Unpacking The Fintech Regulatory Sandbox Framework in Indonesia: Risks Management and The Data Privacy Imperative

To accommodate Indonesia’s quickly growing fintech industry, regulators have opted for a regulatory sandbox mechanism that bases the country’s regulatory response to innovation on the results of live experiments. While they offer clear benefits, regulatory sandboxes can also be risky regulatory instruments. This paper assesses the promises and pitfalls of the sandbox, focusing on the digital financial innovation (DFI) sector, a responsibility of Indonesian Financial Services Authority (Otoritas Jasa Keuangan, or OJK). The paper focuses on sandbox governance, its risk management mechanism, and co-regulation. Sandboxes should be evaluated based on their effects on the firms that pass through their process, but this information is not collected in Indonesia. Instead, this paper considers (1) to what extent innovative technologies, products, and services have been developed to companies’ full potential; (2) how participating firms cope with the post-exit mechanism; (3) to what extent the sandbox provides a mechanism for dialogue and adaptation of legislative solutions; and (4) how risks are managed in the sandbox. We identify three challenges to the effectiveness of the DFI sandbox in Indonesia: contribution to an uneven playing field for DFI operators, a lack of clarity about the desired outcomes of the sandbox and how firms are meant to exit the sandbox, and insufficient resources for the sandbox to operate as intended. These challenges increase the potential that the sandbox framework creates legal uncertainty, imposes burdensome costs, and fails to prevent consumer harm. Regulatory and governance improvements are essential to ensure the effectiveness of the sandbox framework. To this end, we make four policy recommendations. - The newly passed Law on Finance should be used to support the OJK sandbox framework and provide clear parameters for issuing licenses, defining the goals of an OJK license, and improving the regulatory environment through input from the sandbox. Inter-agency coordination is required and should be accomplished through leadership from authority figures and the implementation of the Law on Finance. - The co-regulatory approach between regulators, relevant ministries, and AFTECH should be strengthened to improve collaboration regarding the roles of data protection officers, risk assessments, the sandbox exit mechanism, and setting and evaluating sandbox goals. - OJK must allocate sufficient resources to the sandbox process, specifically sandbox committees and representatives of operators applying to the sandbox, in order to ensure OJK can fulfill its supervisory obligations in the fintech space

The Rise of Innovative Credit Scoring System in Indonesia: Assessing Risks and Policy Challenges

Strategies to monetize personal data have created opportunities for business innovation, including companies for credit ranking, marketing strategies, public health surveillance, and even penalty and reward mechanisms. Innovative credit scoring (ICS), which uses non-traditional personal data to estimate the creditworthiness of potential borrowers, is one such business innovation. There are about 19 ICS operators in Indonesia that help traditional and non-traditional lenders to estimate the capacity and willingness of potential borrowers to repay loans. Using non-traditional data to generate a credit score facilitates financial inclusion, especially for previously unbanked households. Despite this substantial benefit, the business model also carries inherent risks to data privacy, artificial intelligence and machine learning, and market monopolies. To address inherent risks in ICS, the Indonesian Financial Services Authority (OJK) as the regulator pursued a co-regulatory approach with the establishment of a regulatory sandbox. The Indonesian Fintech Association (AFTECH) also collaborates with OJK as the ICS umbrella organization. The self-regulatory function of AFTECH complements the supervision of fintech entities through the enforcement of a code of ethics among ICS operators. In addition, the Personal Data Protection Law (PDPL) aims to provide legal clarity for the personal data management of ICS companies. However, relevant articles in the law are not aligned with existing practices because of thecomplexity of each of these risks. Opaque decision-making must be addressed and responsibilities between the self-regulatory organization and government authorities must be clarified. Procedural and substantive policy reforms would help to address these risks and uncertainties.OJK should reassess the effectiveness of the sandbox programs and provide sufficient regulatory clarity whether business models have been cleared to enter the market. An independent Data Protection Authority (DPA) needs to perform regular checks on the data used and shared by data controllers and ICS companies as data processors. Risk-based co-regulation should be adopted in the process of developing derivatives and implementation guidelines of the PDPL. OJK should clarify regulations regarding types of data, data use, and data protection officers, and specify how liability falls on data controllers and data processors. Finally, OJK should actively collaborate and coordinate their actions with the Commission for the Supervision of Business Competition (Komisi Pengawas Persaingan Usaha/ ‘KPPU’) to optimize the benefits of ICS for digital consumers

Berkembangnya Sistem Innovative Credit Scoring di Indonesia Menilai Risiko dan Tantangan Kebijakan

Strategi-strategi untuk memonetisasi data pribadi telah menciptakan berbagai peluang inovasi bisnis, termasuk perusahaan pemeringkat kredit, strategi pemasaran, surveilans kesehatan masyarakat, dan mekanisme penalti dan penghargaan. Salah satu contohnya adalah innovative credit scoring (ICS) yang menggunakan data pribadi nontradisional untuk memperkirakan kelayakan kredit calon peminjam. Saat ini, terdapat 19 penyelenggara ICS di Indonesia yang membantu pemberi pinjaman, baik tradisional maupun nontradisional, dalam memperkirakan kapasitas dan kemauan calon peminjam untuk mengembalikan pinjaman. Penggunaan data nontradisional untuk menghasilkan skor kredit dapat memfasilitasi inklusi keuangan, khususnya bagi golongan masyarakat yang belum tersentuh layanan keuangan atau perbankan (unbanked). Kendati demikian, model bisnis ini juga membawa sederet risiko terkait privasi data, kecerdasan buatan (artificial intelligence) dan pembelajaran mesin (machine learning), serta monopoli pasar. Untuk mengatasi risiko-risiko yang melekat pada ICS, Otoritas Jasa Keuangan (OJK) sebagai regulator menggunakan pendekatan pengaturan bersama (koregulasi) dengan membentuk regulatory sandbox. OJK juga berkolaborasi dengan Asosiasi Fintech Indonesia (AFTECH) sebagai payung organisasi ICS. Fungsi regulasi mandiri dari AFTECH melengkapi upaya pengawasan atas entitas-entitas fintech (teknologi finansial) melalui penegakan kode etik terhadap para penyelenggara ICS. Di samping itu, Undang-Undang Perlindungan Data Pribadi (UU PDP) juga hadir untuk memberikan kejelasan hukum terkait pengelolaan data pribadi oleh perusahaan ICS. Akan tetapi, pasal-pasal yang relevan dalam UU PDP tidak sejalan dengan praktik yang ada karena setiap risiko memiliki kompleksitas tersendiri. Pengambilan keputusan kredit harus transparan dan pembagian tanggung jawab antara organisasi regulator mandiri dan otoritas pemerintah perlu diperjelas. Reformasi kebijakan prosedural dan substantif dapat menanggulangi berbagai risiko dan ketakpastian tersebut. OJK perlu meninjau ulang keefektifan program-program sandbox dan memberikan kejelasan regulasi terkait izin model bisnis ini untuk memasuki pasar. Lembaga perlindungan data pribadi independen perlu melakukan pemeriksaan rutin atas data yang digunakan dan dibagikan oleh pengendali data dan perusahaan ICS sebagai prosesor data. Pengaturan bersama berbasis risiko perlu diadopsi dalam proses penyusunan peraturan- peraturan pelaksana dan pedoman penerapan UU PDP. OJK juga harus mengklarifikasi peraturan- peraturan yang berkenaan dengan jenis data, penggunaan data, dan petugas perlindungan data, serta menguraikan tanggung jawab masing-masing pengendali dan prosesor data. Terakhir, OJK perlu berkolaborasi secara aktif dan mengoordinasikan aksi-aksinya dengan Komisi Pengawas Persaingan Usaha (KPPU) guna mengoptimalkan manfaat ICS bagi konsumen digital

Membedah Kerangka Regulatory Sandbox Industri Fintech Indonesia: Manajemen Risiko dan Pentingnya Privasi Data

