Login
Section Articles

A Risk-Based Model for Evaluating the Oversight of Personal Data in Fintech Lending


Model Evaluasi Pengawasan Data Pribadi Fintech Lending Berbasis Risiko
Vol. 11 No. 1 (2026): June :

Yolanda Friska Nurjayanti (1), Wardah Yuspin (2)

(1) Program Studi Ilmu Hukum, Universitas Muhammadiyah Surakarta, Indonesia
(2) Program Studi Ilmu Hukum, Universitas Muhammadiyah Surakarta, Indonesia
Fulltext View | Download

Abstract:

General Background Financial technology lending expands access to digital financial services but creates legal concerns regarding consumer privacy, personal data security, and regulatory supervision. Specific Background In Indonesia, fintech lending is regulated through OJK regulations, the Personal Data Protection Law, and financial sector reform provisions, yet supervisory mechanisms still face gaps in enforcing personal data safeguards. Knowledge Gap Previous studies have discussed fintech regulation, consumer protection, and data misuse separately, but a comprehensive risk-based evaluation model integrating prudential standards and supervisory governance remains limited. Aims This study formulates a risk-based model for evaluating personal data protection oversight in Indonesian fintech lending. Results Using normative juridical research with statutory, conceptual, comparative, and case approaches, the study finds regulatory inconsistency in biometric KYC, certified Data Protection Officer requirements, annual data security audits, and breach notification obligations. Comparative analysis of Singapore, the United Kingdom, and Australia supports the construction of a three-level risk classification consisting of low, medium, and high risk. The proposed model includes measurable indicators, an evaluation checklist, an Early Warning System, and six supervisory governance indicators: accountability, transparency, independence, consistency, responsiveness, and sanction effectiveness. Novelty This study develops an integrated evaluation framework combining risk-based supervision with governance indicators for fintech lending data protection. Implications The model can guide OJK regulatory revision, improve preventive supervision, and strengthen personal data protection in Indonesia’s fintech lending sector.


Highlights:



  • Biometric verification, DPO certification, audits, and breach alerts remain insufficiently regulated.

  • Three-level classification links compliance scores with reporting and inspection frequency.

  • Early Warning System indicators support faster corrective action by regulators.


Keywords: Fintech Lending, Personal Data Protection, Risk Based Supervision, Supervisory Governance, Financial Services Authority (OJK)

Downloads

Download data is not yet available.

Pendahuluan

Perkembangan teknologi finansial (fintech) di Indonesia telah mengalami pertumbuhan signifikan dalam dekade terakhir. Layanan pinjam meminjam berbasis teknologi informasi atau fintech lending menjadi salah satu sektor yang paling berkembang pesat. Namun, pertumbuhan eksponensial ini tidak diimbangi dengan pengawasan yang memadai terhadap perlindungan konsumen, terutama dalam hal keamanan data pribadi. Praktik penagihan agresif, intimidasi oleh debt collector, kebocoran data pribadi, dan kurangnya transparansi biaya menjadi masalah sistemik yang masih terus terjadi.Dari perspektif regulasi, Indonesia sebenarnya telah memiliki kerangka hukum yang mengatur fintech lending, yaitu POJK Nomor 77/POJK.01/2016 yang kemudian disempurnakan dengan POJK Nomor 10/POJK.05/2022 tentang Layanan Pendanaan Bersama Berbasis Teknologi Informasi (LPBBTI). [1]Selain itu, Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) dan Undang-Undang Nomor 4 Tahun 2023 tentang Pengembangan dan Penguatan Sektor Keuangan (P2SK) juga telah mengatur aspek perlindungan konsumen dan keamanan data. OJK juga telah menerbitkan POJK Nomor 40 Tahun 2024 tentang LPBBTI yang memperbarui ketentuan sebelumnya untuk memperkuat aspek kelembagaan, manajemen risiko, tata kelola, serta perlindungan konsumen.

