Saya tadinya yakin betul di mana saya meletakkan sim card ponsel saya.
Tapi setelah gagal menemukannya, saya menyerah dan bergegas mencari gerai provider ponsel langganan terdekat untuk mendapatkan sim card yang baru.
BACA JUGA: Dunia Hari Ini: Surat Kabar Inggris Digugat Pangeran Harry
Sebelum berangkat ke salah satu mal di Jakarta Barat tempat gerai itu berada, saya pastikan semua dokumen yang diperlukan tidak ketinggalan.
"Ada KTP-nya, Bu?" tanya petugas yang melayani. Saya serahkan KTP saya.
BACA JUGA: Apa yang Menyebabkan Dwi Kewarganegaraan Indonesia sekadar Wacana?
Dia memeriksa KTP saya, kemudian memotret KTP saya dengan tabletnya lalu mengembalikan KTP saya.
"Sekarang tolong dipegang KTP-nya sambil menghadap ke saya untuk saya foto ya, Bu," tambahnya.
BACA JUGA: Ketika Yahudi Australia Berubah Pikiran soal Israel, Simak Ceritanya
Saya paham jika pihak provider memerlukan "bukti" semacam ini jika transaksi dilakukan secara daring, untuk memastikan dengan siapa mereka berkomunikasi.
Masalahnya, yang saya lakukan adalah transaksi luring, yakni dengan datang langsung ke gerai dan memperlihatkan langsung KTP saya untuk dicek oleh petugas.
Ini bukan untuk pertama kalinya saya merasa dipaksa berfoto dengan kartu-kartu saya.
Hanya beberapa bulan yang lalu, bank meminta saya melakukan verifikasi ulang setelah mereka secara sepihak mengubah jenis kartu kredit saya.
Caranya: mengirim swafoto dengan KTP dan kartu kredit yang baru melalui surel.
Saya memilih datang ke bank karena mengira dengan datang langsung dan membawa semua persyaratan, saya tak perlu lagi berswafoto atau diambil fotonya.
Dan perkiraan saya jauh meleset.
Berbeda dengan ponsel, waktu itu saya punya opsi untuk menutup saja kartu kredit yang nyaris tak pernah saya pakai itu.
"Memang sudah begitu aturannya, Bu. Tanpa selfie Ibu atau foto yang kami lakukan, permintaan Ibu tidak bisa kami proses," tutur petugas provider ponsel.
"Meskipun ini saya sudah datang langsung ke gerai?" saya minta penjelasan.
"Betul, Bu. Aturannya sudah begitu untuk semua."
Saya merasa percuma berdebat dengan petugas yang hanya menjalankan aturan.
Maka kali ini sebagai konsumen yang tidak berdaya, saya tak punya pilihan lain selain berpose meski tanpa senyum.
Dan sejak saat itu banyak pertanyaan yang berkecamuk di pikiran saya, mulai dari keamanan data pribadi sampai model verifikasi identitas yang ideal.
Saya berbicara dengan pakar digital forensik sekaligus CEO Digital Forensic Indonesia, Ruby Alamsyah untuk memastikan apakah keresahan saya wajar.Kebijakan 'Know Your Customer' yang salah kaprah
Ruby Alamsyah mengatakan syarat swafoto dengan memegang KTP ini mulai marak sejak menjamurnya digital platform finansial seperti bank digital atau pinjaman online.
"Proses tersebut merupakan bagian dari proses Know Your Customer (Ketahui Pelanggan Anda) atau KYC yang diwajibkan regulator, baik OJK, BI atau pemerintah untuk memastikan platform tahu siapa user yang ia akan layani, yang menjadi pelanggan dia."
"Namun ada beberapa celah atau salah kaprah dalam upaya comply terhadap aturan tersebut," tambah Ruby.
Menurut Ruby, proses KYC berupa swafoto dengan kartu identitas menjadi pilihan yang masuk akal saat pelanggan berada remotely sehingga proses dilakukan melalui website atau aplikasi.
"Jadi tidak di lokasi perbankan atau di institusi terkait, ... kalau dilakukan saat di lokasi, bagi saya itu enggak masuk akal atau salah."
Ruby menduga praktik ini akhirnya dilakukan karena institusi yang bersangkutan "hanya punya satu sistem KYC, yaitu sistem online."
"Jadi walaupun orang datang ke lokasi, mereka tetap pakai sistem KYC yang online, SOP-nya memaksa CS meminta pelanggan untuk tetap melakukan KYC dengan sistem online, berfoto dengan ID Card karena menggunakan sistem yang sama."
