Masuk tirto.id
tirto.id - Kasus pencurian data pribadi masyarakat kembali mencuat ke permukaan. Direktorat Reserse Siber (Ditreskrimsus) Polda Metro Jaya baru-baru ini mengungkap praktik pencurian dan penyalahgunaan data konsumen milik perusahaan jasa pengiriman Ninja Xpress. Aksi ini didalangi oleh mantan kurir dan tenaga lepas yang pernah bekerja di perusahaan tersebut.
Sebanyak 10 ribu data pelanggan berhasil dicuri dan kemudian disalahgunakan untuk melakukan ratusan transaksi fiktif menggunakan metode pembayaran di tempat (Cash on Delivery/COD). Alih-alih menerima barang sesuai pesanan, para korban justru dikirimi paket berisi barang tak berguna, seperti potongan kain perca dan koran bekas.
"Isinya tidak sesuai dengan pesanan. Jangankan tidak sesuai, mungkin lebih tepat kalau disebut sampah," kata Kasubdit III Ditressiber Polda Metro Jaya, AKBP Rafles Langgak Putra Marpaung, saat konferensi pers di Mapolda Metro Jaya, Jumat (11/7/2025).
Duduk Perkara & Kronologi Kasus
Kasus ini mencuat ke publik setelah lebih dari 100 laporan keluhan masuk dari konsumen dalam kurun waktu Desember 2024 hingga Januari 2025. Menanggapi lonjakan aduan tersebut, Ninja Xpress melakukan audit internal dan menemukan sebanyak 294 pengiriman bermasalah.
Dalam temuan tersebut, mayoritas konsumen yang menggunakan metode pembayaran di tempat mengaku menerima paket jauh lebih cepat dari estimasi pengiriman normal, yang biasanya memakan waktu hingga tujuh hari. Para korban tersebut mengatakan bahwa paket yang mereka pesan menggunakan ekspedisi Ninja Xpress dengan jenis pembayaran COD sampai dalam bentuk yang tidak sesuai.
"Dari sini kemudian didalami lagi tiap-tiap data pemasaran yang bermasalah, ditemukan bahwa adanya pembukaan data oleh karyawan di salah satu cabang kantornya Ninja Xpress,” lanjut Raffles.
Pihak kepolisian menjelaskan bahwa sistem internal milik Ninja Xpress sebenarnya telah dilengkapi dengan fitur enkripsi. Namun, data konsumen masih dapat diakses melalui proses yang dikenal sebagai "unmasking", atau pembukaan data yang seharusnya tersembunyi.
Dalam proses penyelidikan, diketahui bahwa pelaku utama bukanlah karyawan tetap yang memiliki wewenang atas sistem, melainkan pekerja harian lepas yang secara resmi tidak memiliki akses ke sistem internal perusahaan.
“Pada saat karyawan yang mempunyai akses, mempunyai wewenang terhadap sistem ini, lengah, dia melakukan akses, melakukan infiltrasi terhadap akses rahasia tersebut. Sehingga, dia bisa mengetahui nama pemesan, jumlah pemesan, jenis pesanan, alamat pengiriman, nomor handphonenya, dan biayanya. Jadi dia pilih yang mungkin cukup banyak,” ujar Raffles.
Dalam kasus ini, polisi menangkap dua tersangka berinisial T dan MFB, yang ditangkap di wilayah Jawa Barat. Sementara itu, satu pelaku lainnya, yang berinisial G, yang diduga menjadi otak dari kejahatan ini, masih dalam pengejaran aparat.
G disebut mendapatkan akses data pelanggan dari T, pekerja lepas yang sempat ditempatkan di kantor Ninja Xpress di Kecamatan Lengkong, Bandung, Jawa Barat. Dengan memanfaatkan kelengahan pegawai tetap, T dapat masuk ke sistem internal dan mencuri data seperti nama pelanggan, jenis barang, alamat, nomor telepon, hingga nominal pembayaran COD.
Data-data itu kemudian dijual ke G dengan harga Rp 2.500 per entri, di mana pembagiannya adalah Rp1.500 untuk T dan Rp1.000 untuk MFB. Kepolisian menyebut total keuntungan yang diperoleh ketiganya sudah mencapai sekitar Rp25 juta. Sementara itu, pihak Ninja Xpress sebagai penyedia jasa ditaksir mengalami kerugian materiil sebesar Rp35 juta. Selain kerugian finansial, perusahaan juga harus menanggung kerugian imateriel berupa hilangnya kepercayaan pelanggan terhadap layanan mereka.
