Pemerintah Indonesia setuju untuk mengirimkan data pribadi warga negara Indonesia ke Amerika Serikat, sebagai bagian dari perjanjian perdagangan timbal balik. Kebijakan ini mendapat kritikan dari para ahli dengan alasan “data pribadi bukanlah barang yang bisa diperjualbelikan”.
Para peneliti mengenai isu digital menyatakan bahwa kesepakatan tersebut memerlukan Indonesia untuk memberikan kejelasan hukum terkait transfer data pribadi ke wilayah Amerika Serikat. Selain itu, Indonesia juga perlu mengakui bahwa Amerika Serikat telah menerapkan standar perlindungan data yang cukup memadai.
Dua kewajiban tersebut dikritik dianggap kontradiktif karena merujuk pada Data Protection Laws of The World, sementara Amerika Serikat belum memiliki undang-undang yang secara menyeluruh melindungi privasi data.
Beberapa perusahaan teknologi Amerika Serikat di Eropa telah menerima denda dalam beberapa tahun terakhir karena melanggar aturan perlindungan data.
“Apakah tim negosiator Indonesia tidak memperhatikan hal semacam ini? Informasi tersebut sangat jelas,” ujar pendiri Indonesia Cyber Security Forum, Ardi Sutedja.
Menteri Koordinator Bidang Perekonomian, Airlangga Hartarto, menyatakan bahwa kesepakatan perdagangan ini dijajaki langsung oleh Presiden Prabowo Subianto dan Presiden Amerika Serikat, Donald Trump.
Airlangga mengatakan, akan ada tahap penyelesaian untuk membahas “dasar hukum yang sah, aman, dan jelas” terkait perpindahan data pribadi dari Indonesia ke Amerika Serikat.
Bagaimana sebenarnya kesepakatan mengenai data ini dan apa pengaruhnya terhadap masyarakat?
Apa bunyi kesepakatannya?
Kekhawatiran terkait pengiriman data pribadi warga negara Indonesia ke Amerika Serikat muncul setelah situs resmi Gedung Putih mengeluarkan dokumen berjudul ‘Pernyataan Bersama tentang Kerangka Kerja untuk Perjanjian AS-Indonesia tentang Perdagangan Timbal Balik’.
Mereka juga merilis dokumen dengan judul “Lembar Fakta: Amerika Serikat dan Indonesia Menandatangani Kesepakatan Perdagangan Sejarah” pada 22 Juli 2025.
Berdasarkan dokumen tersebut, Indonesia akan memberikan kejelasan terkait pengiriman data pribadi dari wilayahnya, yaitu ke Amerika Serikat.
Poin yang terdapat dalam dokumen lembar fakta sedikit lebih rinci. Di dalamnya disebutkan bahwa Indonesia akan memberikan kejelasan hukum mengenai transfer data pribadi ke wilayah Amerika Serikat.
Indonesia juga akan mengakui bahwa Amerika Serikat memenuhi standar perlindungan data yang cukup sesuai dengan hukum negara.
“Perubahan kebijakan ini telah lama didukung oleh perusahaan-perusahaan Amerika Serikat dan dianggap sebagai kemenangan besar bagi pemerintah AS, para eksportir, serta pelaku inovasi digital yang akan segera diselesaikan dalam beberapa minggu mendatang,” demikian isi lembar fakta tersebut.
Namun, Menteri Koordinator Bidang Perekonomian, Airlangga Hartarto, menyatakan bahwa detail teknis dari perjanjian tersebut masih dalam pembahasan. Ia mengklaim pemerintah akan menyiapkan mekanisme untuk melindungi aktivitas transfer data pribadi dari Indonesia ke perusahaan Amerika Serikat.
Tidak ada pemerintah yang menukar data secaragovernment to government, tetapi akan diatur bagaimana perusahaan AS mendapatkan data yang mendapat persetujuan dari masing-masing individu,” kata Airlangga saat jumpa pers di Jakarta, Kamis (24/07).
Sebagai contoh protokol keamanan data yang disampaikan oleh Airlangga, adalah penerapan di kawasan digital Nongsa, Batam—yang mensyaratkan infrastruktur keamanan digital mencakup aspek keamanan fisik.
