Presiden Prabowo Subianto - Presiden Donal Trump (doc, net)
JAKARTA, GoSumatera - Pemerintah Indonesia bersepakat melakukan transfer data pribadi warga negara Indonesia ke Amerika Serikat, sebagai bagian dari kesepakatan perjanjian perdagangan timbal balik. Kebijakan itu dikritik pakar karena "data pribadi bukan barang dagangan yang dapat dipertukarkan".
Dilansir dari bbcnews indonesia, Peneliti isu digital menyebut kesepakatan itu mengharuskan Indonesia memberikan kepastian hukum transfer data pribadi ke wilayah AS. Selain itu Indonesia juga harus mengakui AS telah menerapkan standar perlindungan data yang memadai.
Dua kewajiban itu dikritik dianggap ironis karena merujuk Data Protection Laws of The World, AS belum memiliki undang-undang yang melindungi data privasi secara komprehensif.
Karena, dalam beberapa tahun terakhir, sejumlah perusahaan teknologi AS di Eropa juga dikenai denda akibat pelanggaran perlindungan data.
"Apakah tim negosiator Indonesia tidak membaca hal seperti ini? Informasi itu sangat transparan," kata pendiri Indonesia Cyber Security Forum, Ardi Sutedja.
Menko Perekonomian, Airlangga Hartarto, menyebut kesepakatan dagang ini dilakukan sendiri oleh Presiden Prabowo Subianto dan Presiden AS, Donald Trump.
Airlangga bilang, akan ada tahap finalisasi untuk membahas "pijakan hukum yang sah, aman, dan terukur" terkait lalu lintas data pribadi dari Indonesia ke AS.
Bagaimana sesungguhnya kesepakatan terkait data ini dan apa dampaknya bagi masyarakat?
Apa Bunyi Kesepakatannya?
Kekhawatiran mengenai transfer data pribadi warga negara Indonesia ke AS ini muncul usai situs resmi Gedung Putih merilis dokumen bertajuk 'Pernyataan Bersama tentang Kerangka Kerja untuk Perjanjian AS-Indonesia tentang Perdagangan Timbal Balik'.
Mereka mempublikasikan pula dokumen berjudul 'Lembar Fakta: Amerika Serikat dan Indonesia Mencapai Kesepakatan Perdagangan Bersejarah' pada 22 Juli 2025.
Mengacu pada dokumen itu, Indonesia akan memberikan kepastian mengenai transfer data pribadi keluar dari wilayahnya, yakni ke Amerika Serikat.
Poin yang tercantum dalam dokumen lembar fakta sedikit lebih detil. Di situ tertulis, Indonesia akan memberikan kepastian hukum terkait transfer data pribadi ke wilayah AS.
Indonesia juga akan mengakui bahwa AS memenuhi standar pelindungan data yang memadai sesuai dengan hukum nasional.
"Reformasi kebijakan ini telah lama diadvokasi oleh perusahaan-perusahaan AS serta dipandang sebagai kemenangan besar bagi pemerintah AS, eksportir, dan pelaku inovasi digital yang akan difinalisasi dalam beberapa minggu mendatang," bunyi isi lembar fakta itu.
Namun Menko Perekonomian, Airlangga Hartarto, menyebut detail teknis dari kesepakatan tersebut masih dirundingkan. Dia membuat klaim, pemerintah akan menyusun mekanisme untuk melindungi kegiatan transfer data pribadi dari Indonesia ke perusahaan AS.
"Tidak ada pemerintah mempertukarkan data secara government to government, tapi akan diatur bagaimana perusahaan AS memperoleh data yang mendapat konsen dari masing-masing pribadi," ujar Airlangga ketika jumpa pers di Jakarta, Kamis (24/07).
Salah satu contoh protokol keamanan data yang dijadikan contoh oleh Airlangga adalah penerapan di kawasan digital di Nongsa, Batam—yang mewajibkan infrastruktur keamanan digital mencakup keamanan fisik.
"Jadi, jangan sampai ada yang orang masuk misalnya ke data center tanpa izin, kemudian mengambil server atau mengambil data. Demikian pula standar keamanan kabel yang berada dalam standar tertentu," tutur Airlangga.
Apa data yang akan ditransfer?
Semula, Juru Bicara Kemenko Perekonomian Haryo Limanseto menyebut transfer data yang dimaksud dalam kesepakatan dagang antara Indonesia-AS hanya mencakup data komersial. Data pribadi maupun data strategis milik negara, kata dia, tidak termasuk di dalamnya.
Haryo bilang, ketentuan transfer data itu telah diatur dalam regulasi yang berlaku di Indonesia.
Jika merujuk UU 27/2022 tentang Perlindungan Data Pribadi, maka pemerintah selaku pengendali data pribadi berkewajiban melindungi dan menjaga kerahasiaan data pribadi.
Di sisi lain, beleid itu mengatur bahwa pengendali data pribadi adalah perorangan. Dari merekalah izin pemberian data ke pihak lain harus didapatkan.