Masuk Kategori Pelanggaran Data Pribadi
Pakar kebijakan digital yang juga Direktur Kebijakan Publik Raksha Initiatives, Wahyudi Djafar, menilai kasus kebocoran data konsumen yang melibatkan Ninja Xpress dapat dikategorikan sebagai tindak pidana pelanggaran data pribadi.
Ia menjelaskan bahwa kasus ini bisa merujuk pada ketentuan Pasal 65 Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), yang mengatur larangan terhadap pengumpulan dan penggunaan data pribadi tanpa dasar hukum yang sah. Menurutnya, siapa pun yang terlibat dalam tindakan tersebut, termasuk individu perorangan seperti kurir maupun tenaga lepas, dapat dikenai pertanggungjawaban pidana.
“Ataupun ketika misalnya memang dari proses investigasi yang mungkin itu nanti diungkap, menunjukkan ada indikasi keterlibatan dari korporasinya gitu kan. Karena kan UU PDP itu tidak hanya bisa menjerat individu orang perseorangan, tetapi juga kemudian memungkinkan juga untuk digunakan menjerat secara pidana bagi korporasi,” ujarnya saat dihubungi Tirto, Senin (14/7/2025).
Dalam konteks ini, Ninja Xpress sebagai pengendali data pribadi, memiliki kewajiban untuk memastikan sistem pengelolaan data yang aman dan terlindungi. Jika terjadi kebocoran, berarti ada indikasi masalah dalam proses pemrosesan data yang membuka celah bagi penyalahgunaan oleh pihak internal.
Wahyudi juga menggarisbawahi bahwa selain sistem keamanan, perusahaan juga bertanggung jawab memberikan pelatihan dan peningkatan kapasitas bagi seluruh staf agar memahami pentingnya perlindungan data pribadi.
“Nah, ini yang kemudian juga nantinya bisa berujung pada pengenaan sanksi administratif terkait dengan bagaimana pelaksanaan standar kepatuhan oleh pengendali data oleh korporasinya,” sambungnya.
Ia menambahkan, meskipun saat ini Lembaga Pelindungan Data Pribadi secara struktural belum terbentuk, pengawasan masih bisa dilakukan oleh Kementerian Komunikasi dan Digital (Komdigi). Melalui PP Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, Komdigi memiliki kewenangan untuk melakukan investigasi dan penindakan administratif terhadap penyelenggara sistem elektronik (PSE) seperti Ninja Xpress.
Lalu, bagaimana hak konsumen yang menjadi korban dalam kasus ini?
Hak Konsumen Sebagai Korban
Terkait hak-hak konsumen dalam kasus kebocoran data ini, Wahyudi menjelaskan bahwa terdapat tiga langkah yang bisa dilakukan konsumen yang menjadi korban. Pertama, konsumen dapat melaporkan kasus ini melalui mekanisme pidana. Karena terdapat dugaan tindak pidana dalam bentuk pencurian dan penggunaan data pribadi secara melawan hukum, konsumen memiliki hak untuk mengadukan kasus ini ke kepolisian.
“UU PDP membuka ruang untuk pidana restitusi, artinya jika korporasi terbukti melanggar hukum dan merugikan konsumen, maka bisa dikenai pidana tambahan berupa kewajiban membayar ganti kerugian kepada korban,” ujar Wahyudi.
Kedua, konsumen juga dapat menempuh mekanisme administratif. Idealnya, ini dilakukan melalui Lembaga PDP. Namun, karena lembaga tersebut hingga kini belum terbentuk, laporan dapat disampaikan ke Komdigi.
“Nanti Komdigi melakukan investigasi dan kemudian nanti akan ada mekanisme-mekanisme, termasuk salah satunya mediasi yang berkaitan dengan ganti kerugian. Kalau terbukti bahwa si subjek data ini adalah salah satu korban dari ketiga patuhan pengendali data terhadap kewajiban-kewajiban pelindungan data pribadi,” katanya.
Ketiga, konsumen memiliki hak untuk mengajukan gugatan perdata, sebagaimana diatur dalam Pasal 12 UU PDP. Jalur ini memungkinkan konsumen sebagai subjek data untuk bisa menuntut ganti rugi ke pengadilan perdata jika terbukti terjadi pengumpulan atau penggunaan data pribadi secara melawan hukum. Dalam hal ini, bukti-bukti pelanggaran yang dikumpulkan bisa menjadi dasar gugatan.
