Komisi Perdagangan Federal Amerika Serikat (FTC) bersiap untuk menjatuhkan larangan kepada pialang data (data broker) Kochava dan anak perusahaannya, Collective Data Solutions (CDS), untuk menjual data lokasi warga tanpa persetujuan eksplisit dari konsumen. Langkah tegas ini merupakan penyelesaian dari tuntutan hukum yang telah diajukan hampir empat tahun lalu.
Gugatan dan Skala Pelanggaran Privasi
FTC pertama kali menggugat Kochava, perusahaan yang berbasis di Idaho, pada Agustus 2022. Komisi tersebut menuduh Kochava mengumpulkan dan menjual data geolokasi presisi dari ratusan juta perangkat seluler.
Informasi sensitif ini memungkinkan klien Kochava untuk melacak secara rinci pergerakan pengguna seluler dari dan ke lokasi-lokasi yang sangat pribadi, termasuk:
- Fasilitas kesehatan mental dan pemulihan kecanduan
- Klinik kesehatan reproduksi
- Tempat ibadah
- Tempat penampungan bagi tunawisma dan penyintas kekerasan dalam rumah tangga
Menurut dokumen pengaduan, Kochava menyediakan akses data ini kepada klien yang membayar biaya berlangganan sebesar $25.000. Umpan data (data feed) ini disajikan melalui platform Amazon Web Services (AWS) Marketplace, di mana perusahaan membual bahwa mereka dapat memberikan “data geografis kaya yang mencakup miliaran perangkat di seluruh dunia.”
Skala operasi ini sangat masif. Kochava mengklaim bahwa aliran data lokasi mereka mengirimkan data lintang/bujur mentah dengan volume sekitar 94 miliar transaksi geografis per bulan, memantau 125 juta pengguna aktif bulanan, dan rata-rata mengamati lebih dari 90 transaksi harian per perangkat.
FTC menegaskan bahwa konsumen yang terdampak sama sekali tidak menyadari dan tidak pernah memberikan persetujuan eksplisit atas pembagian data tersebut, sehingga membiarkan mereka rentan terhadap berbagai risiko bahaya, termasuk penguntitan (stalking), diskriminasi, hingga kekerasan fisik.
Bantahan dan Upaya Mitigasi Kochava
Dalam prosesnya, Kochava sempat menuntut balik FTC dengan dalih lembaga tersebut telah melampaui kewenangannya. Sehari sebelum FTC mengajukan pengaduan resmi, Kochava bahkan mengumumkan akan memperkenalkan “Privacy Block”, sebuah pendekatan berbasis privasi untuk memblokir lokasi layanan kesehatan dari pasar Kochava Collective guna mengatasi masalah yang disoroti oleh FTC.
Sanksi dan Ketentuan Ketat dari FTC
Berdasarkan perintah yang diusulkan dan diajukan di Pengadilan Distrik AS untuk Distrik Idaho, Kochava dan anak perusahaannya akan menghadapi sejumlah larangan dan kewajiban ketat:
- Larangan Penjualan Tanpa Izin: Dilarang menjual, melisensikan, mentransfer, atau mengungkapkan data lokasi presisi kecuali mereka memiliki persetujuan tertulis yang tegas, dan data tersebut murni digunakan untuk menyediakan layanan yang diminta langsung oleh konsumen.
- Program Data Lokasi Sensitif: Diwajibkan untuk membentuk program pengelolaan data lokasi yang sensitif.
- Penilaian Pemasok: Harus menerapkan program penilaian pemasok untuk memverifikasi persetujuan konsumen.
- Hak Transparansi Konsumen: Mengizinkan konsumen untuk meminta pengungkapan informasi tentang siapa saja pihak yang telah menerima data mereka, serta memberikan hak penuh untuk menarik persetujuan.
- Pelaporan Insiden: Wajib menyerahkan laporan insiden kepada FTC apabila pihak ketiga kedapatan menyalahgunakan data lokasi.
- Jadwal Retensi Data: Membuat dan mematuhi jadwal yang jelas mengenai retensi (penyimpanan) dan penghapusan data.
Perintah yang diusulkan ini akan memiliki kekuatan hukum tetap setelah disetujui oleh hakim Pengadilan Distrik.
Tindakan Keras Terhadap Pengawasan Komersial
Kasus Kochava sejalan dengan pengumuman FTC pada Agustus 2022 bahwa mereka sedang mengeksplorasi aturan baru untuk menindak tegas bisnis yang terlibat dalam pengawasan komersial massal (mass commercial surveillance), di mana informasi konsumen dikumpulkan, dianalisis, dan dimonetisasi tanpa etika.
Tindakan ini menyusul langkah agresif agensi tersebut baru-baru ini. Pada tahun 2024, FTC juga telah mencekal sejumlah pialang data besar lainnya, seperti InMarket Media, Outlogic (sebelumnya X-Mode Social), Gravy Analytics, dan Mobilewalla dari praktik memanen dan menjual data pelacakan lokasi warga Amerika.