Penelitian ini bertujuan untuk menganalisis bentuk pelindungan hukum terhadap kebocoran data pribadi NIK pengguna PayLater X berdasarkan peraturan perundang-undangan terkait pelindungan data pribadi dan pelindungan kosumen. Penelitian ini juga bertujuan untuk mengetahui pertanggungjawaban perdata yang dilakukan PT Commerce Finance atas kebocoran data pribadi NIK pengguna PayLater X.

Metode yang digunakan dalam penelitian ini adalah berjenis normatif-empiris yang menyatukan aspek hukum yang tertulis (normatif) dengan data dan fakta yang diperoleh dari lapangan (empiris). Penelitian normatif dilakukan dengan mengumpulkan bahan hukum primer, bahan hukum sekunder, dan bahan hukum tersier. Adapun penelitian empiris dilakukan dengan metode wawancara untuk memperoleh data primer. Data primer diperoleh melalui proses wawancara. Teknik pemilihan sampel menggunakan non-probability sampling dengan snowball sampling. Proses analisis data disajikan secara deskriptif kualitatif, dengan menguraikan dan menjelaskan hasil yang diperoleh melalui studi kepustakaan dan wawancara mendalam secara runtut dan sistematis.

Kesimpulan yang diperoleh dari penelitian ini menunjukkan bahwa: (1) Pelindungan hukum terhadap kebocoran data pribadi NIK pengguna PayLater X telah diatur dalam UU PDP dan UU PK. Pelindungan hukum preventif menekankan persetujuan eksplisit dan keamanan sistem oleh pengendali data, sedangkan pelindungan hukum represif mengatur kewajiban ganti rugi dan sanksi terhadap pelanggaran untuk melindungi hak-hak konsumen secara menyeluruh; dan (2) PT Commerce Finance dinilai tidak sepenuhnya memenuhi pertanggungjawaban perdata atas kebocoran data pribadi NIK pengguna PayLater X. Penyusunan klausula baku yang membatasi atau mengalihkan tanggung jawab tanpa dasar hukum yang sah dapat dianggap batal demi hukum sehingga perusahaan tetap wajib bertanggung jawab atas kerugian konsumen.

This study aims to analyze the form of legal protection against the leakage of personal data, specifically the National ID Number of PayLater X users, based on laws and regulations related to personal data protection and consumer protection. In addition, the study seeks to analyze the civil liability borne by PT Commerce Finance as a result of the National ID Number data breach experienced by its users.

The method used in this research is normative-empirical, which integrates written legal norms (normative) with data and facts obtained from the field (empirical). The normative aspect involves the examination of primary, secondary, and tertiary legal materials, while the empirical aspect is conducted through interviews to gather primary data. Data collection employs a non-probability sampling technique using the snowball sampling method. The data are analyzed qualitatively and presented descriptively, with a structured and systematic elaboration of findings derived from both literature review and in-depth interviews. 

The findings of this study indicate the following: (1) Legal protection for the leakage of user’s National ID Number data within the PayLater X feature is governed by the UU PDP and UU PK. Preventive measures emphasize the necessity of obtaining explicit consent and ensuring robust data security systems, while repressive measures provide for compensation and sanctions following data breaches to ensure comprehensive consumer rights protection; and (2) PT Commerce Finance has not fully discharged its civil liability obligations as stipulated by relevant legal provisions. The inclusion of standard clauses that attempt to limit or transfer liability without a valid legal basis may be rendered null and void by law, thereby affirming the company’s legal responsibility for losses incurred by consumers. 

Kata Kunci : Kata Kunci: pertanggungjawaban hukum, pelindungan data pribadi, pelindungan konsumen, PayLater. Keywords: legal liability, personal data protection, consumer protection, PayLater.