Ruby menilai, seharusnya institusi memiliki sistem yang berbeda antara proses yang dilakukan online dan onsite.
"Dan karena proses ini marak dilakukan di pinjol, praktik ini kemudian dilakukan juga oleh institusi-institusi lain, seolah ini adalah the best practice, padahal menurut saya tidak."Ada cara verifikasi lain yang lebih aman
Di luar pentingnya kedua sistem tadi, Ruby mengatakan "selfie dengan ID card tidak menjamin bahwa platform tersebut pasti bisa mengidentifikasi itu adalah pelanggan yang dimaksud."
"Sudah ada banyak sekali cara untuk mengelabuhi teknik tersebut."
Dia mengaku sudah melakukan tes di beberapa platform online di Indonesia dengan menggunakan teknik simpel, misalnya menggunakan dua software bantuan.
"Saya bisa mengaku jadi orang lain, pakai data foto orang lain, pakai ID card yang saya bikin fake, akhirnya saya terverifikasi, disetujui oleh sistem KYC online tadi."
Kelemahan inilah yang menurut Ruby menyebabkan banyaknya "pembuatan rekening penjahat atau penampung kejahatan di bank-bank digital yang menggunakan KYC itu."
"Akhirnya penjahat bisa merasa tenang dan santai, tidak khawatir bisa ditangkap dengan mudah, karena mereka menggunakan identitas orang lain."
Ini belum lagi bicara soal risiko kebocoran foto-foto yang berisi data pribadi tersebut.
Sebagai alternatif cara verifikasi identitas yang aman, Ruby menawarkan verifikasi melalui alamat yang selama ini menurutnya masih jarang dilakukan.
"Aplikasi atau website itu diakses menggunakan mobile phone, laptop, atau PC, yang mana semua device itu bisa diketahui lokasinya."
"Jadi kalau orang mau buka rekening baru, atau kartu hilang, atau transaksi lain yang membutuhkan verifikasi identitas, syaratnya hanya proses harus dilakukan di alamat yang sesuai dengan KTP-nya saja."
"Aplikasi atau web itu harus bisa mendeteksi lokasi, kalau lokasinya beda maka prosesnya akan ditolak."
Menurut Ruby, cara ini memungkinkan secara teknologi, serta jauh lebih aman dan valid dibanding swafoto dengan kartu identitas, meski mengandung satu syarat.
"Database alamat di Dinas Kependudukan harus beres dulu dan terus diperbaharui." Menunggu penerapan Undang-undang Perlindungan Data Pribadi
Ruby Alamsyah menilai wajar jika ada keresahan di masyarakat terkait perlindungan data pribadi, khususnya di era digital saat ini.
"Apalagi sejak 2019 hingga tahun ini kebocoran data di Indonesia ini sangat luar biasa besar, baik di platform sekelas unicorn, bank, sampai KPU dan BPJS Kesehatan yang paling masif... itu datanya sudah kita cek, real semua."
Yang perlu dilakukan masyarakat, menurutnya, adalah dengan menyimpan dengan proper data pribadi masing-masing, terutama saat kita mengisi, memberikan, atau mengunggah data pribadi kita ke website-website.
"Hanya mereka yang belum pernah jadi korban pencurian data dan dirugikan karenanya yang merasa data pribadi mereka enggak penting."
"Jadi pastikan semua data pribadi kita yang sensitif itu kita masukkan ke instansi yang kita tahu reputasinya, lebih bagus lagi jika mereka sudah mendeclare bahwa mereka akan menjaga keamanan data ... harus berhati-hati karena banyak phising, website yang palsu tapi tampilannya menyerupai yang asli."
Ruby berharap, keresahan warga seperti saya terkait keamanan dan perlindungan data pribadi ini akan mereda dengan diberlakukannya Undang-undang Perlindungan Data Pribadi (UU PDP).
"Karena semuanya diatur di sana, misalnya bagaimana seharusnya instansi menjaga, memproses. dan menghapus data pribadi yang diberikan user, termasuk sanksi denda yang dihitung dari pendapatan platform ... kalau ini sudah diberlakukan, kekhawatiran warga akan berkurang dan platform akan semakin mature."
Undang-undang yang diterbitkan tahun 2022 ini masih belum bisa dijalankan sepenuhnya sekarang karena masih dalam dua tahun masa sosialisasi dan belum terbentuknya Komisi PDP sebagai regulator sesuai amanah undang-undang itu.
BACA ARTIKEL LAINNYA... Dunia Hari Ini: Rekor Roti Terpanjang di Dunia Dipecahkan di Prancis