Seseorang yang dengan sengaja melakukan doxing, yakni mengumpulkan dan menyebarkan data pribadi orang lain bisa dikenai sanksi hukum.
Masuk menjadi salah satu cybercrime, doxing diatur dalam Undang-Undang Perlindungan Data Pribadi (UU PDP) Nomor 27 Tahun 2022. Berikut rinciannya:
Pasal 30 ayat (1) jo. Pasal 46 ayat (1) UU ITE menerapkan sanksi pidana penjara paling lama 6 tahun dan denda maksimal Rp600 juta, atas akses ilegal terhadap sistem elektronik milik orang lain dengan cara apapun. Sedangkan pada Pasal 30 ayat (2) jo. Pasal 46 ayat 2 UU ITE mengancam hukuman pidana penjara paling lama 7 tahun dan/atau denda maksimal Rp700 juta atas akses ilegal terhadap komputer dan/atau sistem elektronik dengan tujuan memperoleh informasi dan/atau dokumen elektronik.
Kemudian Pasal 30 ayat (3) jo. Pasal 46 ayat (3) UU ITE mengancam hukuman pidana penjara paling lama 8 tahun dan denda maksimal Rp800 juta, atas tindakan melawan hukum melakukan penerobosan, melampaui, atau penjebolan terhadap sistem pengamanan komputer. Ancaman lebih berat berupa hukuman pidana penjara paling lama 10 tahun dan/atau denda maksimal Rp800 juta dikenakan atas intersepsi atau penyadapan sistem elektronik milik orang lain (Pasal 31 ayat (1) jo. Pasal 47 UU ITE).
Dalam UU PDP diatur larangan memperoleh atau mengumpulkan data pribadi yang bukan miliknya, dengan maksud untuk menguntungkan diri sendiri atau orang lain, yang dapat mengakibatkan kerugian subyek data pribadi.
Berdasarkan Peraturan Pemerintah Nomor 17 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, yang dimaksud dengan data pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui system elektronik dan/atau nonelektronik.
Sedangkan berdasarkan Peraturan Menteri komunikasi dan informatika nomor 20 tahun 2016 tentang perlindungan data pribadi dalam system elektronik. Yang dimaksud dengan Data pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.
Adapun menurut rancangan undang-undang tentang perlindungan data pribadi, pada pasal 1 nomor 1 yang dimaksud dengan Data Pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik.