Jenny LiĀ
Kebocoran database polisi Shanghai yang berisi rincian data pribadi satu miliar warga kembali menyoroti tindakanĀ sembrono Partai Komunis Tiongkok (PKT) terhadap privasi warganya.
Beberapa tahun terakhir PKT kerap memperkenalkan undang-undang terkait keamanan data. Alih-alih berfokus pada melindungi informasi pribadi warga negara Tiongkok, PKT justru menggunakannya sebagai alat untuk menekan perusahaan Tiongkok dan mengedepankan ambisi internasionalnya.
Pada awal Juli, peretas atau grup anonim dengan nama “ChinaDan” mendaftarkan database informasi pribadi 1 miliar warga negara Tiongkok di Breach Forums, sebuah komunitas peretas populer untuk dijual. Basis data tersebut berasal dari kepolisian Shanghai.
Dasbor yang digunakan mengelola data telah dipasang di web publik dan tetap terbuka tanpa kata sandi, menurut pakar keamanan siber. Setelah dibuka selama lebih dari setahun, database tersebut tiba-tiba dihapus oleh peretas atau grup pada pertengahan Juni dan diganti dengan catatan tebusan, menuntut polisi Shanghai menebus database tersebut dengan 10 bitcoin, atau sekitar $200.000.
Polisi Shanghai tidak menyerahkan uang itu. Sebulan kemudian, peretas mendaftarkan database untuk dijual seharga $200.000.
Peretas atau grup juga memposting sampel database lebih dari 23 terabyte, yang mereka klaim berisi catatan 250.000 penduduk Tiongkok di tiga aset terpisah.
Kumpulan data pertama adalah “informasi pribadi”, termasuk nama, usia, jenis kelamin, tahun lahir, tempat lahir, dan nomor kartu identitas. Beberapa bahkan diberi label dengan sebutan terperinci, seperti āanggota utama Kementerian Keamanan Publikā, ābelum pernah bertugas di militerā, dan ātingkat pendidikan sekolah dasarā.
Kumpulan kedua adalah ādata gabungan alamat dan telepon selulerā, yang berisi nama, alamat, dan nomor telepon seluler.
Kumpulan data ketiga berisi catatan kasus yang tampaknya telah dilaporkan ke polisi, dengan informasi seperti nama dan nomor telepon orang yang melaporkan kejahatan, kapan dan mengapa laporan itu diajukan, dan bagaimana penanganannya.
The Epoch Times membuat lebih dari belasan panggilan telepon menggunakan informasi dalam dokumen. Dari empat panggilan yang berhasil dijangkau, tiga orang mengkonfirmasi keaslian informasi dalam file, sementara orang keempat tidak menyangkal ketika diminta mengonfirmasi nama mereka.
Tak lama setelah database polisi Shanghai disiapkan untuk dijual, pengguna anonim lainnya menjual database polisi di Provinsi Henan di forum online, mengklaim memiliki informasi tentang 90 juta warga.
Kebocoran data warga ini bukan pertama kalinya dari PKT mengalami kehilangan data sensitif.
Pada 21 Juli 2020, daftar semua anggota PKT di Shanghai diterbitkan secara online, berisi nama, nomor telepon, provinsi, bos saat ini, cabang partai, kelompok etnis, dan tingkat pendidikan dari 1,95 juta anggota partai. Daftar tersebut diperoleh oleh para pembangkang Tiongkok dari sebuah server di Shanghai dan diserahkan kepada Inter-Parliamentary Alliance on China.
Ada juga kebocoran dari perusahaan yang memiliki hubungan dekat dengan pihak berwenang.
Pada 2019, Victor Gevers, seorang peneliti keamanan Belanda, mengungkapkan di Twitter bahwa SenseNet, sebuah perusahaan pengenalan wajah Tiongkok, memiliki pelanggaran data yang melibatkan 2,56 juta orang dan 6,8 juta catatan, termasuk informasi kartu identitas pribadi, gambar pengenalan wajah, dan di mana mereka berada. Pengenalan wajah real-time SenseNet memungkinkan siapa sajaĀ melihat catatan ini dan melacak seseorang.
Mitra SenseNet termasuk Biro Keamanan Publik Kota Lianyungang, Biro Keamanan Publik Provinsi Guangdong, Biro Keamanan Publik Hanyang di kota Wuhan, dan Biro Keamanan Publik Duyun di Provinsi Guizhou. Perusahaan mengklaim bahwa teknologi pengenalan wajah dapat membantu polisi setempat menganalisis, mengeluarkan peringatan, dan menjaga ketertiban umum.
Menurut analisis Gevers, PKT menggunakan pengenalan wajah SenseNet dan teknologi analisis Big Data untuk memantau dengan cermat pergerakan hampir 2,6 juta penduduk di Provinsi Xinjiang.
Undang-Undang Baru PKT tentang Keamanan Data
Beberapa tahun terakhir, PKT sering memperkenalkan undang-undang yang berkaitan dengan keamanan data, termasuk Undang-Undang Keamanan Siber, Undang-Undang Keamanan Data, dan Undang-Undang Perlindungan Informasi Pribadi.
Pada November 2016, PKT memperkenalkan Undang-Undang Keamanan Siber, yang mana diklaim akan menetapkan dan meningkatkan sistem jaminan keamanan siber dan meningkatkan kapasitas perlindungan keamanan siber.