Untuk mengakomodasi industri teknologi finansial (fintech) Indonesia yang berkembang pesat, regulator memilih menerapkan mekanisme regulatory sandbox atau ruang uji coba terbatas yang menjadikan pengujian langsung sebagai dasar yang mendorong respons regulasi negara terhadap inovasi. Meski memberikan manfaat-manfaat yang jelas, regulatory sandbox dapat menjadi instrumen regulasi yang berisiko. Makalah ini menilai kelebihan dan kekurangan regulatory sandbox, dengan fokus pada sektor inovasi keuangan digital (IKD) yang menjadi tanggung jawab Otoritas Jasa Keuangan (OJK). Makalah ini berfokus pada tata kelola sandbox, mekanisme manajemen risikonya, dan koregulasi (pengaturan bersama). Sandbox seharusnya dievaluasi berdasarkan dampaknya terhadap perusahaan-perusahaan yang mengikuti prosesnya, tetapi informasi ini tidak dikumpulkan di Indonesia. Sebaliknya, makalah ini mengkaji (i) sejauh mana teknologi, produk, dan layanan inovatif telah dikembangkan sesuai potensi maksimal perusahaan; (ii) bagaimana perusahaan-perusahaan yang berpartisipasi menghadapi mekanisme pascakeluar (post-exit) dari sandbox; (iii) sejauh mana sandbox menyediakan mekanisme untuk dialog dan adaptasi solusi legislatif; dan (iv) bagaimana risiko dikelola dalam sandbox. Kami mengidentifikasi tiga tantangan terkait keefektifan sandbox IKD di Indonesia: penciptaan peluang berusaha yang tidak setara (uneven playing field) bagi para penyelenggara IKD, kurangnya kejelasan mengenai hasil yang diinginkan dan bagaimana perusahaan seharusnya keluar dari sandbox, serta sumber daya yang kurang memadai agar sandbox dapat berjalan sesuai yang diharapkan. Tiga tantangan ini meningkatkan potensi bahwa kerangka sandbox menciptakan ketidakpastian hukum, menambah biaya yang membebani, dan gagal melindungi konsumen dari kerugian. Perbaikan regulasi dan tata kelola sangatlah penting untuk memastikan keefektifan kerangka sandbox. Untuk mewujudkan perbaikan tersebut, kami mengusulkan empat rekomendasi kebijakan berikut. - Undang-Undang (UU) tentang Keuangan (UU Pengembangan dan Penguatan Sektor Keuangan atau UU P2SK) yang baru saja disahkan perlu digunakan untuk mendukung kerangka sandbox OJK dan memberikan batasan yang jelas untuk menerbitkan izin, mendefinisikan tujuan izin OJK, serta memperbaiki iklim regulasi berdasarkan input dari sandbox. - Kerja sama antarlembaga dibutuhkan dan seyogianya dijalin melalui kepemimpinan otoritas berwenang dan implementasi UU P2SK. - Pendekatan koregulasi antara regulator, kementerian yang relevan, dan Asosiasi Fintech Indonesia (AFTECH) perlu diperkuat guna meningkatkan kolaborasi terkait peran petugas perlindungan data, penilaian risiko, mekanisme keluar dari sandbox, serta penetapan dan evaluasi tujuan-tujuan sandbox. - OJK harus mengalokasikan sumber daya yang memadai untuk proses sandbox, khususnya komite sandbox dan perwakilan penyelenggara yang mendaftar ke sandbox, guna memastikan bahwa OJK mampu memenuhi kewajiban pengawasannya dalam lanskap fintech

Pengalaman Internasional Terkait Innovative Credit Scoring: Pelajaran bagi Indonesia

