Meskipun pemerintah melalui pernyataan Presiden, didukung oleh Menteri Koordinator Perekonomian, Menteri Kominfo, dan Kepala Kantor Komunikasi Kepresidenan menegaskan bahwa transfer data tidak dilakukan sembarangan, polemik ini melampaui sekadar aspek teknis.
Hal ini mempertanyakan kekuatan perlindungan hukum di Indonesia serta akuntabilitas para pemimpin.
Di era digital, data pribadi seperti nama, biometrik, lokasi, hingga preferensi online tidak lagi sekadar informasi, tetapi menjadi kekuatan tawar hingga alat negosiasi geopolitik.
Jika data warga dialirkan ke negara lain tanpa transparansi dan pengawasan yang memadai, masyarakatlah yang paling dirugikan, apalagi jika mereka tidak sepenuhnya memahami risiko yang mengintai.
Dalam upaya meredakan keresahan publik, pemerintah merujuk pada Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) sebagai payung hukum utama.
UU PDP, khususnya Pasal 56, secara tegas mengatur pemindahan data dengan syarat adanya (1) negara tujuan dengan proteksi setara, (2) jaminan perlindungan hukum yang mengikat, atau (3) persetujuan subjek data.
Peraturan ini sekaligus menegaskan bahwa hukum harus tetap berada sebelum logika ekonomi, terutama ketika yang dipertaruhkan adalah privasi warga negara.
Penyimpangan Penggunaan
Pernyataan Menkomdigi, Meutya Hafid, menjelaskan bahwa pemindahan data pribadi lintas negara hanya diperbolehkan untuk kepentingan yang sah, terbatas, dan dapat dibenarkan secara hukum.
Data yang dianggap sah meliputi penggunaan mesin pencari seperti Google dan Bing, penyimpanan data melalui layanan komputasi awan (cloud), percakapan di media sosial seperti WhatsApp, Facebook, dan Instagram. Selain itu, data aktivitas e-commerce serta data untuk riset dan inovasi digital juga termasuk.
Sekilas, pernyataan tentang data tersebut tampak wajar jika dialirkan dan digunakan bersama. Namun, di era informasi, data pribadi bisa dimanfaatkan untuk kepentingan strategis, baik bisnis maupun politik, seperti penggiringan opini, menentukan selera, dukungan, hingga pemahaman terhadap perilaku masyarakat.
Dalam menyusun UU PDP, Indonesia mengacu pada General Data Protection Regulation (GDPR) Uni Eropa, yang dianggap sebagai model perlindungan data terketat di dunia.
Beberapa prinsip yang diterapkan meliputi batasan pemrosesan data, transparansi, serta hak subjek data. Mekanisme yang diadopsi mencakup Data Protection Impact Assessment (DPIA), penunjukan Data Protection Officer (DPO), dan hak-hak subjek data seperti informasi, koreksi, dan penghapusan data.
Meski secara substansi UU PDP sejalan dengan GDPR, secara kelembagaan masih terdapat kekurangan tata kelola. Misalnya, jika EU GDPR mengharuskan adanya otoritas independen, UU PDP justru menempatkan fungsi pengawasan di bawah KemKomdigi.
Hal ini berpotensi menimbulkan konflik kepentingan antara fungsi pengawasan dan kebijakan. Selain itu, belum ada lembaga independen pengawasan sebagai turunan UU PDP.
Oleh karena itu, implementasi saat ini masih bersifat parsial, lebih terkesan terburu-buru merespons pasar dibandingkan membangun institusi yang belum memadai.
Publik Berhak Khawatir
Merujuk pada pemikiran Shoshana Zuboff, kita telah memasuki era “Surveillance Capitalism,” yang berbeda dengan kapitalisme industri yang memperoleh keuntungan dari eksploitasi sumber daya alam dan tenaga kerja.
Kapitalisme pengawasan meraih laba melalui pengumpulan, pengolahan, dan analisis data perilaku. Data yang awalnya digunakan untuk analisis dan pengembangan internal kini dianggap sebagai peluang baru,
sebuah “bahan mentah” yang dapat dijual kepada pengiklan, termasuk politisi dan pemerintah. Zuboff bahkan menyatakan bahwa “kita telah menjadi komoditas yang diperdagangkan di pasar masa depan.”
