Memahami User Consent dan Non-Consent Data dalam Bisnis Fintech: Sekilas Tentang Persetujuan Pengguna
Meningkatnya transformasi fintech dan keuangan digital bergerak bersama dengan masifnya implementasi data sharing atau pembagian data antar berbagai pihak. Data sharing bukanlah sesuatu yang baru dalam bisnis fintech, tetapi implementasinya selalu menjadi sebuah topik tersendiri. Ketika berbicara mengenai data sharing, pengguna atau user consent (persetujuan pengguna) selalu menjadi perhatian utama. Hal ini disebabkan oleh perlakuan terhadap data tersebut dan pertanyaan seperti “apakah pengguna setuju dengan ini?” atau “untuk apa data saya digunakan” muncul dalam benak.
Mengutip dari Peraturan Perlindungan Data Umum (GDPR) milik Uni Eropa pada pasal 4, persetujuan pengguna atau user consent diartikan sebagai “indikasi apa pun yang diberikan secara bebas, spesifik, yang diinformasikan, dan indikasi yang tidak ambigu berdasarkan keinginan pengguna, melalui pernyataan atau tindakan afirmatif yang jelas, menandakan persetujuan untuk pemrosesan data pribadi yang berkaitan dirinya (pengguna)”. Sebagai tambahan, seperti contoh lainnya berkaitan dengan artikel sebelumnya mengenai regulasi di Indonesia, kita akan melihat aturan persetujuan pengguna dalam UU Informasi dan transaksi. Pada aturan tersebut, dapat disimpulkan bahwa siapa yang dengan sengaja dan tidak memiliki hak untuk mendistribusikan dokumen elektronik tertentu milik pihak lain akan dikenakan denda sesuai nominal yang tertera pada aturan tersebut.
Tanpa masuk terlalu dalam untuk menginterpretasikan kedua undang-undang tersebut, aturan yang telah disebutkan diatas menjelaskan bagaimana persetujuan dan penegasan diberikan oleh pemilik data itu sendiri, yang berarti dalam konteks fintech ada pada penggunanya atau user. Tidak membahas terlalu jauh untuk topik seperti illusionary consent atau consent tak nyata, atau mungkin kebocoran data, artikel ini akan membahas lebih tentang lapisan terluar data consent (persetujuan data) di fintech, mulai dari contoh implementasi, jenis persetujuan untuk berbagi data, dan hal-hal penting yang perlu kita perhatikan.
Bagaimana Fintech mengimplementasikan data consent ( Persetujuan Data)
Persetujuan berkaitan erat dengan privasi data. Westin, melalui bukunya yang berjudul Privacy and Freedom, menjelaskan privasi sebagai “klaim atas individu atau grup untuk menentukan dirinya kapan, bagaimana, dan sejauh mana informasi tentang mereka dikomunikasikan kepada orang lain”. Meskipun definisi privasi cukup luas, dalam bisnis fintech, data sharing (berbagi data) untuk informasi finansial pengguna atau user memungkinkan tindakan yang berkaitan dengan layanan keuangan digital tertentu untuk dilakukan.
Kita akan melihat melihat proses orientasi atau onboarding pengguna sebagai contoh. Untuk penggunaan pertama aplikasi fintech, dokumen pribadi penting seperti kartu identitas, informasi rekening bank, dan lainnya biasanya didapatkan oleh aplikasi fintech dengan menanyakan secara langsung pada pengguna. Melalui persetujuan pengguna, Aplikasi fintech akan menanyakan apakah pengguna setuju mengenai semua kebijakan privasi sebelum menyerahkan semua dokumen KYC.
Fintech juga melayani penggunanya sebagai penyedia pihak ketiga dimana fintech bisa saja membaca data pengguna dari institusi keuangan, seperti bank, jika pengguna tersebut menyetujui untuk data pribadi mereka terbaca oleh fintech. Sebagai contoh adalah bagaimana pengguna melakukan pembayaran langsung dari rekening bank mereka ke pedagang e-commerce. Contoh lain adalah ketika pengguna setuju dengan histori transaksi mereka untuk dibaca oleh platform robo-advisory untuk menganalisis kesehatan keuangan mereka.
Kepatuhan terhadap peraturan data sharing dan memberikan jaminan kepada pengguna menjadi alasan utama mengapa persetujuan pengguna menjadi sangat penting dalam bisnis fintech. Mengambil contoh lain dari regulasi Indonesia, Otoritas Jasa Keuangan (OJK), dalam POJK Nomor 1 / POJK.07 / 2013 dan SEOJK Nomor 14 / SEOJK.07 / 2014 menetapkan bahwa semua pelaku usaha di sektor keuangan dilarang menyediakan atau memberikan data pribadi penggunanya kepada pihak ketiga. Larangan pemberian data dan / atau informasi pribadi oleh pelaku usaha tersebut dikecualikan dalam kondisi tertentu sebagai berikut; konsumen memberikan persetujuan tertulisnya, dan / atau diwajibkan oleh peraturan perundang-undangan. Selain itu, inisiatif seperti Open Banking juga membuahkan sebuah aturan perlindungan baru yang dikhususkan untuk data sharing, seperti untuk penggunaan API data finansial dan API terbuka. Aturan baru ini merujuk pada Payment Service Directive 2 (PSD2) milik Uni Eropa.
Eksistensi dari Non-Consent Data
Dengan transformasi keuangan digital yang cepat di seluruh wilayah, berbagai inovasi yang berkembang seperti Open Banking — API terbuka, API data finansial, API transaksi, dll. Memungkinkan berbagi data untuk pihak ketiga, seperti fintech, untuk verifikasi instan dan proses otentikasi yang cepat. Apa yang mungkin tidak terlihat adalah proses yang tidak mengharuskan user atau pengguna untuk melakukan persetujuan setiap kali sebuah proses terjadi. Hal ini kemudian kita sebut sebagai non-consent data (data tanpa persetujuan)
Bayangkan sebuah skenario ketika pengguna mencoba untuk mendaftar pada aplikasi fintech tertentu. Aplikasi fintech tersebut kemudian meminta nomor telepon pengguna untuk keperluan otentikasi. Tanpa muncul secara eksplisit di interface, aplikasi fintech akan melakukan pengecekan secara instan apakah nomor telepon tersebut terdaftar atau tidak melalui bantuan API. Selama panggilan API dan proses otentikasi, aplikasi fintech mengambil data dari berbagai sumber data, misalkan saja sumbernya adalah perusahaan telekomunikasi, untuk memvalidasi keaslian nomor telepon pengguna.
“Bagaimana hal ini dapat terjadi” “Apakah artinya hal ini mengesampingkan izin/persetujuan?”. Melalui data sharing yang terjadi antar institusi dan fintech, tentunya membutuhkan waktu untuk mengatur bagaimana non-consent data sharing beroperasi. Meskipun konsep tersebut membantu gagasan transformasi keuangan sehubungan dengan persetujuan pelanggan, perlu diketahui bahwa data harus diperlakukan secara bertanggung jawab oleh pihak ketiga. Mengambil dari halaman Brick, jenis sumber data untuk non-consent mungkin juga tersedia dari lembaga non-bank, seperti telekomunikasi, fiskal, dan lainnya. Satu hal lagi yang perlu disoroti, hal ini mungkin disebut sebagai non-consent, tetapi tidak berarti tidak ada izin pengguna untuk terjadinya pembagian data tersebut.
Hal yang Perlu Diperhatikan: Sebuah Kesimpulan
Sebagai kesimpulan artikel ini, berikut beberapa poin penting yang ditujukan untuk pengguna fintech, perusahaan fintech, dan regulator mengenai izin, privasi, dan pembagian data dalam ekosistem keuangan.
- Persetujuan dalam data sharing (pembagian data) menjadi sesuatu yang diberikan oleh pemilik data itu sendiri (pengguna atau user)
- Pihak ketiga atau fintech perlu memberitahu pengguna secara transparan tentang kapan, bagaimana, dan sejauh mana informasi pribadi mereka akan digunakan. Mengurus dan bertanggung jawab menjadi sesuatu yang harus dipertanggungjawabkan oleh pihak ketiga atau fintech.
- Walau sebagian besar persetujuan data diinformasikan, pengguna juga perlu mengambil langkah tambahan untuk mengakui hak dan kebutuhan mereka dalam konteks berbagi data pribadi mereka.
- Dengan maraknya inovasi dan transformasi digital, diharapkan regulator dapat mengakomodir perubahan tersebut dengan menerbitkan UU perlindungan data khususnya untuk jasa keuangan dan fintech.