Sekitar 51% penduduk dewasa Indonesia masih masuk ke dalam kategori unbanked (belum tersentuh layanan keuangan atau perbankan). Mereka tidak dapat memenuhi persyaratan formal untuk membuktikan kelayakan kredit sehingga tidak bisa mengakses layanan lembaga keuangan konvensional. Untuk mengatasi hambatan ini, penilaian kredit inovatif (innovative credit scoring atau ICS) hadir sebagai sebuah solusi inklusi keuangan. Para penyedia layanan digital telah mengembangkan berbagai instrumen untuk menghimpun data-data alternatif yang relevan guna menyediakan layanan kepada segmen masyarakat yang lebih luas. Namun, janji ICS untuk meningkatkan inklusi keuangan kepada populasi yang belum tersentuh layanan keuangan bukanlah tanpa peringatan. Pasalnya, ICS membawa sejumlah risiko besar, seperti ketidakakuratan data, kurangnya privasi data, risiko siber, serta potensi diskriminasi. Seperti halnya inovasi keuangan digital baru, diperlukan kejelasan lebih lanjut mengenai regulasi, penggunaan teknologi, dan perlindungan data. Meskipun industri ini masih baru dan mulai bertumbuh di Indonesia, ICS telah digunakan secara luas selama bertahun-tahun di pasar yang telah berkembang, seperti Amerika Serikat (AS) dan Tiongkok. Melanjutkan makalah kebijakan Center for Indonesian Policy Studies (CIPS) berjudul “Berkembangnya Sistem Innovative Credit Scoring di Indonesia”, makalah diskusi ini mengupas pendekatan terhadap penilaian kredit di Tiongkok dan AS guna menjadi bahan pembelajaran bagi Indonesia. Melihat pengalaman Tiongkok, bisa dikatakan bahwa penggunaan data secara berlebihan dan isu transparansi masih menjadi hambatan utama dalam sistem penilaian yang kokoh. Sistem kredit sosial yang diterapkan bersama dengan ICS, dengan data yang dibagikan secara besar-besaran kepada pihak ketiga, menunjukkan perlunya rantai akuntabilitas yang jelas. Tiongkok berada dalam posisi yang sulit, atau bahkan mustahil karena kepentingannya untuk mengumpulkan data dan menyembunyikan tujuan penggunaannya berlawanan dengan kewajiban negara terhadap warganya untuk meregulasi serta mengontrol risiko-risiko terkait privasi, keamanan siber, dan kemampuan pengguna untuk mengendalikan data mereka sendiri. Sementara itu, pengalaman industri ICS di AS dapat menjadi pelajaran bagi Indonesia agar menyusun kebijakan dan mengembangkan praktik yang efektif. Di AS, diskursus kebijakan yang relevan tidak hanya berfokus pada kekuatan pasar dan privasi data, tetapi juga tata kelola algoritma dan bias sosial-ekonomi. Secara khusus, isu yang berkenaan dengan bias sosial- ekonomi dan pengambilan keputusan algoritmis masih belum terlalu diperhatikan di Tiongkok dan Indonesia. Baik Tiongkok maupun Indonesia memiliki masyarakat minoritas dalam jumlah besar yang dapat dirugikan oleh akses yang diskriminatif terhadap layanan keuangan akibat adanya bias kecerdasan buatan (artificial intelligence atau AI) dan pembelajaran mesin (machine learning). Dengan mempelajari pengalaman-pengalaman internasional tersebut, kita dapat memahami dengan lebih baik berbagai risiko dan tantangan terkait solusi-solusi digital inovatif yang lahir dan tumbuh pesat di Indonesia

The Rise of Innovative Credit Scoring System in Indonesia: Assessing Risks and Policy Challenges

Strategies to monetize personal data have created opportunities for business innovation, including companies for credit ranking, marketing strategies, public health surveillance, and even penalty and reward mechanisms. Innovative credit scoring (ICS), which uses non-traditional personal data to estimate the creditworthiness of potential borrowers, is one such business innovation. There are about 19 ICS operators in Indonesia that help traditional and non-traditional lenders to estimate the capacity and willingness of potential borrowers to repay loans. Using non-traditional data to generate a credit score facilitates financial inclusion, especially for previously unbanked households. Despite this substantial benefit, the business model also carries inherent risks to data privacy, artificial intelligence and machine learning, and market monopolies. To address inherent risks in ICS, the Indonesian Financial Services Authority (OJK) as the regulator pursued a co-regulatory approach with the establishment of a regulatory sandbox. The Indonesian Fintech Association (AFTECH) also collaborates with OJK as the ICS umbrella organization. The self-regulatory function of AFTECH complements the supervision of fintech entities through the enforcement of a code of ethics among ICS operators. In addition, the Personal Data Protection Law (PDPL) aims to provide legal clarity for the personal data management of ICS companies. However, relevant articles in the law are not aligned with existing practices because of thecomplexity of each of these risks. Opaque decision-making must be addressed and responsibilities between the self-regulatory organization and government authorities must be clarified. Procedural and substantive policy reforms would help to address these risks and uncertainties.OJK should reassess the effectiveness of the sandbox programs and provide sufficient regulatory clarity whether business models have been cleared to enter the market. An independent Data Protection Authority (DPA) needs to perform regular checks on the data used and shared by data controllers and ICS companies as data processors. Risk-based co-regulation should be adopted in the process of developing derivatives and implementation guidelines of the PDPL. OJK should clarify regulations regarding types of data, data use, and data protection officers, and specify how liability falls on data controllers and data processors. Finally, OJK should actively collaborate and coordinate their actions with the Commission for the Supervision of Business Competition (Komisi Pengawas Persaingan Usaha/ ‘KPPU’) to optimize the benefits of ICS for digital consumers

