Strategi-strategi untuk memonetisasi data pribadi telah menciptakan berbagai peluang inovasi bisnis, termasuk perusahaan pemeringkat kredit, strategi pemasaran, surveilans kesehatan masyarakat, dan mekanisme penalti dan penghargaan. Salah satu contohnya adalah innovative credit scoring (ICS) yang menggunakan data pribadi nontradisional untuk memperkirakan kelayakan kredit calon peminjam. Saat ini, terdapat 19 penyelenggara ICS di Indonesia yang membantu pemberi pinjaman, baik tradisional maupun nontradisional, dalam memperkirakan kapasitas dan kemauan calon peminjam untuk mengembalikan pinjaman. Penggunaan data nontradisional untuk menghasilkan skor kredit dapat memfasilitasi inklusi keuangan, khususnya bagi golongan masyarakat yang belum tersentuh layanan keuangan atau perbankan (unbanked). Kendati demikian, model bisnis ini juga membawa sederet risiko terkait privasi data, kecerdasan buatan (artificial intelligence) dan pembelajaran mesin (machine learning), serta monopoli pasar. Untuk mengatasi risiko-risiko yang melekat pada ICS, Otoritas Jasa Keuangan (OJK) sebagai regulator menggunakan pendekatan pengaturan bersama (koregulasi) dengan membentuk regulatory sandbox. OJK juga berkolaborasi dengan Asosiasi Fintech Indonesia (AFTECH) sebagai payung organisasi ICS. Fungsi regulasi mandiri dari AFTECH melengkapi upaya pengawasan atas entitas-entitas fintech (teknologi finansial) melalui penegakan kode etik terhadap para penyelenggara ICS. Di samping itu, Undang-Undang Perlindungan Data Pribadi (UU PDP) juga hadir untuk memberikan kejelasan hukum terkait pengelolaan data pribadi oleh perusahaan ICS. Akan tetapi, pasal-pasal yang relevan dalam UU PDP tidak sejalan dengan praktik yang ada karena setiap risiko memiliki kompleksitas tersendiri. Pengambilan keputusan kredit harus transparan dan pembagian tanggung jawab antara organisasi regulator mandiri dan otoritas pemerintah perlu diperjelas. Reformasi kebijakan prosedural dan substantif dapat menanggulangi berbagai risiko dan ketakpastian tersebut. OJK perlu meninjau ulang keefektifan program-program sandbox dan memberikan kejelasan regulasi terkait izin model bisnis ini untuk memasuki pasar. Lembaga perlindungan data pribadi independen perlu melakukan pemeriksaan rutin atas data yang digunakan dan dibagikan oleh pengendali data dan perusahaan ICS sebagai prosesor data. Pengaturan bersama berbasis risiko perlu diadopsi dalam proses penyusunan peraturan- peraturan pelaksana dan pedoman penerapan UU PDP. OJK juga harus mengklarifikasi peraturan- peraturan yang berkenaan dengan jenis data, penggunaan data, dan petugas perlindungan data, serta menguraikan tanggung jawab masing-masing pengendali dan prosesor data. Terakhir, OJK perlu berkolaborasi secara aktif dan mengoordinasikan aksi-aksinya dengan Komisi Pengawas Persaingan Usaha (KPPU) guna mengoptimalkan manfaat ICS bagi konsumen digital.