Namun dalam jumpa pers 24 Juli kemarin, Airlangga bilang data pribadi sudah dibagikan sendiri oleh perorangan ketika mendaftar ke suatu perangkat atau aplikasi.
"Sebetulnya beberapa data pribadi kan merupakan praktik dari masyarakat pada saat daftar di Google, di Bing, melakukan e-commerce dan yang lain. Pada saat membuat email atau akun, itu kan unggah data sendiri. Data-data ini tentu data pribadi," kata Airlangga.
"Kesepakatan Indonesia dan Amerika adalah membuat protokol untuk itu," ujarnya.
Secara terpisah, Menteri Komunikasi dan Digital, Meutya Hafid menyampaikan pemindahan data pribadi lintas negara hanya diperbolehkan untuk kepentingan yang sah, terbatas, dan dapat dibenarkan secara hukum. "Bukan bentuk penyerahan data pribadi secara bebas," ujar Meutya.
Adapun contoh pemindahan data sah yang dimaksud seperti, aktivitas di Google dan Bing, penggunaan media sosial (instagram, facebook, x), komunikasi digital lewat aplikasi pesan instan (whatsapp), penyimpanan data melalui cloud, transaksi e-commerce, keperluan riset, hingga inovasi digital.
Peneliti Lembaga Studi & Advokasi Masyarakat Nurul Izmi menilai ketidakterbukaan pemerintah secara eksplisit tentang jenis data apa saja yang akan ditransfer ke AS "patut dipertanyakan". Menurutnya, pemerintah harus terbuka dan mengetahui detail data yang kelak ditransfer.
"Ini akan menjadi tantangan tersendiri bagi pemerintah di masa mendatang, untuk membuat klasifikasi jenis data yang dapat ditransfer di luar yurisdiksi," ucap Nurul.
Pendiri Indonesia Cyber Security Forum, Ardi Sutedja mempertanyakan istilah data komersial yang tidak ada dalam Undang-undang Perlindungan Data Pribadi. Menurut dia, jika data komersial yang dimaksud terkait dengan penggunaan di Google atau AI, maka tidak perlu melalui perjanjian dagang semacam ini.
"Cari saja juga dapat. Sepertinya ada pemahaman yang keliru di dalam tim itu. Kami kaget menempatkan menempatkan cross border data transfer itu sebagai satu syarat di dalam negosiasi penjanjian itu," kata Ardi.
"Kalau bicara cross border artinya kan itu data pribadi masyarakat, data nasabah, data customer, yang melakukan kegiatan dengan perantara perusahaan-perusahaan Amerika. Yang sudah pasti itu ada data pribadi, bukan data komersil," tuturnya.
Bagaimana potensi dampaknya?
Ancaman integritas data warga Peneliti Lembaga Studi & Advokasi Masyarakat Nurul Izmi menyampaikan transfer data antar wilayah yurisdiksi ini sebenarnya dapat dilakukan, bahkan diakui oleh UU Perlindungan Data Pribadi yang berlaku di Indonesia.
Namun, pengendali atau pemroses data wajib memastikan bahwa AS memiliki perlindungan data pribadi yang setara atau lebih tinggi ketimbang yang berlaku di Indonesia.
Jika syarat itu tidak terpenuhi, maka pengendali data harus memastikan adanya mekanisme perlindungan data yang memadai dan mengikat, serta memperoleh persetujuan dari subjek data.
Dalam kondisi tertentu, kata Nurul, UU Perlindungan Data Pribadi bahkan mewajibkan transfer data pribadi tertentu harus melalui penilaian Data Protection Impact Assessment (DPIA).
Persoalannya, AS tidak memiliki regulasi terkait perlindungan data yang memadai. Ardi Sutedja menyebut perusahaan AS bahkan banyak terjerat masalah hukum di Eropa terkait dengan perlindungan data ini.
Aktivis data privasi asal Austria, Maximilian Schrems, pernah mempersoalkan Facebook atas dugaan ketidakpatuhan terhadap regulasi perlindungan data Uni Eropa.
Schrems menuding bahwa pemindahan data pribadinya ke server di wilayah AS memungkinkan pencurian data oleh badan intelijen Amerika Serikat. Hal itu, menurut dia, bertentangan dengan prinsip-prinsip perlindungan data dalam hukum Uni Eropa.
Dalam putusan gugatan itu, ketentuan pelindungan data dan privasi di AS dinyatakan jauh di bawah standar praktik terbaik. AS tidak mengakui secara hukum hak atas privasi sebagai hak fundamental. Bahkan informasi pribadi dapat diproses secara bebas, kecuali jika menyangkut anak-anak di bawah usia 13 tahun atau layanan kesehatan atau keuangan, yang semuanya tunduk pada undang-undang sektoral tertentu.
Selain itu, meski sudah memiliki regulasi yang lebih baik, Indonesia belum menjalankan UU Perlindungan Data Pribadi seluruhnya. Salah satunya, Indonesia belum membentuk lembaga otoritas Perlindungan Data Pribadi.