Isu penyebaran data pribadi oleh fintech lending masih sering menjadi perhatian publik. Berdasarkan peraturan yang berlaku, fintech lending yang terdaftar dan diawasi OJK wajib menjaga kerahasiaan data sesuai ketentuan perlindungan konsumen sektor jasa keuangan. POJK No. 10/POJK.05/2022 dan POJK No. 22 Tahun 2023 melarang fintech memberikan data konsumen kepada pihak lain, dan penggunaan data pribadi melalui media elektronik harus atas persetujuan pemilik data. Namun, dalam praktiknya, kasus penyebaran data masih terjadi karena dilakukan oleh fintech ilegal atau oknum yang menyalahgunakan identitas perusahaan resmi.Penelitian sebelumnya telah mengidentifikasi berbagai kelemahan dalam pengawasan fintech lending.[2] Mengkaji peran OJK dalam mengawasi pinjaman berbasis teknologi informasi dan menemukan tantangan signifikan dalam implementasi pengawasan menyoroti urgensi penguatan pengawasan terhadap kolaborasi antara bank dengan fintech lending dalam sistem hukum perbankan di Indonesia, menekankan perlunya harmonisasi regulasi antara OJK dan Bank Indonesia.[3] Mengkaji regulasi dan perlindungan konsumen fintech di Indonesia, menemukan bahwa perlindungan konsumen masih menghadapi berbagai kendala implementatif.[4]

Penelitian tentang penggunaan data pribadi sebagai "jaminan semu" dalam fintech lending menunjukkan bahwa data pribadi memiliki fungsi ganda: sebagai dasar penentuan persetujuan kredit dan sebagai "jaminan" jika debitur gagal bayar. POJK No.10/POJK.05/2022 dan UU ITE memperbolehkan penggunaan data pribadi sebagai "jaminan semu" sepanjang telah memperoleh persetujuan tertulis dari pemilik data. Kebaruan (novelty) penelitian ini terletak pada pengembangan model evaluasi pengawasan perlindungan data pribadi fintech lending yang mengintegrasikan prudential principle dengan supervisory governance dalam kerangka risk-based supervision. Berbeda dengan penelitian sebelumnya yang cenderung hanya membahas aspek regulasi, perlindungan konsumen, atau pengawasan fintech secara terpisah, penelitian ini mengembangkan alat evaluasi yang jelas berupa klasifikasi tiga tingkat risiko—yaitu risiko rendah, risiko menengah, dan risiko tinggi—yang berkaitan dengan standar prudensial perlindungan data pribadi, seperti penerapan KYC biometrik, kewajiban memiliki Data Protection Officer (DPO), audit keamanan data, serta pemberitahuan mengenai kejadian insiden. Selain itu, model ini mencakup enam indikator untuk mengawasi proses supervisi, yaitu akuntabilitas, transparansi, independensi, konsistensi, responsif, dan efektivitas sanksi.Dengan menggabungkan keenam indikator tersebut, model ini membentuk kerangka penilaian yang tidak hanya mengevaluasi sejauh mana penyelenggara pembiayaan fintech mematuhi aturan, tetapi juga menilai kualitas pengawasan yang dilakukan oleh otoritas regulator.Dengan demikian, penelitian ini menyediakan model penilaian berbasis risiko yang lebih lengkap dan dapat digunakan sebagai dasar dalam meningkatkan kebijakan perlindungan data pribadi di bidang fintech lending di Indonesia.Namun, GAP penelitian yang masih ada adalah belum adanya kajian komprehensif yang mengintegrasikan prudential principle dan supervisory governance dalam merumuskan model evaluasi pengawasan perlindungan data pribadi yang berbasis risiko. Penelitian sebelumnya cenderung bersifat normatif-doktrinal atau hanya fokus pada satu aspek tertentu. Penelitian ini mengisi gap tersebut dengan pendekatan yuridis normatif yang menghasilkan model evaluasi pengawasan terukur.[6]Rumusan masalah penelitian ini adalah: (1) Sejauh mana standar prudensial perlindungan data pribadi (meliputi KYC biometrik, audit keamanan data, kewajiban Data Protection Officer, dan notifikasi insiden) diatur secara konsisten dalam kerangka regulasi fintech lending di Indonesia? (2) Bagaimana model evaluasi pengawasan berbasis risiko (risk-based supervision) yang ideal untuk menilai kepatuhan fintech lending terhadap standar perlindungan data pribadi dalam kerangka prudential principle dan supervisory governance?

