Bagaimana polisi mendapatkan data pribadi online Anda

 (eff.org)
1 poin oleh GN⁺ 2025-11-11 | 1 komentar | Bagikan ke WhatsApp
  • Hukum federal dan negara bagian di Amerika Serikat memberi wewenang kepada aparat penegak hukum untuk meminta informasi pribadi yang diberikan ke layanan online
  • Aparat penegak hukum dapat memperoleh berbagai bentuk data melalui proses hukum, termasuk informasi pelanggan, metadata, konten yang disimpan, dan konten komunikasi saat transmisi
  • Permintaan semacam ini dibedakan menjadi subpoena, perintah pengadilan, surat perintah penggeledahan, dan super warrant, dengan tingkat pembuktian yang diminta serta ada tidaknya pemberitahuan kepada pengguna yang berbeda-beda untuk tiap prosedur
  • Penyedia layanan dapat memperkuat privasi pengguna melalui pengumpulan data seminimal mungkin, laporan transparansi, enkripsi end-to-end (e2ee), dan langkah serupa
  • Ketika individu dan penyedia layanan merespons bersama, mereka dapat menekan pengawasan berlebihan dan penyalahgunaan data

Struktur hukum akses ke data pribadi online

  • Aparat penegak hukum di Amerika Serikat dapat meminta data pribadi yang disimpan di layanan online melalui berbagai prosedur hukum
    • Hukum federal dan negara bagian mengatur kewenangan akses tersebut
    • Pengguna perlu menyadari risiko hukum ini sejak saat data dibagikan
  • Sejak masa awal internet, sudah ada kasus penyitaan dan penggeledahan berlebihan, dan saat ini targetnya bukan hanya layanan besar tetapi juga operator server pribadi
  • “Cloud” pada akhirnya adalah komputer milik orang lain, sehingga penyedia layanan punya tanggung jawab untuk melindungi privasi pengguna dalam batas hukum

Jenis data yang dapat dikumpulkan

  • Data pelanggan: nama, informasi pembayaran, IP, email, nomor telepon, dan sebagainya yang diberikan saat menggunakan layanan
    • Dari data ini, pengguna sebenarnya di balik akun anonim dapat diidentifikasi
  • Data non-konten (metadata): waktu akses, pihak yang berkomunikasi, pola penggunaan, dan sebagainya
    • Aparat penegak hukum dapat memakainya untuk melacak jaringan hubungan sosial atau riwayat login
  • Konten yang disimpan: isi sebenarnya yang dapat diakses layanan, seperti pesan dan draf
    • Tujuannya bisa untuk memperoleh bukti kejahatan, tetapi jika permintaan berlebihan, informasi pengguna lain juga bisa ikut tercakup
  • Konten saat transmisi: data real-time ketika komunikasi sedang berlangsung
    • Aparat penegak hukum dapat memerintahkan layanan untuk melakukan penyadapan, dan privasi pengguna terkait pun ikut terdampak

Prosedur hukum yang digunakan untuk mengakses data

  • Subpoena
    • Dapat diterbitkan tanpa persetujuan hakim, cukup dengan membuktikan keterkaitannya dengan penyelidikan
    • Karena pengawasan pengadilan terbatas, risiko penyalahgunaan tinggi
  • Perintah Pengadilan (Court Order)
    • Memerlukan persetujuan hakim berdasarkan undang-undang tertentu
    • Contoh: berdasarkan Stored Communications Act (SCA), informasi non-konten dapat diminta
  • Surat Perintah Penggeledahan (Search Warrant)
    • Diterbitkan hakim dan memerlukan pembuktian adanya kemungkinan kuat(probable cause) bahwa bukti kejahatan ada
    • Umumnya tidak bisa digugat sebelumnya, dan dapat disertai perintah bungkam (gag order)
  • Super Warrant
    • Untuk penyadapan komunikasi real-time, memerlukan syarat exhaustion dan minimization
    • Selama penyadapan berlangsung, target tidak dapat diberi tahu, dan dalam beberapa kasus ada kewajiban pemberitahuan setelahnya
  • Perintah Bungkam (Gag Order)
    • Melarang penyedia layanan mengungkapkan fakta bahwa pengawasan sedang dilakukan
    • EFF terus mempersoalkannya karena berpotensi melanggar kebebasan berekspresi

Cara penyedia layanan memperkuat perlindungan pengguna

  • Mematuhi prosedur hukum: pemberian informasi secara informal atau pengecualian dapat berujung pada pelanggaran privasi
    • Host kecil pun perlu berkonsultasi hukum untuk menghadapi permintaan yang tidak patut
  • Mengajukan keberatan atas permintaan yang tidak patut: tuntutan yang berlebihan atau inkonstitusional dapat dibatalkan di pengadilan
  • Pemberitahuan kepada pengguna: selama tidak dilarang secara hukum, pengguna perlu segera diberi tahu tentang adanya permintaan
  • Kebijakan privasi yang jelas: alih-alih frasa kabur seperti “akan diberikan bila diperlukan”, harus ditegaskan niat untuk memberikan perlawanan semaksimal mungkin dalam batas hukum
    • Menerbitkan laporan transparansi secara berkala membantu membangun kepercayaan
  • Pengumpulan data seminimal mungkin dan pemendekan masa simpan
    • Data yang tidak perlu dapat menjadi sasaran aparat, sehingga kebijakan penghapusan otomatis dan fitur pesan menghilang efektif
  • Membatasi berbagi data
    • Minimalkan berbagi dengan login pihak ketiga, jaringan iklan, dan broker data
    • Ini membantu memblokir kemungkinan akses penyelidikan tidak langsung melalui broker data
  • Enkripsi end-to-end (e2ee) yang sesungguhnya
    • Struktur di mana bahkan penyedia layanan tidak dapat membaca isi pesan
    • Contoh: Signal hanya menyimpan nomor telepon, tanggal pembuatan akun, dan tanggal akses terakhir
    • Enkripsi dengan backdoor atau pemindaian sisi klien bertentangan dengan prinsip e2ee

Langkah perlindungan yang dapat diambil pengguna individu

  • Perlindungan data pribadi dimulai dari memilih layanan yang tepercaya dan memperkuat pengaturan keamanan
  • Melalui materi Surveillance Self-Defense (SSD) dari EFF, pengguna dapat mempelajari cara menilai risiko dan meresponsnya
  • Mencegah pelacakan data dengan ekstensi browser seperti Privacy Badger
  • Privasi dipertahankan lewat upaya bersama, dan partisipasi dalam edukasi serta perbaikan kebijakan itu penting
  • Perubahan jangka panjang dimungkinkan melalui partisipasi dalam gerakan perlindungan hak digital di tingkat lokal maupun nasional

Bacaan terkait

1 komentar

 
GN⁺ 2025-11-11
Komentar Hacker News

  • Saya memakai CryptPad, yang melindungi dokumen kolaboratif dengan enkripsi end-to-end
    Terutama aplikasi Kanban-nya sangat cepat. Dibandingkan itu, Trello terasa terlalu berat dan lambat
    Rekomendasi lain adalah protokol XMPP. Ini mendukung enkripsi E2E dengan OMEMO (alias protokol Signal), dan saya memakai klien Dino (Debian) dan Conversations (Android)
    Ada juga panggilan audio dan video seperti WhatsApp, dan kita bisa terhubung dengan orang baru lewat kanal publik
    Penyedia server bisa dicari di providers.xmpp.net. Saya suka karena semuanya berbasis perangkat lunak bebas

  • Ungkapan “cloud itu tidak ada, itu cuma komputer milik orang lain” sangat membekas
    Melihat EFF sekarang mengutip perkataan Stallman, rasanya seperti mereka akhirnya mengakui bahwa dia benar

    • Saya rasa EFF tidak pernah menyangkal pandangan Stallman
      Penolakan terhadap pemilihannya kembali ke FSF pada 2021 disebabkan oleh masalah perilakunya, bukan karena filosofi perangkat lunak bebas
    • Meme itu mungkin bukan ciptaan Stallman
    • Stallman banyak benarnya soal perangkat lunak bebas, tetapi secara pribadi dia mengecewakan karena kasus Epstein dan komentarnya terkait anak di bawah umur

  • Broker data adalah celah dalam pengawasan yang legal
    Polisi bisa membeli data pribadi dari broker komersial tanpa surat perintah
    Pasar seperti ini tidak diatur, sehingga sepenuhnya melewati perlindungan privasi tradisional
    Penyadapan komunikasi real-time memerlukan ‘surat perintah super’, tetapi kebanyakan orang bahkan tidak tahu itu ada
    Selain itu, perintah bungkam (gag order) mencegah perusahaan memberi tahu pengguna tentang adanya permintaan, sehingga skala pengawasan tetap tersembunyi

