Aspek Hukum SPT elektronik (e-filing) dalam UU ITE

Pebruari tahun 2012 merupakan pertama kali mulai pelaporan Surat Pemberitahuan Pajak Tahunan secara elektronik murni dengan tanda tangan digital tanpa dokumen tanda tangan basah maupun pengiriman dokumen kertas. Wajib Pajak (WP) dapat memilih cara menyampaikan SPT tahunan dengan mengisi form dan mengirimkan melalui jaringan internet. Dari proses tersebut melibatkan tanda tangan digital yang telah diakui keabsahaannya dalam Undang-undang KUP dan bukti penerimaan elektronik yang diakui sebagai tanda pelaporan SPT.

Tanda tangan digital yang dibubuhkan dalam SPT elektronik merupakan proses penyisipan status subjek hukum pada informasi, bahwa pengirim informasi adalah subjek hukum yang benar dan berfungsi sebagai authenticity, authorization, integrity, non-repudiation, dan approval. Agar tanda tangan digital pada SPT elektronik mempunyai kekuatan hukum dan akibat hukum yang sah maka harus dapat diuji, di antaranya tanda tangan digital hanya terkait kepada dan berada dalam kuasa subjek hukum (penanda tangan), terdapat cara tertentu untuk mengidentifikasi siapa penandatangan, menunjukkan penandatangan telah memberikan persetujuan terhadap isi SPT elektronik yang dikirimkan, dan sebagainya.

Tanda tangan digital sangat penting terkait dengan integritas informasi yang dikirimkan. Jika WP dari komputernya mengirimkan data SPT dengan omset Rp 10 miliar apakah diterima dengan jumlah omset yang sama oleh Ditjen Pajak setelah melewati melewati jaringan internet layanan elektronik e-filingIntegritas data menjadi isu penting dalam transaksi elektronik agar pihak pengguna dan penyedia layanan saling percaya. Apabila pada suatu saat terjadi perbedaan, maka berpeluang terjadi sengketa di sidang pengadilan yang kemudian ditanyakan keabsahan tanda tangan digital yang disisipkan pada SPT elektronik dan keabsahan alat bukti digital berupa SPT elektronik. Alasannya karena tidak semua tanda tangan digital dan bukti digital  memiliki kekuatan hukum dan akibat hukum yang sah.

Kriteria apakah tanda tangan digital (elektronik) yang punya kekuatan hukum dan akibat hukum yang sah?

Undang-undang Informasi dan Transaksi Elektronik (UU ITE) UU 11 tahun 2008, Pasal 11 menyatakan:

Tanda Tangan Elektronik memiliki kekuatan hukum dan akibat hukum yang sah selama memenuhi persyaratan sebagai berikut:

a. data pembuatan Tanda Tangan Elektronik terkait hanya kepada Penanda Tangan;

b. data pembuatan Tanda Tangan Elektronik pada saat proses penandatanganan elektronik hanya berada dalam kuasa Penanda Tangan;

c. segala perubahan terhadap Tanda Tangan Elektronik yang terjadi setelah waktu penandatanganan dapat diketahui;

d. segala perubahan terhadap Informasi Elektronik yang terkait dengan Tanda Tangan Elektronik tersebut setelah waktu penandatanganan dapat diketahui;

e. terdapat cara tertentu yang dipakai untuk mengidentifikasi siapa Penandatangannya; dan;

f. terdapat cara tertentu untuk menunjukkan bahwa Penanda Tangan telah memberikan persetujuan terhadap Informasi Elektronik yang terkait.

Sedangkan keabsahan informasi elektronik yang dapat digunakan sebagai alat bukti menurut Pasal 5 UU 11 2008 tentang ITE:

(1) Informasi Elektronik dan/atau Dokumen Elektronik dan/atau hasil cetaknya merupakan alat bukti hukum yang sah.

(2) Informasi Elektronik dan/atau Dokumen Elektronik dan/atau hasil cetaknya sebagaimana dimaksud pada ayat (1) merupakan perluasan dari alat bukti yang sah sesuai dengan Hukum Acara yang berlaku di Indonesia.

(3) Informasi Elektronik dan/atau Dokumen Elektronik dinyatakan sah apabila menggunakan Sistem Elektronik sesuai dengan ketentuan yang diatur dalam Undang-Undang ini.

Singkat kata suatu lembaga untuk melakukan layanan elektronik yang berakibat hukum sah perlu keterlibatan entitas pihak ketiga (trusted third party) yang independen dan dipercaya. Entitas tersebut di dalam UU ITE dinamakan penyelenggara sertifikasi elektronik. Syarat entitas pada Pasal 13 ayat 4 dan 5:

(4) Penyelenggara Sertifikasi Elektronik Indonesia berbadan hukum Indonesia dan berdomisili di Indonesia.

(5) Penyelenggara Sertifikasi Elektronik asing yang beroperasi di Indonesia harus terdaftar di Indonesia.

Nama entitas dalam praktik internasional disebut Certificate Authority (CA) adalah lembaga yang menerbitkan sertifikat digital kepada perusahaan, lembaga, pihak lain setelah melalui proses verifikasi dan audit untuk menjamin keamanan komunikasi, pertukaran informasi secara elektonik melalui melalui internet dengan teknologi enkripsi Secured Socket Layer (SSL). CA disebut juga Certification Authority. Contoh entitas CA yang telah terkenal; VeriSign, Thawte GeoTrust, Comodo, dan Cybertrust. CA mengatur berbagai regulasi kepercayaan transaksi elektronik dan berwenang menerbitkan (issuer) sertifikat digital, mengatur penggunaan tanda tangan digital, distribusi kunci publik dan privat sekaligus sebagai lembaga yang mengeluarkan Trustmark (sertifikasi keandalan) yaitu melakukan audit dan mengeluarkan sertifikat keandalan atas pelaku usaha dan produk berkaitan dengan kegiatan trasnsaksi elektronik.

Aspek-aspek yang menjadi layanan CA adalah confidentiality, authentification, Integrity, dan non repudiation. Informasi yang terdapat di dalam sertifikat digital pada umumnya terdiri dari Identitas CA yang menerbitkan (issuer), pemegang/pemilik sertifikat (subscriber) dan batas waktu berlaku sertifikat.

Pada pasal 13 ayat 5 UU 11 2008 tentang ITE, CA atau penyelenggara sertifikasi elektronik asing yang beroperasi di Indonesia harus terdaftar di Indonesia. Apakah VeriSign yang digunakan oleh Bank Mandiri dan Cybertrust digunakan oleh bank BCA terdaftar di Indonesia? Hingga awal tahun 2012, hasil menjelajahi internet dibantu Google kedua perusahaan jasa tersebut tidak terdaftar di Indonesia.

Bank BCA dan Mandiri adalah contoh layanan transaksi elektronik yang menggunakan konsep tanda tangan digital dan CA. Sedangkan sebagian besar transaksi elektronik perdagangan di Indonesia masih berbasis e-mail.

Meskipun tidak memenuhi syarat dalam UU ITE kedua perusahaan CA yang digunakan oleh bank Mandiri dan BCA merupakan perusahaan populer dan dipercaya pengguna transaksi elektronik maka hingga kini belum ada sengketa di pengadilan atas layanan elektroniknya. Dengan demikian tidak menjadi masalah asalkan tidak ada sengketa antara kedua pihak yang melakukan transaksi, walaupun suatu transaksi tidak dijamin oleh CA.

Bagaimana mengenali suatu layanan situs web yang aman dengan enkripsi SSL?

Paling mudah adalah melihat tanda CA pada situs yang dikunjungi, tanda gembok terkunci dan  tambahan “s” https:// pada baris alamat web yang dikunjungi dan tidak ada peringatan dari browser ketika pertama kali membuka situs. Contohnya pada laman situs Paypal https://www.paypal.com ada logo VeriSign.

Logo VeriSign

Jika ada ikon gembok terkunci pada browser (Internet Explorer, Firefox, Opera, dll) jaringan diamankan dengan enkripsi SSL. Informasi detil otoritas penerbit sertifikat dapat dilihat dengan klik ikon gembok. Tidak semua enkripsi SSL bersertifikat CA.

Sertifikat ternama yang dikenali oleh browser dapat dilihat pada menu Mozilla Firefox versi 10.0.2, Tools –> Options –> Advanced –> Encryption –> View Certificates –> Authorities. Jika daftar sertifikat tidak ada pada daftar tersebut, maka sertifikat belum diakui (trust) komunitas internasional pengguna transakssi elektronik.

Laman situs yang menggunakan CA ternama pada saat membuka laman situs, tidak ada peringatan dari browser karena browser telah mengenalinya. Jika tidak punya sertifikat atau bukan dari lembaga ternama, maka akan ada peringatan dari browser.

Contoh peringatan pada browser Internet Explorer ketika membuka laman e-filing, (1)  terdapat “Certificate Error: Navigation Blocked” (2) dan “There is a problem with this website’s security certificate” (3) dengan pilihan “Click here to close this webpage” (4) dan “Continue to this website (not recommended)” (5).

Gambar 1 di bawah.

Laman yang dikunjungi (1), status browser CA (2) melihat detil penerbit serfifikat (3), pengguna (4), dan masa berlaku (5) pada browser yang error. Gambar 2.

Gambar 3. Laman yang dikunjungi (1) tanda gembok (2) pengguna Bank BCA dan tidak ada pesan error pada browser ketika membuka laman klikbca. Logo CA (3), pengguna sertifikat (4), penerbit sertifikat  (5) Cybertrust, masa berlaku 10/01/2011 s.d. 10/01/2013 (6).

Gambar 4. Laman yang dikunjungi (1) tanda gembok (2) dan tidak ada pesan error pada browser ketika membuka laman. Logo CA (3), pengguna sertifikat (4), penerbit sertifikat  (5) VeriSign, masa berlaku 20/04/2011 s.d. 20/04/2012 (6).

Bagaimana aspek hukum layanan SPT Elektronik (e-filing) menurut UU ITE terkait dengan sertifikasi elektronik dan alat bukti digital jika terjadi sengketa?

Untungnya artikel ini bukan skripsi atau tesis yang harus membuat simpulan pada akhir tulisan. Saya sudah menanyakan tema artikel ini pada ahlinya pada suatu forum resmi, tanggal 3 Pebuari 2012 di Surakarta, namun hingga kini belum ada jawaban yang masuk pada ponsel maupun surel. Demi mengurangi rasa gelisah karena rasa ingin tahu, lalu membuat artikel ini dengan pengakuan diri segala keterbatasan pengetahuan.

Update: Februari 2013. Sejak 17/10/2012 telah melibatkan entitas pihak ketiga (trusted third party), Digicert yang menjamin keamanan transfer data yang otentik dengan enkripsi 128 bit. Adanya Certificate Authority (CA) dari lembaga yang menerbitkan sertifikat digital terpercaya, informasi dalam SPT dapat digunakan sebagai bukti digital yang memiliki kekuatan hukum dan akibat hukum yang sah.

Tinggalkan Balasan

Alamat surel Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *