Ahli IT Soroti Daftar Data WNI yang Ditransfer ke AS dalam Kesepakatan Dagang

Pemerintah Indonesia menyebutkan bahwa data yang akan ditransfer ke Amerika Serikat, sebagaimana diatur dalam kesepakatan dagang resiprokal alias Agreement on Reciprocal Tariff (ART), yakni data yang diperlukan untuk bisnis. Ahli IT menyoroti detail mengenai data ini.

Peneliti keamanan siber dari Communication Information System Security Research Center (CISSReC) Pratama Persada mengatakan frasa ‘data yang diperlukan untuk bisnis sistem aplikasi’ dapat dilihat sebagai formulasi yang terlalu umum. Menurut dia, hal ini berpotensi menimbulkan multitafsir.

Dalam tata kelola data modern, Pratama mengatakan perumusan kategori data harus spesifik. Hal ini dikarenakan setiap jenis data memiliki tingkat sensitivitas dan risiko yang berbeda.

“Ketika pemerintah tidak merinci apakah data tersebut mencakup data pribadi, data sensitif, atau bahkan data biometrik, maka ruang ketidakpastian hukum dan teknis menjadi sangat besar,” kata Pratama kepada Katadata.co.id, Senin (23/2).

Dia menjelaskan, ketidakjelasan definisi membuka peluang perluasan interpretasi oleh pihak pengendali data. Terutama perusahaan teknologi global yang infrastrukturnya banyak berbasis di Amerika Serikat seperti Google LLC, Microsoft Corporation, dan Amazon Web Services.

Ia menyebut bahaya utama dari formulasi yang tidak rinci yakni potensi tercampurnya data operasional bisnis dengan data pribadi yang bersifat sensitif. Data untuk kebutuhan sistem aplikasi dapat mencakup identitas pengguna, alamat, nomor telepon, histori transaksi, pola konsumsi hingga data lokasi.

“Dalam praktik ekonomi digital, data tersebut sering kali diperkaya melalui analitik lanjutan dan kecerdasan buatan sehingga membentuk profil perilaku yang sangat detail,” ujarnya.

Jika data yang ditransfer mencakup data sensitif seperti data kesehatan, data keuangan, atau data biometrik, maka risikonya meningkat secara eksponensial.

Menurutnya, data biometrik seperti sidik jari, pengenalan wajah, atau iris mata bersifat permanen dan tidak dapat diganti jika bocor. Berbeda dengan kata sandi yang dapat diubah, kebocoran biometrik bersifat irreversibel dan berimplikasi jangka panjang terhadap keamanan identitas seseorang.

Sementara itu, Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya menyampaikan, jika merujuk pada isi kesepakatan, ia menduga data yang ditransfer ke AS merupakan data-data yang disampaikan oleh pengguna ketika menggunakan aplikasi buatan Negeri Paman Sam. Misalnya, masyarakat menyertakan data diri dan kartu kredit ketika mendaftar Netflix atau Instagram yang meminta calon pengguna melakukan swafoto untuk verifikais usia.

Jika itu benar, maka data pribadi termasuk yang ditransfer. Meski begitu, hal ini merupakan praktik yang sudah lama terjadi. “Tanpa kesepakatan ini, data sebenarnya sudah ditransfer,” kata dia kepada Katadata.co.id, Senin (23/2).

Alfons menduga kesepakatan itu dibuat lantaran Amerika Serikat belum memiliki aturan setara UU PDP yang berlaku secara nasional. “Dengan adanya UU PDP, maka posisi AS lebih lemah dari Indonesia,” ujar dia, sedangkan kesepakatan ini memberikan kepastian hukum bagi korporasi AS dalam mengelola data pengguna.

Walaupun dengan adanya kesepakatan itu, data WNI bisa dibuka oleh Pemerintah Amerika Serikat misalnya, misalnya terkait kepentingan persidangan.

Oleh karena itu, Alfons lebih menyoroti pentingnya penggunaan aplikasi dalam negeri sebagai pengganti layanan Amerika Serikat. “Kalau (WNI) pakai QRIS kan bisa dikelola di dalam negeri, tidak perlu ke AS,” ujar dia.

Pengawasan Data WNI di AS Dipertanyakan?

