/cdn.vox-cdn.com/uploads/chorus_asset/file/25299198/STK453_Privacy_A_CVirginia.jpg)
Biro Perlindungan Keuangan Konsumen ingin mengusulkan regulasi baru yang akan menuntut broker data untuk mematuhi Undang-Undang Laporan Kredit Adil. Dalam pidato di Gedung Putih awal bulan ini, Direktur CFPB Rohit Chopra mengatakan bahwa lembaga tersebut sedang mempertimbangkan kebijakan untuk “memastikan akuntabilitas yang lebih besar” bagi perusahaan yang membeli dan menjual data konsumen, sesuai dengan perintah eksekutif Presiden Joe Biden yang dikeluarkan pada akhir Februari.
Chopra mengatakan bahwa lembaga tersebut sedang mempertimbangkan proposal yang akan mendefinisikan broker data yang menjual jenis data tertentu sebagai “agen pelaporan konsumen,” dan dengan demikian mengharuskan perusahaan-perusahaan tersebut mematuhi Undang-Undang Laporan Kredit Adil (FCRA). Statuta tersebut melarang berbagi jenis data tertentu (misalnya, laporan kredit Anda) dengan entitas kecuali jika mereka melayani tujuan khusus yang dijelaskan dalam hukum tersebut (misalnya, jika laporan tersebut digunakan untuk tujuan pekerjaan atau untuk memberikan garis kredit kepada seseorang).
CFPB melihat pembelian dan penjualan data konsumen sebagai masalah keamanan nasional, bukan hanya masalah privasi. Chopra menyebutkan tiga kebocoran data besar — kebocoran Anthem tahun 2015, peretasan Equifax tahun 2017, dan pelanggaran Marriott tahun 2018 — sebagai contoh bagaimana musuh asing secara tidak sah memperoleh data pribadi warga Amerika. “Ketika informasi kesehatan, informasi keuangan, dan bahkan keberadaan perjalanan warga Amerika dapat disusun menjadi dossiers rinci, tidak mengherankan bahwa ini menimbulkan risiko terkait keamanan dan keselamatan,” ujar Chopra. Namun, fokus pada peretasan berprofil tinggi mengaburkan fenomena yang lebih merata, sepenuhnya legal: kemampuan broker data untuk menjual informasi pribadi rinci kepada siapa pun yang bersedia membayar.
Merujuk pada perintah eksekutif Februari, Chopra mencatat bahwa broker data dapat menjual data ke “negara-negara yang menjadi perhatian, atau entitas yang dikendalikan oleh negara-negara tersebut, dan data tersebut bisa jatuh ke tangan layanan intelijen asing, militer, atau perusahaan lain yang dikendalikan oleh pemerintah asing.” Dengan kata lain, daripada meretas rantai hotel dan biro pelaporan kredit untuk mendapatkan akses ke jutaan data pribadi warga Amerika, badan intelijen bisa membeli informasi yang sama rinciannya, jika tidak lebih rinci.
“Sebagai contoh, broker data dapat memfasilitasi penargetan individu dengan memungkinkan entitas membeli daftar yang mencocokkan beberapa kategori, seperti ‘Intelijen dan Kontraterorisme’ dengan ‘penyalahgunaan zat,’ ‘pengonsumsi alkohol berat,’ atau bahkan ‘terlambat membayar tagihan,'” ujar Chopra. “Dalam konteks lain, entitas bisa membeli catatan dengan harga beberapa sen per orang, memungkinkan investasi relatif kecil untuk dimanfaatkan menjadi pengumpulan massal.” Dengan kata lain, Gedung Putih khawatir bahwa musuh AS — terutama, Tiongkok — bisa menggunakan data warga Amerika untuk mengidentifikasi target untuk pemerasan dan pengawasan.
Pemerintah semakin khawatir tentang akses pemerintah asing terhadap data warga Amerika. Pada bulan Maret, DPR AS meloloskan RUU yang akan melarang broker data menjual informasi pribadi warga Amerika kepada “setiap entitas yang dikendalikan oleh musuh asing.” Di bawah Undang-Undang Perlindungan Data Warga Amerika dari Musuh Asing, broker data akan menghadapi sanksi dari Komisi Perdagangan Federal jika mereka menjual informasi sensitif — seperti lokasi atau data kesehatan — kepada siapapun atau perusahaan yang berbasis di negara-negara tertentu. Senat belum memberikan suara terhadap RUU tersebut.
Badan pemerintah AS juga mengandalkan broker data untuk mengawasi warga Amerika. Pada tahun 2022, Uni Kebebasan Sipil Amerika menerbitkan serangkaian dokumen yang menunjukkan bagaimana Departemen Keamanan Dalam Negeri menggunakan data lokasi untuk melacak pergerakan jutaan ponsel — dan orang yang memiliki ponsel tersebut — di dalam AS.