Ya om, saya sudah mendengar juga berita tentang kebocoran data KTP dari warga RI tersebut yang diduga berasal dari data BPJS Kesehatan, terlepas dari bagaimana cara pemerintah dalam kasus tersebut pihak BPJS Kesehatan mengamankan data-data usernya (jika memang benar dari sana sumbernya kebocorannya).

Terkait Pedagang Aset kripto, saya melihat adanya keharusan bagi mereka memenuhi persyaratan antara lain:

dan untuk contoh Indodax saya baca mereka sudah memiliki dua jenis sertifikasi ISO, yaitu 9001: 2015 dan 27001: 2013 yang merupakan standar internasional dalam bidang sistem manajemen mutu dan keamanan informasi.
https://blog.indodax.com/meraih-dua-sertifikasi-iso-sekaligus-indodax-siap-menjadi-start-up-unicorn-baru-indonesia/

Nah terkait pengecualian pada kebijakan privasi mereka termasuk diantaranya harus mematuhi hukum/regulasi yang berlaku di Indonesia diantaranya 'share data ke Bappebti (pemerintah)' ini yang saya sebagai orang awam tidak tahu apakah sistem keamanan data yang mereka miliki sama ketatnya "atau justru sebaliknya" (#berharap tidak terjadi kebocoran data dari sini).