Secara regulasi, Indonesia sudah memiliki Undang-undang Pelindungan Data Pribadi atau UU PDP yang mengatur transfer data pribadi ke luar negeri hanya dapat dilakukan apabila negara tujuan memiliki tingkat perlindungan yang setara atau lebih tinggi. Hal ini juga bisa dilakukan jika terdapat perjanjian yang menjamin perlindungan tersebut.

Namun, persoalan utama terletak pada mekanisme implementasi dan pengawasan. “Ketika data dikelola di luar wilayah Indonesia, yurisdiksi pengawasan menjadi lebih kompleks. Otoritas Indonesia tidak memiliki kewenangan langsung untuk melakukan audit fisik atau penegakan hukum terhadap perusahaan asing tanpa kerja sama hukum internasional,” kata Pratama.

Di sisi lain, ia mengatakan Amerika Serikat memiliki kerangka hukum sendiri. Hal ini memungkinkan akses terhadap data yang dikelola perusahaan berbasis di AS melalui regulasi seperti CLOUD Act.

Pratama menilai, hal tersebut menimbulkan pertanyaan serius tentang bagaimana prinsip kedaulatan data dan hak warga negara Indonesia dapat ditegakkan secara efektif. Menurutnya, pengawasan lintas batas pada dasarnya bergantung pada perjanjian timbal balik, mutual legal assistance, serta mekanisme contractual safeguards antara pengendali dan pemroses data.

Tanpa klausul yang eksplisit mengenai pembatasan akses, kewajiban notifikasi jika ada permintaan dari otoritas asing, serta hak audit oleh regulator Indonesia, Pratama menyebut ketentuan tunduk pada UU PDP berpotensi menjadi norma yang sulit ditegakkan secara praktis. Selain itu, juga tidak jelas Batasan sanksi administratif atau denda dalam UU PDP dapat dieksekusi terhadap perusahaan asing yang tidak memiliki entitas hukum signifikan di Indonesia.

Lebih jauh, Pratama menyoroti bahwa data agregat agregat suatu populasi memiliki nilai strategis yang melampaui nilai komersial. Analisis big data terhadap pola transaksi, mobilitas, dan perilaku sosial dapat menghasilkan peta kerentanan ekonomi dan sosial suatu negara.

“Apabila pengelolaan data tersebut berada di bawah infrastruktur asing, maka terdapat risiko asimetri informasi yang secara jangka panjang dapat mempengaruhi daya tawar Indonesia dalam ekosistem digital global,” ujarnya.

Oleh karena itu, Pratama mengatakan hal paling krusial bukan sekadar pernyataan bahwa transfer data tunduk pada UU PDP, melainkan bagaimana mekanisme teknis dan hukum dijalankan secara konkret. Pemerintah perlu memastikan adanya klasifikasi tegas mengenai jenis data yang boleh dan tidak boleh ditransfer, terutama untuk data sensitif dan biometrik.

Selain itu, Pratama menilai perlu mekanisme audit independen, kewajiban transparansi kepada publik. Begitu juga dengan penguatan otoritas pengawas agar memiliki kapasitas forensik digital dan diplomasi hukum internasional.

“Tanpa kejelasan tersebut, risiko yang dihadapi bukan hanya kebocoran data individual, tetapi juga potensi melemahnya kontrol negara atas aset digital strategis milik warganya sendiri,” kata Pratama.

Respons Pemerintah soal Data WNI Ditransfer ke AS

Kementerian Koordinator Bidang Perekonomian menyampaikan transfer data yang disepakati dalam perjanjian ART tetap tunduk pada aturan domestik, yaitu UU Pelindungan Data Pribadi atau UU PDP. “Data yang dimaksud dalam perjanjian itu yakni data yang diperlukan untuk bisnis seperti sistem aplikasi,” demikian dikutip dari keterangan pers, Minggu (22/2).

Namun Kemenko Perekonomian tidak memerinci data yang dimaksud. Kementerian hanya menyampaikan transfer data lintas-batas merupakan infrastruktur utama bagi e-commerce, layanan keuangan digital, komputasi awan atau cloud, dan jasa digital lainnya.

“Artinya, tidak ada penyerahan kedaulatan data,” demikian di kutip. Pemerintah memastikan proses pemindahan data secara fisik maupun secara digital seperti transmisi cloud dan kabel, dilakukan dalam kerangka secure and reliable data governance, tanpa mengorbankan hak-hak warga negara.