Mengapa hal ini penting dalam konteks Indonesia–Amerika Serikat (AS)? Salah satu alasan kuat AS mendorong arus bebas data sebagai poin kesepakatan adalah karena hingga kini Indonesia belum menganggap AS sebagai negara yang memadai (adequate country).
Meski AS memiliki regulasi proteksi data, perlindungannya tidak menyeluruh seperti GDPR, terutama bagi warga negara asing (non-AS). Lembaga intelijen AS seperti NSA dan FBI memiliki kewenangan untuk mengakses data pribadi warga asing di server perusahaan AS.
Di AS, hal ini diatur dalam Foreign Intelligence Surveillance Act, khususnya Pasal 702 (FISA Section 702), yang memberikan dasar hukum bagi pemerintah untuk melakukan pengawasan terhadap non-warga negara AS di luar negeri dengan bekerja sama dengan penyedia layanan komunikasi dan teknologi.
Implikasi dari FISA Section 702 memungkinkan lembaga intelijen AS mengumpulkan data dari target asing tanpa surat perintah, selama target tersebut berada di luar wilayah AS dan informasi yang dikumpulkan dianggap relevan untuk kepentingan intelijen asing,
dengan persetujuan dari Foreign Intelligence Surveillance Court (FISC). Bahkan, perusahaan seperti Google, Microsoft, Meta, dan lainnya secara hukum dapat diperintahkan untuk menyerahkan data melalui mekanisme ini.
Kedaulatan Digital
Alan Westin dalam “Privacy and Freedom” menegaskan bahwa privasi adalah hak dasar, bukan komoditas. UU PDP mengatur transfer data lintas negara dengan syarat ketat, memberikan kendali penuh atas data dan kedaulatan data kepada Indonesia.
Sebaliknya, kesepakatan perdagangan resiprokal yang didesakkan AS untuk menghapus hambatan perdagangan digital sering kali bertujuan meminimalkan hambatan dan memaksimalkan kebebasan aliran data, yang justru berpotensi merampas kedaulatan digital warga demi kepentingan ekonomi-politik negara.
Dalam jangka panjang, risiko dari kesepakatan tersebut bukan hanya soal persetujuan aliran data lintas negara antara Indonesia dan AS, melainkan siapa yang mengatur syarat dan ketentuan aliran data.
Respon netizen di forum diskusi mencerminkan keresahan mendalam, dengan istilah “negara open source” menjadi label baru bagi Indonesia, yang dianggap kalah dalam negosiasi. Skeptisisme ini sebaiknya didengar pemerintah, yang harus segera mengambil langkah untuk mewujudkan kedaulatan digital warga.
Langkah pertama adalah transparansi berkala mengenai data yang boleh ditransfer, batasannya, dan syarat legalnya. Kedua, pembentukan lembaga pengawas independen.
Ketiga, publikasi dampak kebijakan, audit independen, dan pelibatan masyarakat sipil dalam evaluasi kebijakan. Keempat, penguatan pendidikan digital bagi warga agar masyarakat memahami hak mereka.
Pemerintah mungkin berdalih bahwa kesepakatan bilateral ini strategis secara ekonomi, tetapi itu tidak seharusnya mengorbankan kedaulatan digital warga.
Sebagai catatan, Uni Eropa pernah membatalkan Privacy Shield, kerja sama perlindungan data digital dengan AS pada 2020, yang memungkinkan ribuan perusahaan memindahkan data antar benua tanpa melanggar
regulasi EUD.
Pada tahun 2023, Uni Eropa menerima adequacy AS dalam kerangka kerja EU–US Data Privacy Framework (DPF), namun dengan beberapa syarat utama, seperti komitmen self-certification oleh perusahaan AS untuk mematuhi prinsip DPF,
pembentukan Data Protection Review Court (DPRC) sebagai mekanisme pengaduan bagi warga UE jika data mereka disalahgunakan atau diakses secara tidak tepat oleh otoritas AS, serta pembatasan akses intelijen AS berdasarkan prinsip kebutuhan dan proporsionalitas.
Jika transfer data ini masih dalam tahap negosiasi, semoga pemerintah Indonesia cukup bijak menyikapi rencana strategis AS terkait penguasaan data warga negara Indonesia. Data pribadi adalah fondasi kedaulatan warga, wujud nyata demokrasi—bukan sekadar komoditas politik digital. ***
