Lewatkan ke konten utama

Apa saja undang-undang yang mengatur tentang keamanan internet dan data?

Hukum Internet & Regulasi Internet

Apa itu hukum internet?

Hukum internet – terkadang disebut hukum siber – merujuk pada prinsip dan regulasi hukum yang mengatur penggunaan internet. Hukum internet tidak selalu jelas dan lugas karena:

  • Internet relatif baru dan terus berkembang, yang berarti kerangka hukum mungkin kesulitan untuk mengikutinya.
  • Hukum internet sering kali menggabungkan dan menerapkan prinsip-prinsip dari berbagai bidang hukum – seperti hukum privasi atau hukum kontrak – yang sudah ada sebelum internet dan dapat ditafsirkan.
  • Tidak ada hukum tunggal yang mengatur privasi online. Sebaliknya, berlaku hukum federal dan negara bagian yang bersifat tambal sulam. Selain itu, berbagai yurisdiksi di seluruh dunia mungkin memiliki interpretasi yang berbeda tentang cara menerapkan undang-undang privasi internet.

Uni Eropa memiliki undang-undang privasi data menyeluruh yang dikenal sebagai GDPR – Peraturan Perlindungan Data Umum. Sebaliknya, AS tidak memiliki undang-undang privasi internet tingkat federal. Namun ada beberapa undang-undang privasi federal yang berfokus secara vertikal dan beberapa undang-undang privasi yang berorientasi konsumen di antara berbagai negara bagian. Gambaran umum ini membahas beberapa undang-undang keamanan internet penting yang harus Anda ketahui.

Undang-Undang Privasi AS tahun 1974

Meskipun sudah ada sebelum internet, Undang-Undang Privasi tahun 1974 dapat dikatakan merupakan dasar bagi banyak undang-undang yang mengatur privasi data dan internet di AS. Undang-undang ini disahkan sebagai pengakuan terhadap jumlah data pribadi yang disimpan dalam basis data komputer oleh lembaga pemerintah AS. Undang-undang ini mencakup:

  • Hak warga negara AS untuk mengakses data yang disimpan oleh lembaga pemerintah dan hak atas salinan data tersebut.
  • Hak warga negara untuk mengoreksi adanya kesalahan informasi.
  • Kebutuhan lembaga untuk hanya mengumpulkan informasi minimum yang relevan dan diperlukan untuk mencapai tujuannya.
  • Membatasi akses terhadap data berdasarkan ‘kebutuhan untuk mengetahui’.
  • Membatasi berbagi informasi antara lembaga federal (dan non-federal) – dengan kata lain, hanya diperbolehkan dalam kondisi tertentu.

Namun, penemuan internet mengubah definisi privasi dan mengharuskan diberlakukannya undang-undang keamanan data baru terkait komunikasi elektronik.

Undang-Undang Komisi Perdagangan Federal

Undang-Undang Komisi Perdagangan Federal tahun 1914 membentuk Komisi Perdagangan Federal AS dan dirancang untuk melarang metode persaingan tidak sehat dan tindakan atau praktik tidak sehat yang memengaruhi perdagangan.

Saat ini, meskipun FTC tidak secara eksplisit mengatur informasi apa yang harus disertakan dalam kebijakan privasi situs web, FTC menggunakan kewenangannya untuk mengeluarkan peraturan, menegakkan undang-undang privasi, dan melindungi konsumen. Misalnya, FTC mungkin bertindak terhadap organisasi yang:

  • Tidak mengikuti kebijakan privasi yang dipublikasikan.
  • Mentransfer informasi pribadi dengan cara yang tidak dijelaskan dengan benar dalam kebijakan privasi.
  • Membuat pernyataan privasi dan keamanan yang tidak akurat kepada konsumen dan dalam kebijakan privasi. 
  • Tidak menerapkan dan menegakkan langkah-langkah keamanan data yang wajar.
  • Tidak mengikuti prinsip pengaturan mandiri yang mungkin berlaku pada industri organisasi.

FTC berperan dalam regulasi internet, salah satu alasannya adalah komisi ini memeriksa pernyataan menyesatkan yang dibuat oleh perusahaan teknologi dan media sosial terkemuka tentang privasi data konsumen yang mereka kumpulkan. Misalnya, sebelumnya, FTC telah menyelidiki keluhan terhadap Facebook atas penggunaan data pelanggannya.

Undang-Undang Perlindungan Privasi Daring Anak

Undang-Undang Perlindungan Privasi Daring Anak tahun 1998 – juga dikenal sebagai COPPA – adalah undang-undang federal AS. Tujuannya adalah untuk memberi orang tua kendali atas informasi apa saja yang dikumpulkan dari anak-anak mereka secara daring. COPPA berlaku untuk operator situs web komersial dan layanan daring (termasuk aplikasi seluler dan perangkat Internet of Things) yang ditujukan kepada anak di bawah 13 tahun, yang mengumpulkan informasi pribadi dari anak-anak.

Beberapa persyaratan utama COPPA meliputi:

  • Situs web, aplikasi, dan alat daring yang ditujukan untuk anak-anak di bawah 13 tahun harus memberikan pemberitahuan dan memperoleh persetujuan orang tua sebelum mengumpulkan informasi dari anak-anak.
  • Situs web, aplikasi, dan alat daring tersebut harus memiliki kebijakan privasi yang jelas dan komprehensif.
  • Situs web, aplikasi, dan alat daring tersebut harus menjaga informasi apa pun yang mereka peroleh dari anak-anak agar tetap aman dan terlindungi.

Meskipun undang-undang ini berasal dari masa-masa awal internet, undang-undang ini menjadi sangat relevan di era media sosial dan iklan terprogram. Pertanyaan utama mengenai COPPA adalah sejauh mana sebuah situs ‘ditujukan’ kepada anak-anak di bawah usia 13 tahun. Di AS, Komisi Perdagangan Federal menilai situs berdasarkan berbagai kriteria, termasuk:

  • Pokok bahasan
  • Konten
  • Penggunaan karakter animasi
  • Penggunaan aktivitas atau insentif yang berorientasi pada anak
  • Usia model
  • Kehadiran selebriti anak atau selebriti yang menarik minat anak-anak
  • Iklan di situs yang ditujukan untuk anak-anak

Beberapa situs web atau layanan menyaring penggunanya berdasarkan usia, sehingga mereka tidak harus mematuhi peraturan COPPA. Misalnya, banyak jejaring sosial yang model bisnisnya didasarkan pada pengumpulan dan monetisasi data pengguna, menetapkan usia minimal 13 tahun bagi pengguna terdaftar.

Pertanyaan lain yang diajukan oleh COPPA adalah apa yang dimaksud dengan ‘pengumpulan informasi pribadi’. Pengumpulan nama, alamat, dan foto termasuk dalam kategori ini. Namun yang kurang kentara adalah iklan perilaku – yaitu, iklan yang melacak perilaku pengguna di seluruh situs web dan aplikasi – yang juga merupakan pengumpulan informasi pribadi berdasarkan COPPA. Meskipun penyedia pihak ketiga menayangkan iklan perilaku tersebut, pemilik situs web bertanggung jawab jika iklan perilaku tersebut muncul di situs web yang menargetkan anak-anak. Mengingat iklan perilaku merupakan bagian besar dari ekosistem internet, hal ini memiliki implikasi signifikan bagi situs web yang ditujukan untuk anak-anak.

Undang-Undang Perlindungan Privasi Daring Anak
    dirancang untuk melindungi anak di bawah usia 13 tahun dari pengumpulan
    informasi pribadi mereka di internet. Gambar menunjukkan seorang gadis
    muda menggunakan laptop untuk pembelajaran jarak jauh.

Undang-Undang Privasi Konsumen California

Undang-Undang Privasi Konsumen California atau CCPA disahkan menjadi undang-undang pada tahun 2018. Tujuannya adalah untuk mengatasi privasi konsumen bagi penduduk California dengan memperluas perlindungan privasi konsumen ke internet. CCPA dianggap sebagai undang-undang privasi data yang berfokus pada internet paling komprehensif di AS, tidak ada padanannya di tingkat federal.