Pada 20 Agustus 2021, PKT memperkenalkan Undang-Undang Perlindungan Informasi Pribadi dan diklaim bahwa penangan informasi pribadi harus mengembangkan sistem manajemen internal dan prosedur operasi, menerapkan manajemen rahasia informasi pribadi, dan mengambil langkah-langkah teknis keamanan yang sesuai seperti enkripsi, de- pelabelan, dan kontrol hak operasi.
Pada 1 September 2021, PKT lagi-lagi meluncurkan Undang-Undang Keamanan Data, yang mengklaim bahwa kegiatan pemrosesan data harus mematuhi undang-undang dan peraturan, menghormati moralitas sosial, mematuhi etika bisnis dan profesional, jujur āādan dapat dipercaya, dan memenuhi kewajiban perlindungan keamanan data.
Namun demikian, selama lebih dari setahun, dari April 2021 hingga Juni 2022, basis data kepolisian Shanghai yang berisi satu miliar orang tetap terbuka tanpa kata sandi, memungkinkan siapa pun mengakses informasi yang dikumpulkan.
Sejauh ini, otoritas PKT tidak memberikan komentar tentang masalah ini dan tidak berurusan dengan orang-orang yang terlibat. Sebaliknya, mereka justru memblokir laporan dan diskusi tentang masalah itu.
Ironisnya, data pribadi warga negara Tiongkok tidak dilindungi, namun perusahaan Tiongkok terhambat dalam pengembangannya di luar negeri.
Kontrol PKT Atas Perusahaan
Pada Juni 2021, beberapa minggu sebelum Didi, perusahaan ride-hailing, go public di Amerika Serikat, pengawas keamanan siber Tiongkok mengatakan ingin perusahaan menunda penawaran umum perdana.
Tanpa perintah eksplisit menghentikan IPO, Didi go public seperti yang direncanakan pada 30 Juni. Beberapa hari kemudian, regulator PKT mengeluarkan pemberitahuan yang mengatakan akan melakukan ātinjauan keamanan siberā terhadap Didi, mengharuskan toko aplikasi seluler untuk menghapus aplikasi, dan melarang pengguna baru mendaftar āuntuk mencegah risiko keamanan data nasional, menjaga keamanan nasional, dan melindungi kepentingan publik.ā
Harga saham Didi anjlok setelah itu. Pada Desember 2021, Didi mengumumkan rencana delisting dari Amerika Serikat. Pada 10 Juni, hari terakhir perdagangan Didi di Bursa Efek New York, sahamnya turun 84 persen dari harga IPO mereka.
Tiga bulan kemudian, PKT secara resmi menerapkan Undang-Undang Keamanan Data, yang mewajibkan organisasi dan individu di Tiongkok agar tidak memberikan data apa pun yang disimpan di Tiongkok kepada otoritas peradilan atau penegak hukum asing.
Pada Januari 2021, Cyberspace Administration of China (CAC) mengeluarkan Tindakan Tinjauan Keamanan Siber, yang mana mewajibkan operator platform online dengan lebih dari 1 juta informasi pribadi pengguna, melaporkan peninjauan keamanan sebelum listing asing. Departemen pemerintah terkait akan menilai ārisiko bahwa infrastruktur informasi dan data penting, data inti, atau sejumlah besar informasi pribadi dapat dipengaruhi, dikendalikan, atau digunakan secara jahat oleh pemerintah asing.ā
Sementara data dilarang meninggalkan Tiongkok, otoritas PKT justru mencoba mendapatkan akses ke data asing dengan berbagai cara, termasuk meretas database perusahaan multinasional, menjalankan ārencana talentaā di universitas dan perusahaan asing, dan membeli perusahaan asing.
Pada 29 Juni, Brendan Carr dari U.S. Federal Communications Commission mengatakan bahwa TikTok menimbulkan ārisiko keamanan nasional yang tidak dapat diterima karena pengumpulan datanya ekstensif dikombinasikan dengan akses Beijing yang tampaknya tidak terkendali ke data sensitif itu.ā
“TikTok bukan hanya aplikasi video, seperti pakaian domba,” tulis Carr dalam sebuah posting Twitter. āIni memanen data sensitif yang menurut laporan terbaru sedang diakses di Beijing.ā
TikTok dimiliki oleh ByteDance, sebuah perusahaan Tiongkok, yang Chief Executivenya, Shouzi Chew, baru-baru ini mengakui bahwa karyawannya di luar Amerika Serikat, termasuk di Tiongkok, memiliki akses ke data pengguna TikTok di AS.
Rekaman pertemuan internal TikTok bocor pada Juni, menunjukkan bahwa karyawan di Bytedance terus mengakses data pribadi non-publik dari pengguna Amerika.
Jake Sullivan, penasihat keamanan nasional AS mengatakan bahwa pada tahun 2021 Beijing āmelihat data besar sebagai aset strategis.ā Matt Pottinger, mantan wakil penasihat keamanan nasional AS, juga menulis bahwa Big Data adalah pusat ambisi Beijing.
Pada Juni 2021, Ning Xuanfeng, mitra senior King & Wood Mallesons, sebuah firma hukum di Tiongkok, turut menulisĀ artikel yang mengatakan bahwa negara-negara di seluruh dunia sedang mengalami babak baru ākepemilikan digitalā seputar kontrol dan yurisdiksi data, konfrontasi dan pertahanan menjadi semakin sengit di bidang persaingan data. Maksud sebenarnya dari Undang-Undang Keamanan Data adalah ā meningkatkan keunggulan kompetitif kedaulatan data yang bertujuan mengubah dan membentuk kembali aturan data internasional,ā tulisnya. (asr)