  • Saya rasa bagian artikel yang mengatakan ‘surat perintah penggeledahan atas komunikasi yang disimpan tidak bisa ditentang sebelumnya’ itu keliru
    Dalam praktiknya, perusahaan sering mengajukan keberatan karena kurang spesifik atau terlalu membebani
    Misalnya, Google menyatakan bahwa mereka hanya menyerahkan data untuk sekitar 90% dari surat perintah yang diterima pada 2024
    Sistem hukum AS lebih dirancang untuk mencegah hasilnya dipakai sebagai bukti di pengadilan daripada benar-benar menghentikan perilaku buruk polisi itu sendiri

    • Bukti yang diperoleh secara ilegal bisa dikesampingkan
      Tetapi penggeledahan memerlukan surat perintah terlebih dahulu, jadi hukum memang dirancang untuk mencegah pengumpulan itu sendiri

  • Sayang sekali hubungan antara data di AS dan badan intelijen asing hampir tidak dibahas dalam artikel
    Saya penasaran prosedur apa yang sebenarnya berlaku ketika lembaga penegak hukum asing meminta data pengguna layanan AS
    Misalnya, saya ingin tahu bagaimana proses nyatanya jika seorang penyidik asing meminta informasi pemilik situs tertentu kepada registrar domain .com yang berada di AS
    Kasus terkait yang terlintas adalah ketika FBI berupaya mengungkap identitas pendiri archive.today

  • Dari artikel ini saya baru pertama kali mendengar istilah ‘surat perintah super (super warrant)’

    • Ini tampaknya hanya cara yang lebih sederhana untuk menyebut persyaratan Amandemen Keempat yang diperketat untuk penyadapan komunikasi real-time

  • Saya bertanya-tanya apakah akses ke data online seharusnya dilindungi oleh Amandemen Pertama
    Kalau untuk menggeledah rumah perlu surat perintah, bukankah data online juga seharusnya begitu?
    Jika tidak ada campur tangan pengadilan, berarti kebebasan dan hak dasar bisa hilang

    • Pengadilan menganggap penyedia layanan sebagai pihak ketiga (third party)
      Begitu pengguna menyerahkan datanya, data itu dipandang bukan lagi miliknya sendiri
      Lihat Third-party doctrine
    • Pada akhirnya, strukturnya adalah perusahaan mengizinkan polisi untuk berkata, “ini data kami, silakan lihat sesuka hati”
      Secara hukum itu mungkin, tetapi sangat berbahaya dari sisi privasi
    • Yang relevan bukan Amandemen Pertama, melainkan Amandemen Keempat (larangan penggeledahan dan penyitaan yang tidak wajar)
      Karena data online berada di server penyedia, secara hukum itu bukan ‘rumah’ milik pribadi
    • Pemerintah menganggap Amandemen Keempat sebagai batasan yang merepotkan, sehingga hal-hal seperti metadata email dikeluarkan dari perlindungan
      Pada akhirnya logikanya adalah, “data Anda ada di komputer orang lain, jadi persetujuan orang itu saja sudah cukup”
    • Singkatnya, jika data berada di komputer orang lain, itu dianggap sebagai ‘rumah’ mereka, sehingga penggeledahan menjadi mungkin

  • Laporan transparansi milik Google adalah referensi yang sangat berguna

  • Bahkan 10 tahun lalu, akses ke metadata saja sudah memicu kontroversi besar, tetapi sekarang bahkan isi pesan itu sendiri diawasi
    Pemerintah juga bisa memanipulasi hasil pencarian, menyembunyikan informasi tertentu, atau justru menonjolkannya
    Katanya ada prosedur hukum, tetapi dalam kenyataannya kebanyakan ini adalah pengawasan untuk pengumpulan informasi dan tidak dipakai sebagai bukti di pengadilan
    Broker data, pengembang aplikasi, dan produsen perangkat semuanya harus bekerja sama dengan pemerintah agar bisnis mereka tetap berjalan
    Bahkan manipulasi identitas atau pencurian identitas berbasis online pun dimungkinkan
    Membayangkan aparat penegak hukum bisa melihat isi dokumen cloud secara real-time saat kita sedang mengerjakannya benar-benar mengerikan

    • Ungkapan “lembaga penegak hukum tidak meminta pertanggungjawaban pada dirinya sendiri” terasa terlalu naif kalau ditambah kata ‘sering’
      Dalam kenyataannya mereka sama sekali tidak bertanggung jawab, dan sudah sepenuhnya korup karena kepentingan politik

  • Riwayat pencarian adalah area yang bisa diakses tanpa surat perintah atau pemberitahuan
    Itu tidak dilindungi karena Third-party doctrine