<![CDATA[The rapid development of information technology has given rise to new and increasingly complex challenges, one of which is phishing. This study aims to evaluate the legal aspects of data breaches caused by phishing in Indonesia and assess the effectiveness of existing regulations in protecting users’ digital privacy rights. Using a normative juridical approach and descriptive qualitative method, this research reveals that current regulations, such as the Electronic Information and Transactions Law (UU ITE) and the Personal Data Protection Law (UU PDP), do not comprehensively or specifically address the elements of phishing crimes, particularly in the form of malicious APK files. The 2001 phishing case involving Bank Central Asia’s internet banking service is presented as a historical benchmark for analyzing the weaknesses in Indonesia’s legal framework. The findings show that phishing leads not only to financial loss but also to serious repercussions on users’ reputations, privacy rights, and data security. This study recommends the formulation of a specific regulation on phishing, stronger enforcement of the PDP Law, and enhanced public digital literacy and cybersecurity emergency response systems. The limitation of this study lies in the lack of empirical data from victims or law enforcement authorities; thus, further interdisciplinary and field-based research is highly recommended. Abstrak Perkembangan teknologi informasi telah melahirkan tantangan baru dalam bentuk kejahatan siber yang kian kompleks, salah satunya adalah phishing. Penelitian ini bertujuan untuk mengevaluasi aspek hukum dari kebocoran data akibat phishing di Indonesia serta menelaah efektivitas regulasi yang ada dalam menjamin hak atas privasi digital pengguna. Dengan menggunakan pendekatan yuridis-normatif dan metode kualitatif deskriptif, penelitian ini menemukan bahwa regulasi seperti UU ITE dan UU PDP belum secara spesifik dan komprehensif mengatur unsur-unsur tindak pidana phishing, khususnya dalam modus melalui file aplikasi (APK). Studi kasus serangan phishing terhadap layanan internet banking BCA tahun 2001 menjadi titik tolak analisis historis tentang lemahnya kerangka hukum nasional. Temuan juga menunjukkan bahwa phishing tidak hanya menyebabkan kerugian finansial, tetapi juga berdampak serius terhadap reputasi, hak privasi, dan keamanan data pengguna. Rekomendasi penelitian ini mencakup perlunya pembentukan regulasi khusus mengenai phishing, penguatan penegakan UU PDP, serta peningkatan literasi digital dan sistem tanggap darurat keamanan siber. Keterbatasan penelitian ini terletak pada minimnya data empiris langsung dari korban atau aparat penegak hukum, sehingga disarankan untuk dilakukan studi lanjutan yang bersifat interdisipliner dan berbasis lapangan]]>