Maka, jangan sampai ada seseorang memasuki data center tanpa izin, lalu mengambilserver atau mengumpulkan data. Demikian pula standar keamanan kabel yang sesuai dengan aturan tertentu,” ujar Airlangga.
Apa informasi yang akan dikirimkan?
Awalnya, Juru Bicara Kemenko Perekonomian Haryo Limanseto menyatakan bahwa transfer data yang dimaksud dalam perjanjian perdagangan antara Indonesia dan Amerika Serikat hanya meliputi data komersial. Data pribadi maupun data strategis milik negara, menurutnya, tidak termasuk dalam kategori tersebut.
Haryo mengatakan, aturan transfer data telah diatur dalam peraturan yang berlaku di Indonesia.
Berdasarkan UU No. 27 Tahun 2022 mengenai Perlindungan Data Pribadi, pemerintah sebagai pengendali data pribadi memiliki kewajiban untuk menjaga dan melindungi kerahasiaan data pribadi.
Di sisi lain, kebijakan tersebut menyatakan bahwa pengendali data pribadi adalah individu. Dari mereka harus diperoleh izin untuk mengungkapkan data kepada pihak lain.
Namun dalam konferensi pers pada 24 Juli lalu, Airlangga mengatakan data pribadi telah dibagikan sendiri oleh individu saat mendaftar ke suatu perangkat atau aplikasi.
Sebenarnya beberapa data pribadi merupakan kebiasaan masyarakat saat mendaftar di Google, di Bing, melakukane-commercedan yang lainnya. Saat membuat email atau akun, itu berarti mengunggah data pribadi. Data-data tersebut tentu saja bersifat pribadi,” kata Airlangga.
“Perjanjian antara Indonesia dan Amerika adalah menyusun protokol untuk hal tersebut,” katanya.
Secara terpisah, Menteri Komunikasi dan Digital, Meutya Hafid menyampaikan bahwa pemindahan data pribadi antar negara hanya diperbolehkan untuk kepentingan yang sah, terbatas, dan dapat dibenarkan secara hukum. “Bukan berarti penyerahan data pribadi dilakukan secara bebas,” kata Meutya.
Selain itu, contoh pemindahan data yang sah antara lain aktivitas di Google dan Bing, penggunaan media sosial (Instagram, Facebook, X), komunikasi digital melalui aplikasi pesan instan (WhatsApp), penyimpanan data via cloud, transaksi e-commerce, kebutuhan penelitian, hingga pengembangan teknologi digital.
Para peneliti dari Lembaga Studi & Advokasi Masyarakat Nurul Izmi menganggap ketidakterbukaan pemerintah dalam menyebutkan jenis data yang akan dikirim ke Amerika Serikat “layak dipertanyakan”. Menurut mereka, pemerintah seharusnya bersifat terbuka dan memahami detail data yang akan dikirim nantinya.
“Ini akan menjadi tantangan khusus bagi pemerintah di masa depan, dalam menyusun klasifikasi jenis data yang bisa dipindahkan ke luar yurisdiksi,” kata Nurul.
Pendiri Indonesia Cyber Security Forum, Ardi Sutedja, meragukan istilah data komersial yang tidak tercantum dalam Undang-undang Perlindungan Data Pribadi. Menurutnya, jika data komersial yang dimaksud berkaitan dengan penggunaan di Google atau AI, maka tidak perlu melalui kesepakatan perdagangan semacam itu.
Coba saja juga bisa. Tampaknya ada kesalahpahaman di dalam tim tersebut. Kami kaget saat menempatkancross border data transferitu merupakan salah satu persyaratan dalam negosiasi perjanjian tersebut,” kata Ardi.
“Kalau bicara cross borderArtinya, itu adalah data pribadi masyarakat, data nasabah, data pelanggan, yang melakukan aktivitas melalui perantara perusahaan-perusahaan Amerika. Yang jelas, itu merupakan data pribadi, bukan data komersial,” katanya.
Bagaimana potensi dampaknya?
- Ancaman integritas data warga
Para peneliti dari Lembaga Studi & Advokasi Masyarakat Nurul Izmi menyampaikan bahwa transfer data antar wilayah yurisdiksi tersebut sebenarnya bisa dilakukan, bahkan diakui oleh UU Perlindungan Data Pribadi yang berlaku di Indonesia.
Namun, pihak yang mengendalikan atau memproses data harus memastikan bahwa AS memiliki perlindungan data pribadi yang setara atau lebih baik dibandingkan dengan yang berlaku di Indonesia.
Jika kondisi tersebut tidak terpenuhi, maka pihak pengendali data perlu memastikan adanya mekanisme perlindungan data yang cukup dan mengikat, serta mendapatkan persetujuan dari subjek data.
Pada kondisi tertentu, menurut Nurul, UU Perlindungan Data Pribadi bahkan memakwajibkan transfer data pribadi tertentu harus melalui penilaian Data Protection Impact Assessment (DPIA).
Masalahnya, Amerika Serikat tidak memiliki aturan yang cukup untuk melindungi data. Ardi Sutedja menyebutkan bahwa perusahaan AS sering kali terlibat dalam masalah hukum di Eropa terkait dengan perlindungan data ini.
Pengacara privasi data asal Austria, Maximilian Schrems, pernah mengkritik Facebook karena dugaan pelanggaran terhadap aturan perlindungan data di Eropa.
Schrems mengklaim bahwa pemindahan data pribadinya ke server yang berada di wilayah Amerika Serikat memungkinkan pencurian data oleh lembaga intelijen Amerika. Menurutnya, hal ini bertentangan dengan prinsip-prinsip perlindungan data dalam hukum Uni Eropa.
Dalam putusan terkait gugatan tersebut, aturan perlindungan data dan privasi di Amerika Serikat dinilai jauh tertinggal dibandingkan standar praktik terbaik. Amerika Serikat tidak secara hukum mengakui hak privasi sebagai hak dasar. Informasi pribadi dapat diproses dengan bebas, kecuali jika berkaitan dengan anak-anak di bawah usia 13 tahun atau layanan kesehatan serta keuangan, yang semuanya tunduk pada undang-undang khusus.
Selain itu, meskipun telah memiliki regulasi yang lebih baik, Indonesia belum menerapkan UU Perlindungan Data Pribadi secara keseluruhan. Salah satunya, Indonesia belum membentuk lembaga otoritas Perlindungan Data Pribadi.
Tidak adanya lembaga tersebut, menurut Nurul, menyebabkan kekosongan pengawasan terhadap kebijakan transfer data pribadi.
“Resikonya sangat besar terkait aliran data ini yang berarti aliran informasi pribadi pengguna. Kaitannya bisa mencakup hak asasi manusia hingga keamanan nasional,” kata Nurul.
- Ancaman pengawasan massal dan penyalahgunaan teknologi
Berdasarkan Pasal 702 Undang-Undang Pengawasan Intelijen Asing (FISA), pemerintah Amerika Serikat berhak mengakses komunikasi pihak asing yang berada di luar wilayah hukum AS. Informasi yang tersimpan di server lokal juga dapat diakses apabila terkait dengan target asing.
Kebijakan ini memicu perdebatan mengenai cara pengumpulan dan penyimpanan data yang dilakukan melalui infrastruktur digital yang berada di wilayah Amerika Serikat.
Selain itu, terdapat kekhawatiran mengenai kemungkinan pengawasan terhadap warga negara Amerika Serikat secara tidak langsung, yang berpotensi menyebabkan pelanggaran terhadap hak privasi dan kebebasan sipil.
“Jika kemudian diterapkan di Indonesia, kami khawatir akan munculnya peningkatan ancaman pengawasan dari AS melalui undang-undang dalam negerinya, yang juga kita alami dari pemerintah sendiri,” ujar Nurul.
Ardi juga menyampaikan mengenai potensi pengaruh opini masyarakat melalui teknologi, yang pernah dilakukan Amerika Serikat saat Pemilihan Presiden AS 2016. Pada masa itu, terjadi skandal Facebook di mana perusahaan analisis data Cambridge Analytica mengumpulkan dan memanfaatkan data pribadi untuk memengaruhi hasil Pemilihan Presiden AS 2016.
Ini seharusnya menjadi kesempatan bagi kita untuk menghadapi dampak negatif dari teknologi di masa depan. Bagaimana teknologi tersebut bisa dikatakanweaponization of information Ya. Jadi teknologi, isinya bisa dimanfaatkan secara bersenjata. Bukti dari Cambridge Analytica itu,” kata Ardi.
