Apa yang terjadi ketika sebuah perusahaan kehilangan sejumlah data pengguna? Biasanya, mereka meminta maaf dan memohon maaf dengan malu-malu. Tapi tidak dengan 23andMe. Perusahaan genomika populer ini, yang mengalami kebocoran data yang cukup parah tahun lalu, justru memilih untuk memberitahu pelanggan yang marah bahwa mereka seharusnya memilih kata sandi yang lebih baik jika mereka tidak ingin data mereka dicuri.
FTC Baru Saja Menghukum Data Kesehatan dengan Cara Tegas
Untuk klarifikasi, 23andMe saat ini sedang diserang secara hukum oleh sejumlah besar orang karena banyak akun pengguna yang dikompromikan oleh penjahat siber tahun lalu. Berita tentang kebocoran ini awalnya terungkap pada bulan Oktober, ketika data pelanggan dijual di dark web. Pada saat itu, 23andMe memberitahu publik bahwa hanya sekitar 14.000 akun yang terkena dampak. Namun, investigasi lebih lanjut mengungkapkan bahwa, karena adanya fitur berbagi data internal yang terhubung dengan akun-akun tersebut, jumlah sebenarnya dari orang yang terkena dampak mungkin sekitar 6,9 juta.
Jadi, ya, orang-orang tentu saja sangat marah dan, sebagai hasilnya, mereka mencoba untuk menggugat perusahaan genomika ini. Kata kunci di sini adalah “mencoba” karena, karena beberapa hal yang kontroversial dalam perjanjian persyaratan layanan 23andMe, litigasi massal (seperti gugatan kelompok) cukup sulit untuk dicapai. Sebagai gantinya, TOS perusahaan menetapkan bahwa pengguna harus melepaskan kesempatan untuk menggugat perusahaan dan malah mencoba “arbitrase paksa,” jalur hukum alternatif yang para ahli anggap sangat memihak korporasi. Namun, sejumlah gugatan kelompok telah diajukan terhadap perusahaan ini, tampaknya dalam upaya untuk melanggar perjanjian asli perusahaan.
Secara humoris, tidak hanya 23andMe memilih untuk tidak membawa kasus ini ke pengadilan, tetapi mereka juga tampaknya membantah bahwa mereka adalah pelaku utama dalam kebocoran data ini. Contohnya: Pada hari Rabu, TechCrunch melaporkan surat yang dikirim oleh perusahaan genomika ini ke kantor hukum salah satu firma yang menangani gugatan terhadap mereka, Tycko & Zavareei LLP, di mana tampaknya mereka membantah adanya kesalahan dan dalam beberapa kasus menyalahkan pelanggan yang terkena dampak. Surat tersebut, yang dikirim ke kantor firma hukum tersebut, berisi salah satu penggalan sebagai berikut:
“…pengguna secara tidak hati-hati mengulang dan tidak memperbarui kata sandi mereka setelah insiden keamanan sebelumnya, yang tidak berhubungan dengan 23andMe…Oleh karena itu, insiden tersebut bukanlah akibat dari kegagalan 23andMe untuk menjaga tindakan keamanan yang wajar…”
Dengan kata lain, 23andMe tampaknya mengatakan bahwa seluruh masalah kebocoran data ini sebenarnya bukan kesalahan mereka. Ini konsisten dengan apa yang perusahaan tersebut pernah nyatakan sebelumnya, yaitu bahwa pelaku sebenarnya dari seluruh peristiwa ini adalah keamanan akun yang buruk dan bahwa sistem mereka sendiri tidak pernah diretas oleh para penjahat. Namun, para kritikus telah menunjukkan bahwa 23andMe seharusnya mungkin menuntut pengguna untuk menggunakan otentikasi multi-faktor, praktik keamanan standar industri yang gagal mereka terapkan sebelum terjadinya kebocoran. Perusahaan tersebut baru mewajibkan 2FA setelah data pengguna dicuri.
Menanggapi surat 23andMe, pengacara Hassan Zavareei memberitahu Gizmodo bahwa “23andMe menyangkal segala tanggung jawab atas kebocoran ini dan dengan tidak tahu malu menyalahkan pelanggannya atas kebocoran tersebut dengan alasan bahwa data dicuri melalui akun-akun pelanggan yang menggunakan kredensial login yang sama dengan situs lain.”
Dalam percakapan telepon, Zavareei juga menunjukkan bahwa 23andMe baru-baru ini telah memperbarui TOS-nya untuk membuat proses arbitrase menjadi lebih sulit dan sulit dinavigasi. Para ahli hukum lainnya juga setuju bahwa perubahan kontraktual terbaru perusahaan ini telah membuat lebih sulit bagi pengguna yang terkena dampak untuk bersatu dan mengejar “arbitrase massal,” proses yang lebih mirip dengan gugatan kelompok dan oleh karena itu, lebih menguntungkan dan nyaman bagi para korban.
Apakah ada cara untuk menghindari klausa arbitrase? Menurut Zavareei, ada beberapa skenario hipotetis di mana korban dapat mengejar litigasi tradisional.
“Mereka [23andMe] bisa mengabaikan arbitrase dan setuju untuk berperkara di pengadilan dan tidak menggunakan klausa arbitrase,” kata Zavareei. “Kami tidak memiliki indikasi bahwa itulah niat mereka. Mereka bisa melakukannya jika mereka hanya ingin menyelesaikan semuanya sekaligus daripada menghadapi ribuan kasus arbitrase yang individual.” Pengacara tersebut juga mengatakan bahwa para penggugat dalam kasus-kasus tersebut dapat “mengajukan tantangan terhadap klausa arbitrase dan mengatakan bahwa klausa arbitrase tersebut tidak dapat diterapkan. Ada beberapa [argumen hukum] yang dapat dibuat bahwa klausa tersebut tidak dapat diterapkan dan tidak adil.”
Dengan kata lain, 23andMe bisa memutuskan untuk menghadapi proses litigasi yang lebih tradisional jika mereka berpikir itu akan lebih sederhana daripada menghadapi ribuan kasus arbitrase individu. Atau, secara hipotetis, pelanggan yang terkena dampak dapat menantang klausa arbitrase perusahaan. Namun, kedua kemungkinan tersebut tidak tampak sangat mungkin terjadi.
Gizmodo telah mencoba menghubungi 23andMe untuk komentar namun belum menerima tanggapan. Kami akan memperbarui cerita ini jika ada tanggapan.