, dan lain-lain. Kualitas data broker mungkin sulit dijamin, tetapi prosedurnya jauh lebih sederhana

    • Saat bekerja di lembaga federal, dari sudut pandangku, bahkan untuk mengumpulkan tweet publik saja aku harus mendokumentasikan kenapa itu diperlukan, data pribadi apa yang disimpan, berapa lama disimpan, dan bagaimana cara menghapusnya, lalu meminta persetujuan sendiri. Hal yang bisa dilakukan orang biasa di akhir pekan pun di dalam pemerintah membutuhkan persetujuan besar. Lalu kalau harus meminta data dari lembaga lain? Itu membawa beban politik yang jauh lebih besar dari yang dibayangkan. Bahkan kalau sesama lembaga kerja sama pun tidak mudah, dan aku malah pernah disarankan bahwa menyebut permintaan semacam itu dalam rapat hanya akan menambah gesekan yang tidak perlu. Sebaliknya, kalau beli dari broker data, semua prosedur rumit itu tidak perlu

    • Mungkin juga karena TSA tidak sembarangan memberi persetujuan. Mirip seperti polisi yang butuh surat perintah untuk meminta data ponsel, tetapi operator telekom bisa menjual lokasi real-time ke pihak ketiga dan polisi kemudian membelinya. Tautan referensi

    • Pemerintah memanfaatkan perusahaan untuk menghindari hukum dan konstitusi, dan perusahaan memanfaatkan pemerintah untuk menghindari regulasi. Sudah begitu dari dulu

    • Selain alasan regulasi dan hukum, di dalam organisasi membangun dan menyelaraskan data stream yang praktis untuk dipakai tiap departemen sering kali lebih sulit dan mahal dibanding membeli dari broker yang memang sudah dioptimalkan untuk kurasi, pengelolaan, dan distribusi data. Meski terdengar absurd, pada akhirnya data broker terasa lebih praktis dan lebih dapat diandalkan meskipun harus membayar harga premium. Tim teknis TSA tidak punya insentif untuk menempelkan metadata pada data dan mengelola SLA. Broker data selalu punya insentif seperti itu

  • yaelwrites/Big-Ass-Data-Broker-Opt-Out-List adalah daftar yang bagus untuk mulai melakukan opt-out dari broker data. Namun ARC yang disebut dalam artikel saat ini tidak ada dalam daftar itu

  • Sedikit di luar topik, tetapi aku penasaran apakah ada yang tahu perkiraan kasar seberapa besar pendapatan nyata perusahaan biasa (selain perusahaan terkait iklan) dari menjual data konsumen dan pola perilaku

  • Sekitar dua bulan lalu juga ada diskusi terkait di HN dan thread lain

  • Yang membuat kasus ini menarik adalah, di masa lalu broker yang sangat buruk sering tidak punya basis operasi di UE sehingga bisa mengabaikan denda GDPR, atau kalau pun margin kotornya jauh lebih besar mereka cukup menganggapnya sebagai risiko bisnis saja (misalnya Clearview). Tetapi bagi perusahaan seperti maskapai yang margin bisnis intinya tipis dan pendapatan globalnya besar, pelanggaran GDPR jauh lebih mematikan. Jika pengendali datanya adalah maskapai, penyediaan data kepada broker itu sendiri bisa jadi ilegal, dan karena eksposurnya besar di UE, menghindari denda juga sulit. Dalam kasus ekstrem, negara anggota bahkan bisa menyita pesawat itu sendiri atau mencoba melarang seluruh operasinya. Jerman pernah benar-benar menyita pesawat pangeran Thailand. Tautan artikel terkait

    • Maskapai memang tampak seperti sumber data utama, tetapi kenyataannya sumbernya sangat beragam. Barcode boarding pass berisi sangat banyak informasi, dan itu bukan terenkripsi melainkan hanya dikodekan, jadi cukup dibaca saja. Pembaca barcode dibuat dan dijual oleh banyak vendor, dan ada banyak tempat di bandara yang memindai barcode, seperti check-in, bagasi, duty free, lounge, dan sebagainya. Informasi yang terukur bisa dikumpulkan dengan berbagai cara. Pemindai paspor juga bisa didapat dengan murah dan sering dipakai di toko bandara atau rental mobil. Belakangan, karena teknologi pengenalan wajah, orang bahkan bisa naik tanpa pemeriksaan boarding pass atau paspor. Data tambahan seperti informasi reservasi Uber juga bisa digabungkan. Tautan detail terkait barcode

  • Aku penasaran informasi seperti apa tentang diriku sendiri maupun orang lain yang bisa kudapatkan dari broker data kalau aku mau membayar, jadi apakah ada yang tahu bagaimana cara mengakses broker data seperti ini?