Metode

Proses membuat model Pengawasan Berbasis Risiko (RBS) dilakukan melalui beberapa tahap. Pertama, menentukan indikator risiko didasarkan pada hasil analisis normatif terhadap peraturan perundang-undangan yang mengatur sektor fintech lending dan perlindungan data pribadi di Indonesia, terutama Undang-Undang Perlindungan Data Pribadi, Undang-Undang P2SK, POJK Nomor 10/POJK.05/2022, POJK Nomor 40 Tahun 2024, serta berbagai pedoman pengawasan berbasis risiko yang diterapkan oleh regulator jasa keuangan di negara-negara pembanding, yaitu Singapura, Inggris, dan Australia[7]. Dari proses tersebut didapatkan empat indikator utama yang menjadi dasar dalam mengevaluasi, yaitu pengelolaan risiko kredit, pengelolaan dan transparansi biaya, perlindungan data pribadi, serta mekanisme penagihan. Indikator perlindungan data pribadi kemudian diuraikan lebih lanjut menjadi subindikator, yaitu penerapan prosedur KYC berbasis biometrik, adanya Data Protection Officer (DPO), pelaksanaan audit keamanan data secara berkala, serta pemberitahuan mengenai insiden kebocoran data.

Bobot penilaian dalam model RBS ditentukan berdasarkan seberapa penting setiap indikator dalam mengukur kerugian yang mungkin dialami konsumen serta risiko yang bisa memengaruhi seluruh sistem saat menjalankan layanan pinjaman fintech. Indikator perlindungan data pribadi diberi bobot tertinggi karena menjadi fokus utama penelitian dan memiliki kaitan langsung dengan hak privasi konsumen serta kesesuaian dengan UU Perlindungan Data Pribadi.[2] Berikutnya, setiap indikator dinilai dengan menggunakan skala penilaian tertentu, lalu hasilnya diubah menjadi tiga kategori risiko, yakni Risiko Rendah, Risiko Sedang, dan Risiko Tinggi. Klasifikasi risiko dilakukan dengan mempertimbangkan sejauh mana kepatuhan terhadap standar prudensial yang telah ditentukan dalam regulasi dan praktik terbaik di tingkat internasional.

Validasi model dilakukan dengan cara memeriksa secara logis dan menguji konsistensinya sesuai dengan aturan yang berlaku. Validasi logis dilakukan dengan mengecek apakah hubungan antara indikator, bobot penilaian, dan kategori risiko yang diperoleh itu logis dan sesuai. Sementara itu, uji konsistensi normatif dilakukan dengan membandingkan model yang telah dibuat dengan kerangka aturan nasional serta cara pengawasan yang biasa digunakan di beberapa negara yang dijadikan patokan. Selain itu, hasil pengembangan model dinilai berdasarkan prinsip pemerintahan yang terawasi, yang mencakup aspek akuntabilitas, transparansi, independensi, konsistensi, responsif, dan efektivitas dalam penerapan sanksi.Dengan melewati proses tersebut, model RBS yang dihasilkan memiliki dasar hukum yang jelas, struktur penilaian yang dapat diukur, serta tingkat relevansi yang cukup untuk digunakan sebagai alat evaluasi dalam pengawasan perlindungan data pribadi di sektor fintech lending di Indonesia.[8]

Hasil dan Pembahasan

A. Analisis Konsistensi Regulasi Perlindungan Data Pribadi pada Fintech Lending

Berdasarkan analisis terhadap kerangka regulasi yang ada, ditemukan beberapa inkonsistensi dan gap dalam pengaturan standar prudensial perlindungan data pribadi. Analisis tentang kekonsistenan peraturan menunjukkan bahwa ketentuan mengenai perlindungan data pribadi dalam lending fintech di Indonesia masih terdapat di berbagai peraturan hukum yang memiliki tingkat prioritas dan cakupan yang berbeda-beda. UU Perlindungan Data Pribadi memberikan dasar umum mengenai hak-hak orang yang memiliki data dan kewajiban yang harus dipenuhi oleh pihak yang mengelola data tersebut.Namun, aturan-aturan dalam undang-undang ini belum sepenuhnya diubah menjadi peraturan-peraturan khusus di bidang-bidang tertentu, terutama yang mengatur penyelenggara layanan pinjaman teknologi keuangan.[2] Akibatnya, terdapat kesenjangan antara norma umum perlindungan data pribadi dengan mekanisme implementasi dan pengawasan pada sektor jasa keuangan digital. Kondisi ini berpotensi menimbulkan ketidakpastian hukum dalam penerapan standar kepatuhan serta menyulitkan regulator dalam melakukan pengawasan yang konsisten terhadap seluruh penyelenggara fintech lending.