Berkembangnya Sistem Innovative Credit Scoring di Indonesia Menilai Risiko dan Tantangan Kebijakan

Strategi-strategi untuk memonetisasi data pribadi telah menciptakan berbagai peluang inovasi bisnis, termasuk perusahaan pemeringkat kredit, strategi pemasaran, surveilans kesehatan masyarakat, dan mekanisme penalti dan penghargaan. Salah satu contohnya adalah innovative credit scoring (ICS) yang menggunakan data pribadi nontradisional untuk memperkirakan kelayakan kredit calon peminjam. Saat ini, terdapat 19 penyelenggara ICS di Indonesia yang membantu pemberi pinjaman, baik tradisional maupun nontradisional, dalam memperkirakan kapasitas dan kemauan calon peminjam untuk mengembalikan pinjaman. Penggunaan data nontradisional untuk menghasilkan skor kredit dapat memfasilitasi inklusi keuangan, khususnya bagi golongan masyarakat yang belum tersentuh layanan keuangan atau perbankan (unbanked). Kendati demikian, model bisnis ini juga membawa sederet risiko terkait privasi data, kecerdasan buatan (artificial intelligence) dan pembelajaran mesin (machine learning), serta monopoli pasar. Untuk mengatasi risiko-risiko yang melekat pada ICS, Otoritas Jasa Keuangan (OJK) sebagai regulator menggunakan pendekatan pengaturan bersama (koregulasi) dengan membentuk regulatory sandbox. OJK juga berkolaborasi dengan Asosiasi Fintech Indonesia (AFTECH) sebagai payung organisasi ICS. Fungsi regulasi mandiri dari AFTECH melengkapi upaya pengawasan atas entitas-entitas fintech (teknologi finansial) melalui penegakan kode etik terhadap para penyelenggara ICS. Di samping itu, Undang-Undang Perlindungan Data Pribadi (UU PDP) juga hadir untuk memberikan kejelasan hukum terkait pengelolaan data pribadi oleh perusahaan ICS. Akan tetapi, pasal-pasal yang relevan dalam UU PDP tidak sejalan dengan praktik yang ada karena setiap risiko memiliki kompleksitas tersendiri. Pengambilan keputusan kredit harus transparan dan pembagian tanggung jawab antara organisasi regulator mandiri dan otoritas pemerintah perlu diperjelas. Reformasi kebijakan prosedural dan substantif dapat menanggulangi berbagai risiko dan ketakpastian tersebut. OJK perlu meninjau ulang keefektifan program-program sandbox dan memberikan kejelasan regulasi terkait izin model bisnis ini untuk memasuki pasar. Lembaga perlindungan data pribadi independen perlu melakukan pemeriksaan rutin atas data yang digunakan dan dibagikan oleh pengendali data dan perusahaan ICS sebagai prosesor data. Pengaturan bersama berbasis risiko perlu diadopsi dalam proses penyusunan peraturan- peraturan pelaksana dan pedoman penerapan UU PDP. OJK juga harus mengklarifikasi peraturan- peraturan yang berkenaan dengan jenis data, penggunaan data, dan petugas perlindungan data, serta menguraikan tanggung jawab masing-masing pengendali dan prosesor data. Terakhir, OJK perlu berkolaborasi secara aktif dan mengoordinasikan aksi-aksinya dengan Komisi Pengawas Persaingan Usaha (KPPU) guna mengoptimalkan manfaat ICS bagi konsumen digital