Seperti GDPR Uni Eropa, undang-undang ini memberi konsumen hak untuk mengakses data mereka, bersama dengan hak untuk menghapus dan menolak pemrosesan data kapan saja. Namun, CCPA berbeda dari GDPR karena GDPR memberi konsumen hak untuk mengoreksi atau memperbaiki data pribadi yang salah, sedangkan CCPA tidak. GDPR juga memerlukan persetujuan tegas pada saat konsumen menyerahkan data mereka. Sebaliknya, CCPA hanya menetapkan bahwa catatan privasi tersedia di situs web yang memberi tahu konsumen bahwa mereka memiliki hak untuk menolak pengumpulan data tertentu. Fitur CCPA lainnya meliputi:

  • Konsumen memiliki hak untuk mengakses data mereka melalui permintaan akses subjek data.
  • Pelaku bisnis tidak boleh menjual informasi pribadi konsumen tanpa memberikan pemberitahuan web dan memberi mereka kesempatan untuk menolak.
  • Konsumen memiliki hak terbatas untuk menuntut jika mereka menjadi korban pelanggaran data.
  • Jaksa Agung Negara Bagian lebih memiliki kemampuan secara umum untuk menuntut perusahaan atas nama penduduk.

CCPA memiliki definisi luas tentang informasi pribadi: ‘informasi yang mengidentifikasi, berhubungan dengan, menjelaskan, mampu dikaitkan dengan, atau secara wajar dapat dihubungkan, secara langsung atau tidak langsung, dengan konsumen atau rumah tangga tertentu’. Hal ini serupa dengan pandangan luas GDPR tentang data pribadi.

Peraturan Perlindungan Data Umum

Peraturan Perlindungan Data Umum Uni Eropa – GDPR – mulai berlaku pada tahun 2018. GDPR adalah kerangka hukum yang menetapkan pedoman untuk mengumpulkan dan memproses informasi pribadi dari individu yang tinggal di Uni Eropa. GDPR berlaku di mana pun situs web berada, artinya, GDPR harus dipatuhi oleh semua situs yang menarik pengunjung Eropa. GDPR dianggap sebagai salah satu undang-undang keamanan data yang paling ketat di dunia.

GDPR menetapkan bahwa pengguna situs web harus diberi tahu tentang data yang dikumpulkan situs, dan pengguna harus secara tegas memberikan persetujuan mereka untuk pengumpulan data tersebut. Inilah mengapa banyak situs web memiliki pop-up yang meminta pengguna untuk menyetujui pengumpulan cookie – yaitu, file kecil yang menyimpan informasi pribadi seperti pengaturan dan preferensi situs.

Fitur utama GDPR meliputi:

  • Konsumen berhak mengetahui bagaimana data mereka dikumpulkan dan digunakan.
  • Konsumen dapat bertanya kepada situs web mengenai informasi apa yang telah dikumpulkan tentang mereka (tanpa membayar biaya).
  • Jika terdapat kesalahan pada data konsumen, konsumen dapat meminta agar data tersebut dikoreksi.
  • Konsumen dapat meminta data mereka dihapus dari catatan.
  • Konsumen memiliki hak untuk menolak pemrosesan data – misalnya, untuk tujuan pemasaran.
  • Situs harus memberitahu pengguna jika data mereka telah disusupi atau dilanggar.

Komisi Eropa menjelaskan GDPR secara terperinci di situs web resminya. Ada beberapa hukuman menarik perhatian yang diberikan kepada perusahaan besar karena pelanggaran GDPR – termasuk Google yang dikenai denda sebesar $57 juta karena informasi penting disembunyikan saat pengguna memasang ponsel Android baru, yang berarti pengguna tidak mengetahui kebijakan pengumpulan data apa yang mereka setujui, dan British Airways yang didenda $28 juta ketika 500.000 catatan pemesanan pelanggan dicuri dalam sebuah serangan.

Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan

Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 – HIPAA – adalah undang-undang federal AS yang berfokus pada regulasi asuransi kesehatan, termasuk bagian privasi dan keamanan data. Undang-undang ini mencegah penyedia layanan kesehatan, pelaku bisnis, dan orang-orang yang bekerja sama dengan mereka mengungkapkan informasi kesehatan konsumen tanpa izin.

Ketika orang berbicara tentang HIPAA, mereka biasanya merujuk pada ketentuan Aturan Privasi yang ditetapkan pada tahun 2003. Aturan ini sebagian diperkenalkan karena Kongres AS mengakui bahwa internet mengakibatkan pelanggaran privasi kesehatan lebih mungkin terjadi. Peraturan Privasi HIPAA memberi konsumen hak untuk mengontrol pengungkapan informasi kesehatan mereka, sehingga mereka dapat memberi tahu penyedia layanan kesehatan apa yang harus dibagikan.