Selain itu, hasil analisis menunjukkan bahwa sebagian besar ketentuan yang berkaitan dengan perlindungan data pribadi masih berorientasi pada kewajiban administratif dan belum mengadopsi pendekatan prudensial berbasis risiko secara komprehensif. Regulasi yang berlaku belum secara tegas mengatur instrumen mitigasi risiko yang lazim diterapkan dalam praktik internasional, seperti kewajiban verifikasi identitas berbasis biometrik, audit keamanan data secara berkala oleh pihak independen,[9]penunjukan Data Protection Officer yang kompeten, serta kewajiban pelaporan insiden kebocoran data dalam batas waktu tertentu. Ketiadaan standar tersebut menunjukkan bahwa kerangka regulasi yang ada masih lebih menekankan aspek kepatuhan formal dibandingkan pengelolaan risiko yang bersifat preventif. Oleh karena itu, diperlukan harmonisasi regulasi dan penguatan standar prudensial agar perlindungan data pribadi pada fintech lending dapat dilaksanakan secara lebih efektif dan selaras dengan perkembangan risiko digital.Tabel 1 menyajikan matriks gap regulasi untuk keempat indikator prudensial.

Tabel 1. Matriks Analisis Konsistensi Regulasi

Temuan menunjukkan bahwa regulasi fintech lending di Indonesia belum mengatur secara memadai standar prudensial perlindungan data pribadi. POJK No.10/POJK.05/2022 memang telah memperkuat ketentuan tentang keamanan data, kerahasiaan, dan keutuhan data pribadi pengguna, namun belum mewajibkan aspek-aspek teknis seperti liveness detection, Data Protection Officer (DPO) bersertifikasi, audit keamanan data tahunan oleh pihak ketiga, dan notifikasi insiden dalam batas waktu tertentu.[10]

Penelitian sebelumnya juga mengidentifikasi adanya regulatory gaps dan overlapping supervisory authorities dalam pengawasan kolaborasi bank dan fintech lending. Hal ini menunjukkan bahwa permasalahan pengawasan fintech lending bersifat sistemik dan memerlukan harmonisasi regulasi lintas lembaga.[11]

B. Supervisory governance sebagai Kerangka Evaluasi Kinerja OJK

Supervisory governance merupakan indikator untuk mengukur kinerja pengawasan OJK. Berdasarkan analisis terhadap praktik pengawasan yang ada, ditemukan kelemahan pada beberapa aspek sebagaimana disajikan dalam Tabel 2.

Tabel 2. Evaluasi Kinerja Supervisory governance OJK

OJK sebenarnya telah melakukan berbagai langkah penguatan pengawasan. Berdasarkan siaran pers OJK, beberapa langkah yang telah diambil antara lain: mewajibkan pinjol menyalurkan pinjaman hanya ke rekening bank atas nama peminjam, memperkuat electronic Know Your Customer (e-KYC) dan credit scoring, memperkuat fungsi kontrol internal, serta melakukan penegakan hukum terhadap pihak yang terbukti melanggar termasuk pencabutan izin usaha dan tindak lanjut pidana.[12]

Namun, efektivitas sanksi masih menjadi persoalan. Kasus kartel suku bunga pinjol yang diadili KPPU menunjukkan bahwa 97 platform pinjol terbukti melakukan koordinasi suku bunga di atas keseimbangan pasar sehingga menghambat persaingan harga, dan dikenakan denda kolektif Rp755 miliar. Ini mengindikasikan bahwa pengawasan OJK belum sepenuhnya mencegah praktik anti-persaingan di industri.

C. Analisis Perbandingan dengan Negara Lain

Untuk merumuskan model evaluasi yang ideal, penelitian ini melakukan analisis perbandingan dengan tiga negara: Singapura, Inggris, dan Australia. Tabel 3 menyajikan matriks perbandingan untuk aspek perlindungan data pribadi.

Tabel 3. Matriks Perbandingan Regulasi Perlindungan Data Fintech Lending

Inggris melalui Financial Conduct Authority (FCA) telah mengembangkan "regulatory sandbox" yang memungkinkan perusahaan fintech menguji produk inovatif dalam lingkungan terkendali di bawah pengawasan regulator. Pendekatan ini menyeimbangkan inovasi dan pengawasan, serta telah diadopsi oleh Singapura, Australia, dan banyak negara lainnya.

Singapura melalui Monetary Authority of Singapore (MAS) menerapkan pendekatan yang lebih longgar dan fleksibel terhadap inovasi fintech, dengan fokus pada pengembangan ekosistem yang mendukung pertumbuhan sekaligus melindungi konsumen melalui regulasi yang jelas.[13]

D. Rekonstruksi Model Evaluasi Pengawasan Berbasis Risiko (RBS)

Berdasarkan gap analysis dan perbandingan best practice, penelitian ini merekonstruksi model evaluasi pengawasan berbasis risiko (Risk-Based Supervision/RBS) untuk perlindungan data pribadi.

1. Kerangka Model RBS

Model RBS yang direkonstruksi memiliki kerangka sebagai berikut:

INPUT → PROSES → OUTPUT

(Data Fintech) → (Penilaian 4 Indikator Prudensial) → (Peringkat Risiko + Rekomendasi)

2. Matriks Pemeringkatan Risiko

Tabel 4. Model Pemeringkatan Risiko (Low-Medium-High)

3. Instrumen Penilaian (Checklist Evaluasi)

Instrumen penilaian (checklist evaluasi) adalah alat yang digunakan untuk mengumpulkan, mengukur, dan menilai data secara sistematis berdasarkan indikator-indikator yang telah ditetapkan guna mengetahui tingkat pencapaian, kepatuhan, kualitas, atau efektivitas suatu objek yang dievaluasi. Checklist evaluasi disusun sebagai daftar pernyataan atau indikator yang harus diperiksa oleh evaluator untuk memastikan apakah suatu aspek sudah memenuhi kriteria yang ditentukan.Dalam konteks Model Evaluasi Pengawasan Data Pribadi Fintech Lending Berbasis Risiko, checklist evaluasi bertugas sebagai alat untuk menilai sejauh mana penyelenggara fintech lending mematuhi prinsip-prinsip perlindungan data pribadi serta seberapa efektif pengawasan yang dilakukan oleh regulator.Melalui daftar indikator yang terstruktur, evaluator dapat mengidentifikasi tingkat risiko, menemukan kelemahan pengelolaan data pribadi, serta memberikan rekomendasi perbaikan berdasarkan hasil penilaian yang diperoleh.[14]

Instrumen evaluasi merupakan perangkat yang digunakan peneliti untuk memperoleh data yang relevan dengan tujuan penelitian secara objektif dan terukur. Sementara itu, checklist merupakan salah satu bentuk instrumen observasi yang berisi daftar aspek atau indikator yang diamati untuk menentukan ada atau tidaknya suatu kondisi tertentu. [15] Dengan demikian, checklist evaluasi tidak hanya berfungsi sebagai alat pengumpulan data, tetapi juga sebagai dasar dalam pengambilan keputusan dan penyusunan rekomendasi kebijakan berdasarkan hasil evaluasi.dapat di lihat di tabel 5

Tabel 5. Checklist Indikator Perlindungan Data Pribadi

4. Early Warning System (EWS)

Early Warning System (EWS) atau Sistem Peringatan Dini adalah mekanisme yang dirancang untuk mendeteksi secara cepat potensi risiko, pelanggaran, atau permasalahan yang dapat menimbulkan dampak negatif sehingga tindakan pencegahan dan mitigasi dapat dilakukan sebelum risiko tersebut berkembang menjadi insiden yang lebih serius.

Dalam konteks pengawasan perlindungan data pribadi pada fintech lending, Early Warning System (EWS) merupakan sistem pemantauan yang digunakan oleh regulator maupun penyelenggara fintech untuk mengidentifikasi indikasi awal terjadinya pelanggaran perlindungan data pribadi, kebocoran data, akses tidak sah, penyalahgunaan data pengguna, maupun ketidakpatuhan terhadap ketentuan perlindungan data.[16] Sistem ini bekerja melalui pemantauan indikator risiko, analisis pola aktivitas, pelaporan insiden, dan evaluasi kepatuhan secara berkala sehingga memungkinkan tindakan korektif dilakukan secara lebih cepat dan efektif.

Tabel 6. Indikator Early Warning System

5. Integrasi Model RBS dengan Supervisory governance

Model RBS yang direkonstruksi diintegrasikan dengan enam indikator supervisory governance untuk memastikan peningkatan kinerja pengawasan OJK.

Tabel 7. Integrasi Model RBS dengan Supervisory governance

E. Gap Penelitian dengan Penelitian Sebelumnya

Penelitian mengenai perlindungan data pribadi pada fintech lending telah banyak dilakukan, namun sebagian besar penelitian terdahulu masih berfokus pada aspek normatif, yaitu analisis kesesuaian pengaturan hukum, perlindungan konsumen, dan tanggung jawab penyelenggara fintech terhadap data pribadi pengguna. Penelitian-penelitian tersebut umumnya menelaah implementasi ketentuan perlindungan data pribadi berdasarkan Undang-Undang Perlindungan Data Pribadi, regulasi Otoritas Jasa Keuangan (OJK), serta kebijakan perlindungan konsumen sektor jasa keuangan. Fokus kajian lebih diarahkan pada identifikasi bentuk pelanggaran dan upaya penyelesaian sengketa setelah terjadi pelanggaran data pribadi.[17]

Di sisi lain, penelitian terdahulu masih terbatas dalam mengkaji mekanisme pengawasan preventif yang dilakukan oleh regulator terhadap risiko pelanggaran data pribadi pada fintech lending. Sebagian besar penelitian menempatkan pengawasan sebagai bagian dari pembahasan umum mengenai fungsi regulator tanpa menawarkan model evaluasi yang dapat digunakan untuk mengukur efektivitas pengawasan secara sistematis. Akibatnya, belum tersedia instrumen yang mampu menilai tingkat risiko penyelenggara fintech lending berdasarkan indikator perlindungan data pribadi yang terukur dan terstandarisasi.

Selain itu, penelitian sebelumnya cenderung menggunakan pendekatan hukum normatif atau studi kasus, sehingga belum mengintegrasikan konsep Risk-Based Supervision (RBS) yang saat ini menjadi paradigma pengawasan modern di sektor jasa keuangan.[18] Padahal, pendekatan berbasis risiko memungkinkan regulator untuk memfokuskan sumber daya pengawasan pada penyelenggara yang memiliki tingkat risiko pelanggaran data pribadi lebih tinggi. Ketiadaan model evaluasi berbasis risiko menyebabkan pengawasan data pribadi masih bersifat reaktif dan belum didukung oleh mekanisme peringatan dini (Early Warning System) yang memadai.

Berdasarkan kondisi tersebut, terdapat celah penelitian (research gap) berupa belum adanya Model Evaluasi Pengawasan Data Pribadi Fintech Lending Berbasis Risiko yang mengintegrasikan aspek tata kelola data pribadi, kepatuhan regulasi, keamanan sistem informasi, manajemen risiko, penanganan insiden, dan mekanisme early warning system dalam satu kerangka evaluasi yang komprehensif. [19] Oleh karena itu, penelitian ini menawarkan kebaruan berupa pengembangan model evaluasi yang dapat digunakan oleh regulator untuk mengukur efektivitas pengawasan perlindungan data pribadi secara lebih objektif, terstruktur, dan berbasis tingkat risiko masing-masing penyelenggara fintech lending.

Kebaruan penelitian ini terletak pada pengembangan Model Evaluasi Pengawasan Data Pribadi Fintech Lending Berbasis Risiko yang mengombinasikan prinsip perlindungan data pribadi dengan pendekatan Risk-Based Supervision. Berbeda dengan penelitian sebelumnya yang hanya memperhatikan aspek kepatuhan hukum, penelitian ini menghasilkan alat evaluasi berupa indikator risiko, checklist penilaian, klasifikasi tingkat risiko, serta mekanisme Early Warning System (EWS) sebagai bantuan dalam mengambil keputusan dalam pengawasan. Oleh karena itu, penelitian ini tidak hanya memberikan manfaat teoritis dalam memperkembangkan model pengawasan perlindungan data pribadi, tetapi juga membantu regulator dalam meningkatkan kemampuan mengawasi sektor fintech lending di Indonesia.[20]

Tabel 8. Gap Penelitian dengan Penelitian Sebelumnya yang Bereputasi Sinta

Penelitian ini mengisi gap dari penelitian-penelitian sebelumnya dengan memberikan: (1) model evaluasi pengawasan yang terukur dan operasional (bukan hanya identifikasi masalah), (2) fokus spesifik pada perlindungan data pribadi dengan instrumen checklist, (3) integrasi prudential principle dan supervisory governance dalam satu kerangka RBS, dan (4) usulan perubahan norma yang konkret berdasarkan perbandingan best practice internasional.

Simpulan

Berdasarkan hasil penelitian, dapat disimpulkan bahwa aturan mengenai fintech lending di Indonesia belum mencakup standar prudensial dan perlindungan data pribadi secara memadai.Terutama dalam hal kewajiban melakukan verifikasi KYC berbasis biometrik, merekrut Data Protection Officer (DPO) yang memiliki sertifikat, melakukan audit keamanan data secara berkala, serta mengumumkan kebocoran data dalam waktu yang telah ditentukan. Kondisi ini menunjukkan adanya perbedaan dalam aturan yang bisa mengganggu kemampuan melindungi data pribadi pengguna.

Untuk menyelesaikan masalah tersebut, penelitian ini mengusulkan Model Evaluasi Pengawasan Data Pribadi Fintech Lending yang berbasis risiko.Model ini menggabungkan empat indikator prudensial, klasifikasi tingkat risiko, frekuensi pengawasan yang sesuai dengan risiko, mekanisme Early Warning System (EWS), serta indikator pemerintahan pengawasan. Model ini memberikan bentuk penilaian yang lebih jelas, teratur, dan mencegah masalah, sehingga membantu pengawasan regulator menjadi lebih efektif dan meningkatkan perlindungan data pribadi di bidang fintech lending di Indonesia.

References

Otoritas Jasa Keuangan, Peraturan Otoritas Jasa Keuangan Republik Indonesia Nomor 40 Tahun 2024 tentang Layanan Pendanaan Bersama Berbasis Teknologi Informasi (LPBBTI). Jakarta, Indonesia: Otoritas Jasa Keuangan, 2024.

Republik Indonesia, Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi. Jakarta, Indonesia: Sekretariat Negara Republik Indonesia, 2022.

M. Z. Huda, K. Yitawati, and M. A. Chairani, “Limitations on the Use of Emergency Contact Data in Fintech Lending Under the Personal Data Protection Act,” Jurnal Ilmu Hukum Kyadiren, vol. 8, no. 1, 2025, doi: 10.46924/jihk.v8i1.437.

F. Rifa and M. N. Hidayati, “Kebijakan Penal dalam Perlindungan Data Pribadi Nasabah Fintech Lending di Indonesia,” Binamulia Hukum, vol. 13, no. 2, 2024, doi: 10.37893/jbh.v13i2.964.

E. Rahmawati, M. Huda, and I. F. Aldhi, “Personal Data Misuse in Fintech Lending Providers from Perspective Indonesian Cyberlaw,” Airlangga Development Journal, vol. 8, no. 1, 2024, doi: 10.20473/adj.v8i1.56398.

A. Handayani, “Perlindungan Hukum terhadap Tindakan Pencurian Data Pribadi pada Layanan Fintech Lending atas Ancaman Cyber Security di Indonesia,” Jurist-Diction, vol. 6, no. 4, 2023, doi: 10.20473/jd.v6i4.51212.