Tidak adanya lembaga ini, kata Nurul, mengakibatkan kekosongan pengawasan terhadap kebijakan transfer data pribadi.
"Risikonya tinggi mengenai aliran data ini yang berarti aliran informasi pribadi pengguna. Kaitannya bisa pada hak asasi manusia hingga keamanan nasional," ucap Nurul.
Ancaman pemantauan massal dan penyalahgunaan teknologi
Mengacu pada Pasal 702 Undang-Undang Pengawasan Intelijen Asing (FISA), pemerintah AS memiliki kewenangan untuk mengakses komunikasi pihak asing yang berada di luar yurisdiksi teritorial AS. Bahkan informasi yang tersimpan di server domestik juga berhak diakses jika informasinya berkaitan dengan target asing.
Kebijakan ini menuai kontroversi terkait mekanisme pengumpulan dan penyimpanan data yang berlangsung melalui infrastruktur digital yang berbasis di wilayah AS.
Selain itu, ada kekhawatiran mengenai potensi pengawasan terhadap warga negara AS secara tidak langsung, yang dapat berimplikasi pada pelanggaran hak atas privasi dan kebebasan sipil.
"Jika kemudian diterapkan di Indonesia, kami mengkhawatirkan adanya peningkatan ancaman pemantauan oleh AS melalui hukum domestiknya, yang mana hal tersebut kita alami juga oleh pemerintah sendiri," kata Nurul.
Ardi menambahkan pula tentang kemungkinan penggiringan opini publik melalui teknologi, AS pernah melakukan itu ketika Pemilihan Presiden AS 2016. Saat itu, ada skandal Facebook dan perusahaan analisis data Cambridge Analytica melakukan pengumpulan dan penggunaan data pribadi untuk mempengaruhi hasil Pemilihan Presiden AS 2016.
"Ini seharusnya menjadi pintu masuk buat kita untuk mengalami efek berbahaya daripada teknologi ke depan. Bagaimana teknologi itu bisa istilahnya weaponization of information ya. Jadi teknologi, konten di dalam teknologi itu bisa dipersenjatai. Buktinya Cambridge Analytica itu," ujar Ardi.
Pelemahan perlindungan privasi
Ardi juga menyampaikan kesepakatan dengan AS ini melemahkan perlindungan privasi warga. Padahal dalam UU Perlindungan Data Pribadi sudah ditegaskan mengenai perlindungan yang mempersempit risiko.
"Ini malah dibuka. Kita yang usaha jaga data pribadi kita, KTP kita. Eh ini ada orang lain yang tahu data kita, data nama ibu kandung kita, segala macam. Kita enggak tahu itu akan diapakan oleh mereka," ujar Ardi.
"Mereka tidak wajib memberitahukan akan digunakan untuk apa itu data. Mereka bisa lakukan secara sembunyi-sembunyi, secara diam-diam. Kita enggak akan tahu apakah akan disalahgunakan, dikomersialisatikan."
Nurul berpendapat ketika kesepakatan yang terjadi dilandasi perjanjian perdagangan bebas, maka ada kepentingan bisnis yang kuat. Sebab, tujuannya adalah mengakomodir kepentingan bisnis perusahaan-perusahaan AS yang bergerak di bidang penyimpanan data. Hasilnya adalah pelemahan perlindungan privasi.
"Data pribadi bukan barang dagangan yang dapat dipertukarkan secara diam-diam dalam proses negosiasi tertutup," kata Nurul.
Apa Siasat Pemerintah amankan data WNI
Alih-alih bersiasat, Menko Perekonomian Airlangga Hartarto justru menekankan peluang investasi yang berhasil diraih dengan perusahaan AS. Airlangga menyebutkan sudah ada 12 perusahaan AS yang menanamkan modal untuk membangun pusat data.
Perusahaan tersebut, adalah Amazon Web Services, Microsoft, Equinix, EdgeConneX, Oracle, Digital Realty, Google Cloud, WowRack, Akamai, CloudFlare, Braze, serta Anaplan Unlimited.
Untuk nilai investasinya, Oracle berencana menggelontorkan dana investasi sebesar 6 miliar dolar AS atau setara Rp97,74 triliun untuk pembangunan pusat data di Batam. Kemudian, Microsoft akan mendirikan infrastruktur cloud dan kecerdasan buatan bernilai 1,7 miliar dolar AS atau sama dengan Rp27,69 triliun.
Ada juga Amazon yang akan memasok dana sebesar 5 miliar dolar AS atau Rp81,45 triliun berkaitan dengan penguatan fasilitas kecerdasan buatan dan cloud.
Pendiri Indonesia Cyber Security Forum, Ardi Sutedja meminta semua pihak untuk terus waspada mengingat pembahasan teknisnya masih berjalan.
"Istilahnya rame di depan, di belakangnya udah reda, udah jalan deh. Publik harus waspada. Tanpa ada seperti ini saja, data kita masih sering bocor, apalagi dibuka seperti itu," kata Ardi.(**)