Namun, HIPAA hanya melindungi informasi perawatan kesehatan yang dimiliki oleh penyedia layanan kesehatan tertentu. Misalnya, data perawatan kesehatan pada pelacak kebugaran Anda biasanya tidak tercakup oleh HIPAA. Data genetik yang Anda masukkan di situs web seperti Ancestry.com juga tidak tercakup oleh HIPAA. Undang-undang atau perjanjian lain seperti pengungkapan privasi yang diwajibkan pada banyak aplikasi mungkin melindungi informasi tersebut, tetapi HIPAA tidak.

Undang-Undang Gramm-Leach-Bliley

Undang-Undang Gramm-Leach-Bliley (GLBA) – juga dikenal sebagai Undang-Undang Modernisasi Layanan Keuangan tahun 1999 – adalah undang-undang perbankan dan keuangan yang memuat unsur privasi dan keamanan data. Perlindungan informasi pribadi undang-undang ini dibangun berdasarkan undang-undang data keuangan konsumen sebelumnya seperti Undang-Undang Pelaporan Kredit yang Adil (FCRA).

Pada dasarnya, GLBA melindungi informasi pribadi nonpublik, yang didefinisikan sebagai ‘informasi apa pun yang dikumpulkan tentang seseorang sehubungan dengan penyediaan produk atau layanan keuangan, kecuali jika informasi tersebut tersedia untuk umum.’ Referensi ke ‘tersedia untuk umum’ berarti catatan properti atau informasi hipotek tertentu yang mungkin berada dalam domain publik.

Aturan Perlindungan GLBA mengharuskan pengumpul data untuk melindungi informasi pribadi dan membuat sistem keamanan data dengan ukuran yang tepat. Dengan kata lain, bank-bank nasional yang besar membutuhkan perlindungan yang lebih canggih daripada, misalnya, serikat kredit anggota.

Aturan tersebut mengharuskan pelaku bisnis untuk melakukan pengujian secara berkala. Selain itu, mereka harus menerapkan langkah-langkah keamanan dalam operasi sehari-hari, seperti menjalankan pemeriksaan latar belakang karyawan dan menetapkan rencana tindakan pelanggaran jika terjadi serangan.

GLBA menjadikan pretexting sebagai tindakan yang ilegal. Pretexting mengacu pada seseorang yang memperoleh akses tidak sah ke informasi nonpublik. Istilah ini sering dikaitkan dengan peretasan rekayasa sosial – misalnya, ketika seseorang menyamar sebagai manajer atau agen penegak hukum untuk memperoleh informasi. Penipuan phishing, yang terkadang melibatkan pembuatan situs web palsu yang menipu orang agar membocorkan informasi pribadi, merupakan contoh lain dari pretexting. GLBA mengharuskan lembaga keuangan untuk menetapkan tindakan yang mencegah penggunaan pretexting sebagai bagian dari rencana keamanan mereka.

Undang-undang privasi internet: Kesimpulan

Berbagai yurisdiksi di seluruh dunia memiliki undang-undang privasi internet dan keamanan data mereka sendiri. Misalnya, Brasil memiliki Lei Geral de Proteção de Dados (LGPD) sementara Kanada memiliki Undang-Undang Perlindungan Privasi Konsumen (CPPA), yang keduanya secara umum memiliki cakupan yang sama dengan GDPR Uni Eropa atau CCPA California.

Di AS, tidak ada satu pun undang-undang federal komprehensif yang mengatur privasi data. Regulasi internet merupakan gabungan kompleks dari undang-undang yang bersifat khusus sektor dan media, termasuk undang-undang dan regulasi yang mengatur telekomunikasi, informasi kesehatan, informasi kredit, lembaga keuangan, dan pemasaran.

Salah satu cara terbaik untuk melindungi privasi dan keamanan data online Anda adalah menggunakan solusi antivirus yang komprehensif. Produk seperti Kaspersky Premium memblokir ancaman umum dan kompleks seperti virus, malware, ransomware, aplikasi mata-mata, dan aktivitas peretas terbaru.

Produk yang direkomendasikan:

Apa saja undang-undang yang mengatur tentang keamanan internet dan data?

Apa itu hukum internet? Undang-undang privasi internet & regulasi internet mencakup Undang-Undang Perlindungan Privasi Daring Anak, Undang-Undang Privasi Konsumen California, dan lainnya.
Kaspersky logo

Artikel terkait