Republik Indonesia, Undang-Undang Republik Indonesia Nomor 4 Tahun 2023 tentang Pengembangan dan Penguatan Sektor Keuangan. Jakarta, Indonesia: Sekretariat Negara Republik Indonesia, 2023.

Financial Conduct Authority, Regulatory Sandbox Lessons Learned Report. London, United Kingdom: Financial Conduct Authority, 2024.

I. Muin and A. Suhra, “Perlindungan Data Pribadi terhadap Pengguna Fintech Lending di Indonesia,” Restorative Justice Journal, vol. 8, no. 1, 2024.

O. Leonardy and Rasji, “Analisis Hukum Penyalahgunaan Data Pribadi pada Layanan Keuangan Fintech Lending,” Syntax Literate: Jurnal Ilmiah Indonesia, vol. 8, no. 11, 2023, doi: 10.36418/syntax-literate.v8i11.13924.

H. Khuan, “The Legal Protection of Personal Data in Fintech Peer-to-Peer (P2P) Lending Practices: Orientation and Formulation,” Pena Justisia: Media Komunikasi dan Kajian Hukum, vol. 22, no. 3, pp. 433–446, 2024, doi: 10.31941/pj.v22i3.3383.

P. E. D. Antari and N. G. A. A. M. Triwulandari, “Legal Protection of Consumer Personal Data Peer-to-Peer Lending Through Financial Technology in Indonesia: An Approach of Comparative Study,” Jurnal Komunikasi Hukum, vol. 10, no. 2, 2024, doi: 10.23887/jkh.v10i2.83167.

D. Javaheri, M. Fahmideh, H. Chizari, P. Lalbakhsh, and J. Hur, “Cybersecurity Threats in FinTech: A Systematic Review,” Computers & Security, vol. 139, 2024, Art. no. 103724, doi: 10.1016/j.cose.2024.103724.

B. D. Syahputra and N. Fibrianti, “Independent Authority on Personal Data Protection in Illegal Financial Technology: Capturing Peer-to-Peer (P2P) Lending Issues,” Journal of Private and Commercial Law, vol. 8, no. 1, pp. 1–15, 2024, doi: 10.15294/jpcl.v8i1.3967.

J. Sriwidodo, A. A. Widodo, and R. L. Sinaulan, “The Protection of Consumers’ Personal Data in Financial Technology-Based Online Lending: A Legal Perspective in Indonesia,” KRTHA BHAYANGKARA, vol. 20, no. 1, pp. 15–30, 2026, doi: 10.31599/krtha.v20i1.5041.

B. Guntara and A. Hadi, “Perlindungan Hukum terhadap Data Pribadi dalam Financial Technology Peer-to-Peer Lending,” Rechtsregel: Jurnal Ilmu Hukum, vol. 5, no. 1, pp. 1–15, 2023, doi: 10.32493/rjih.v5i1.23772.

N. N. Nadiari, I. N. Budiana, P. E. D. Antari, and K. J. A. Sudharma, “Implementasi Pengawasan Berbasis Risiko oleh OJK dalam Menjamin Keamanan Data Pribadi pada Platform Pinjaman Daring,” Al-Zayn: Jurnal Ilmu Sosial dan Hukum, vol. 4, no. 1, pp. 100–115, 2025, doi: 10.61104/alz.v4i1.2969.

M. R. Rustam, “Tanggung Jawab Hukum Platform Fintech Peer-to-Peer Lending terhadap Penyalahgunaan Data Pribadi Nasabah Berdasarkan UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi,” IBLAM Law Review, vol. 5, no. 2, pp. 268–283, 2024, doi: 10.52249/ilr.v5i2.636.

I. S. Noptabi, S. Aprita, and M. Wulandari, “Legal Protection of Personal Data Financial Technology-Based Online Loans from the Consumer Protection Act,” Walisongo Law Review, vol. 4, no. 1, pp. 87–104, 2022, doi: 10.21580/walrev.2022.4.1.11135.

E. F. Pakpahan, L. R. Chandra, and A. A. Dewa, “Perlindungan Hukum terhadap Data Pribadi dalam Industri Financial Technology,” Veritas et Justitia, vol. 6, no. 2, pp. 325–348, 2020, doi: 10.25123/vej.v6i2.3778.