“Jadi ada tiga hal yang bisa digunakan oleh konsumen. Satu, melaporkan secara pidana. Yang kedua, melaporkan secara administratif kepada Komdigi. Ketiga menggunakan mekanisme gugatan perdata. Nah tiga langkah ini yang mengacu pada UU PDP,” ujarnya.
Selain ketiga mekanisme di atas yang berbasis pada perlindungan data pribadi, Wahyudi juga mengingatkan bahwa konsumen bisa memanfaatkan jalur penyelesaian sengketa melalui UU Perlindungan Konsumen, yakni UU No. 8 Tahun 1999.
YLKI Desak Pelaku Usaha Lindungi Data Konsumen
Yayasan Lembaga Konsumen Indonesia (YLKI) menanggapi serius kasus dugaan kebocoran data konsumen yang melibatkan perusahaan Ninja Xpress. Sekretaris Eksekutif YLKI, Rio Priambodo, mendesak adanya audit investigasi terhadap kebocoran data apakah ada indikasi kelalaian dari pelaku usaha atau tidak.
“Pihak Ninja Xpress harus buka suara ke publik untuk mengklarifikasi apakah ada kebocoran data atau tidak dan bagaimana sikap manajemen untuk memitigasi soal data,” ujarnya saat dihubungi Tirto, Senin (14/7/2025).
Dalam pandangan YLKI, konsumen yang merasa dirugikan oleh kebocoran data ini memiliki hak untuk menuntut pertanggungjawaban dari pelaku usaha, termasuk menempuh jalur hukum untuk mendapatkan ganti rugi. Ke depannya, YLKI meminta pelaku usaha menjamin keamanan dan kerahasiaan data konsumen sebagai pemenuhan hak yang diamanatkan dalam UU Perlindungan Konsumen, bahwa konsumen berhak atas keamanan, kenyamanan, dan keselamatan.
Penjelasan Ninja Xpress
Mewakili perusahaan, Chief Marketing Officer (CMO) Ninja Xpress, Andi Junardi, menyampaikan rasa sangat prihatin atas keresahan yang mungkin dialami pelanggan. Ia menegaskan bahwa perusahaan tidak menolerir atau menoleransi pelanggaran privasi dalam bentuk apapun
“Setelah menemukan indikasi anomali ini, anomali akses terhadap data-data dari pihak internal, kami segera-gerak cepat melakukan investigasi internal dan langsung melaporkan kasus ini ke pihak kepolisian. Kami sangat mengapresiasi gerak cepat dari aparat penegak hukum yang langsung menindaklanjuti laporan kami,” saat konferensi pers di Mapolda Metro Jaya, Jumat (11/7/2025).
Lebih lanjut, ia menegaskan bahwa insiden ini merupakan kejadian pertama yang dialami oleh perusahaan. Ia membantah bahwa peristiwa tersebut berkaitan dengan peretasan sistem atau gangguan terhadap infrastruktur teknologi informasi perusahaan.
“Ini pertama kali kita kejadian, sebelumnya tidak pernah kejadian. Tidak ada urusannya dengan hacker dan sistem IT kami karena memang setiap station itu ada stakeholder atau pihak-pihak kami yang memiliki akses terhadap data untuk kemana barang itu dikirimkan. Ini murni penyalahgunaan data,” ujarnya.
Ke depannya, Ninja Xpress menyatakan berkomitmen akan terus memperkuat sistem keamanan, memperketat proses internal dan memastikan kejadian seperti ini tidak terulang lagi. Langkah pertama yang akan dilakukan adalah mengidentifikasi secara menyeluruh siapa saja yang memiliki akses terhadap data pelanggan. Langkah selanjutnya, adalah peningkatan kualitas sumber daya manusia (SDM).
“Setelah kita identifikasi, kita perkecil ruang lingkup orang-orang yang memang memiliki itu. Misalnya tadi ada dua orang, kita hanya jadi satu saja. Satu orang inilah yang akan memiliki akuntabilitas terhadap penyalahgunaan data itu. Sekarang itu yang kita fokuskan. Nomor dua adalah pastinya tentang kualitas SDM kita sendiri. Bagaimana kita memastikan bahwa orang-orang ini memiliki integritas yang tinggi untuk memiliki tanggung jawab,” ujarnya.
Penulis: Alfitra Akbar
Editor: Farida Susanty