- Pelemahan perlindungan privasi
Ardi juga menyampaikan bahwa kesepakatan ini dengan Amerika Serikat melemahkan perlindungan privasi masyarakat. Padahal, dalam UU Perlindungan Data Pribadi telah dijelaskan secara jelas mengenai perlindungan yang membatasi risiko tersebut.
“Bahkan ini dibuka. Kami yang berusaha menjaga data pribadi kami, KTP kami. Tapi ternyata ada orang lain yang mengetahui data kami, termasuk nama ibu kandung kami, segala macam. Kami tidak tahu apa yang akan mereka lakukan dengan data itu,” kata Ardi.
Mereka tidak perlu mengungkapkan tujuan penggunaan data tersebut. Mereka dapat melakukannya secara rahasia, tanpa diketahui. Kita tidak akan tahu apakah data itu akan disalahgunakan atau dimanfaatkan secara komersial.
Nurul berpendapat bahwa jika kesepakatan yang terjadi didasarkan pada perjanjian perdagangan bebas, maka akan muncul kepentingan bisnis yang kuat. Hal ini karena tujuannya adalah untuk memenuhi kepentingan perusahaan-perusahaan Amerika Serikat yang bergerak di bidang penyimpanan data. Akibatnya, perlindungan privasi menjadi lebih lemah.
“Privasi pribadi bukanlah barang yang bisa diperjualbelikan secara diam-diam dalam negosiasi tertutup,” ujar Nurul.
Apa strategi pemerintah dalam melindungi data WNI?
Alih-alih melakukan diplomasi, Menteri Koordinator Bidang Perekonomian Airlangga Hartarto justru menekankan peluang investasi yang telah berhasil diraih dari perusahaan asal Amerika Serikat. Airlangga menyebutkan bahwa sudah terdapat 12 perusahaan AS yang menanamkan modalnya untuk membangun pusat data.
Perusahaan tersebut meliputi Amazon Web Services, Microsoft, Equinix, EdgeConneX, Oracle, Digital Realty, Google Cloud, WowRack, Akamai, CloudFlare, Braze, dan Anaplan Unlimited.
Untuk nilai investasinya, Oracle berencana menyalurkan dana sebesar 6 miliar dolar AS atau setara dengan Rp97,74 triliun guna membangun pusat data di Batam. Selanjutnya, Microsoft akan membangun infrastruktur cloud dan kecerdasan buatan senilai 1,7 miliar dolar AS atau setara dengan Rp27,69 triliun.
Terdapat pula Amazon yang akan menyediakan dana sebesar 5 miliar dolar AS atau Rp81,45 triliun terkait peningkatan infrastruktur kecerdasan buatan dan cloud.
Pendiri Indonesia Cyber Security Forum, Ardi Sutedja, mengajak seluruh pihak untuk tetap waspada karena pembahasan teknis masih berlangsung.
Istilahnya ramai di depan, sedangkan di belakang sudah mulai menurun, sudah berjalan. Masyarakat perlu waspada. Tanpa adanya hal ini saja, data kita sering bocor, apalagi jika dibuka seperti itu,” ujar Ardi.
- Lima isu yang harus ditangani Komdigi selain pembatasan ongkos kirim gratis – ‘Data terbocor, perjudian online merajalela’
- Pusat Data Nasional Sementara mengalami gangguan akibat serangan ransomware, mengapa lembaga pemerintah masih mudah menjadi sasaran serangan dunia maya?
- Kekbocoran informasi pribadi dan tanggung jawab pemerintah: ‘Tidak perlu ada tuntutan, jika regulator berani dan keras’
- Impor barang Indonesia dikenakan tarif 19% oleh Amerika Serikat – ‘Kondisi Indonesia justru lemah’
- Pemerintahan Prabowo memilih jalur negosiasi daripada menanggapi dengan tarif Trump – tingkatkan impor produk energi dan pertanian dari Amerika Serikat
- Dokumen rahasia dari 21.000 perusahaan di Indonesia dilaporkan bocor, ‘ini mungkin menjadi alat untuk penipuan’