Kemenko Perekonomian menyampaikan kepastian aturan transfer data memperkuat posisi Indonesia sebagai hub ekonomi digital di kawasan. Sebab, perusahaan teknologi global membutuhkan regulasi yang dapat memfasilitasi pemrosesan data lintas-negara dengan perlindungan data yang memadai.

Dengan tata kelola yang kredibel, Indonesia dapat menarik investasi pusat data, infrastruktur cloud, dan layanan digital lainnya.

Menteri Komunikasi dan Digital atau Komdigi Meutya Hafid mengatakan pada Juli 2025, bahwa finalisasi kesepakatan perdagangan antara Indonesia dan Amerika Serikat bukanlah bentuk penyerahan data pribadi secara bebas. “Melainkan menjadi pijakan hukum yang sah, aman, dan terukur dalam tata kelola lalu lintas data pribadi lintas negara,” kata dia dalam keterangan pers tahun lalu.

Meutya menyebut kesepakatan itu justru menjadi dasar legal bagi perlindungan data pribadi WNI ketika menggunakan layanan digital yang disediakan oleh perusahaan berbasis di Amerika Serikat, seperti mesin pencari, media sosial, layanan cloud, dan e-commerce. “Pemindahan data pribadi lintas-negara diperbolehkan untuk kepentingan yang sah, terbatas, dan dapat dibenarkan secara hukum,” katanya.

Ia mencontohkan pemindahan data yang sah, misalnya, penggunaan mesin pencari Google dan Bing, penyimpanan data melalui layanan cloud computing, komunikasi digital melalui platform media sosial seperti WhatsApp, Facebook, dan Instagram, pemrosesan transaksi platform e-commerce, serta kebutuhan riset dan inovasi digital.

“Pengaliran data antarnegara tetap dilakukan di bawah pengawasan ketat otoritas Indonesia, dengan prinsip kehati-hatian dan berdasarkan ketentuan hukum nasional,” ujarnya.

Meutya memastikan transfer data ke AS tidak dilakukan sembarangan. Sebab, prosesnya dilakukan dalam kerangka secure and reliable data governance, tanpa mengorbankan hak warga negara.

“Sebagai tambahan, pengaliran data antarnegara merupakan praktik global yang lazim diterapkan, terutama dalam konteks tata kelola data digital,” kata dia.

Ia merujuk pada negara-negara anggota G7 seperti Amerika Serikat, Kanada, Jepang, Jerman, Prancis, Italia, dan Britania Raya yang telah lama mengadopsi mekanisme transfer data lintas batas.

Wakil Ketua Dewan Ekonomi Nasional atau DEN Mari Elka Pangestu juga mengatakan pada tahun lalu, tidak ada permintaan khusus dari Presiden Amerika Serikat Donald Trump terkait transfer data WNI ke AS.

“Penting untuk diluruskan bahwa Pemerintah Amerika Serikat tidak meminta pengecualian dari ketentuan hukum Indonesia yang berlaku mengenai perlindungan data pribadi,” kata Mari Elka dalam keterangan pers, pada Juli 2025. “Yang diminta yakni kepastian terkait mekanisme dan prosedur kebolehan transfer data pribadi ke luar wilayah Indonesia."

Ia menyampaikan, UU PDP di Indonesia pada dasarnya memperbolehkan transfer data pribadi WNI ke luar negeri, tidak hanya ke Amerika Serikat, selama memenuhi persyaratan tertentu.

Ketentuan itu sejalan dengan praktik dan standar internasional, seperti General Data Protection Regulation alias GDPR di Uni Eropa. “Baik ada maupun tanpa adanya negosiasi dengan pihak mana pun, hukum Indonesia dan praktik global memang membuka ruang bagi transfer data pribadi lintas negara, asalkan mematuhi ketentuan yang telah ditetapkan,” ujar dia.

Permintaan ‘kepastian’ dari AS pada dasarnya menyangkut perlunya prosedur yang jelas dan pasti dalam melakukan transfer data tersebut, yang tengah disiapkan melalui Peraturan Pemerintah atau PP sebagai aturan turunan dari UU PDP, dan kini berada pada tahap finalisasi.

“Sebagai penegasan, tidak ada penyerahan data pribadi dari Pemerintah Indonesia kepada pihak mana pun di luar negeri. Amerika Serikat tidak meminta pengecualian terhadap peraturan yang berlaku terkait data pribadi,” kata dia.