Jakarta EKOIN.CO – Pemerintah Amerika Serikat memberlakukan Undang-Undang Cloud (Cloud Act) sejak tahun 2018 sebagai upaya penguatan otoritas hukum terkait akses data digital lintas negara. Undang-undang ini menegaskan bahwa perusahaan teknologi asal AS harus menyerahkan data pelanggan kepada pemerintah AS bila diminta, termasuk bila data tersebut disimpan di luar negeri, misalnya di Indonesia.
Berlangganan gratis WA NEWS EKOIN lewat saluran Whatsapp EKOIN di : https://whatsapp.com/channel/0029VbAEmcR6mYPIvKh3Yr2v
Dikutip dari laman resmi Department of Justice (DoJ) Amerika Serikat, Cloud Act atau Clarifying Lawful Overseas Use of Data Act memungkinkan lembaga penegak hukum AS, seperti FBI dan DEA, untuk mengakses data elektronik yang dimiliki perusahaan berbasis AS, termasuk data yang tersimpan di server luar negeri, sepanjang ada surat perintah resmi pengadilan AS.
Mekanisme kerja Cloud Act secara lintas negara
Dalam implementasinya, Cloud Act menetapkan bahwa bila perusahaan seperti Microsoft, Google, atau Amazon menerima permintaan data dari lembaga hukum AS, maka mereka wajib menyerahkannya, meski data tersebut tersimpan di pusat data yang berlokasi di Indonesia. Hal ini didasarkan pada yurisdiksi asal perusahaan, bukan lokasi fisik server.
Cloud Act juga memungkinkan Amerika Serikat menjalin perjanjian bilateral dengan negara lain, agar negara mitra juga dapat mengakses data perusahaan AS secara legal dalam yurisdiksi mereka. Hingga saat ini, perjanjian tersebut telah terjalin antara AS dengan Inggris dan Australia. Indonesia belum memiliki perjanjian serupa.
Dampaknya, perusahaan teknologi AS yang beroperasi di Indonesia, meskipun mengikuti aturan perlindungan data lokal seperti UU Perlindungan Data Pribadi (UU PDP), tetap berkewajiban mematuhi Cloud Act jika diminta pemerintah AS. Hal ini menimbulkan kekhawatiran terhadap kedaulatan data Indonesia.
Server di Indonesia tetap tunduk pada Cloud Act
Menurut pakar hukum siber dari Universitas Indonesia, Dr. Budi Rahardjo, Cloud Act bersifat ekstrateritorial karena yurisdiksinya tidak hanya berlaku di dalam AS. “Jika perusahaan itu berbasis hukum AS, maka semua data yang mereka simpan di mana pun tetap bisa diminta oleh pemerintah AS,” jelas Budi dikutip dari CNBC Indonesia.
Hal tersebut menciptakan dilema bagi Indonesia dalam menegakkan kedaulatan data, terutama bila data warga negara Indonesia dapat diakses oleh negara lain tanpa sepengetahuan pemerintah RI. Meskipun perusahaan AS dapat menolak permintaan jika dianggap melanggar hukum negara tempat data disimpan, pada praktiknya perusahaan kerap lebih memilih patuh kepada perintah pengadilan AS.
Dalam keterangan resminya, Google menegaskan bahwa pihaknya akan melakukan kajian hukum terlebih dahulu sebelum mematuhi permintaan data berdasarkan Cloud Act. Namun demikian, karena berada di bawah hukum AS, Google tidak bisa menolak permintaan yang telah mendapatkan surat perintah resmi dari pengadilan AS.
Sementara itu, pemerintah Indonesia terus mendorong pembangunan pusat data nasional sebagai upaya agar data warga Indonesia disimpan dalam negeri oleh perusahaan lokal, untuk menghindari risiko akses asing melalui hukum seperti Cloud Act. Namun, hal ini belum sepenuhnya diterapkan oleh seluruh platform digital.
Terkait server perusahaan AS di Indonesia, Cloud Act tetap berlaku karena yang menjadi dasar adalah asal perusahaan, bukan letak fisik server. Sehingga, meskipun perusahaan seperti Amazon Web Services (AWS) membuka pusat data di Jakarta, mereka masih harus tunduk pada hukum AS.
Pemerintah Indonesia melalui Kementerian Komunikasi dan Informatika telah menyampaikan kekhawatiran atas potensi penyalahgunaan Cloud Act dalam beberapa forum bilateral. Pemerintah mendesak agar perusahaan asing menghormati hukum Indonesia dalam pengelolaan data pribadi.
Dalam konteks ini, Direktur Jenderal Aplikasi Informatika Kementerian Kominfo, Semuel Abrijani Pangerapan, mengatakan, “Kita minta perusahaan asing, termasuk dari AS, tetap tunduk pada UU PDP kita dan tidak sembarangan menyerahkan data pengguna Indonesia ke negara lain.”
Meskipun demikian, hingga kini belum ada kesepakatan atau perjanjian khusus antara Indonesia dan AS terkait penegakan Cloud Act. Indonesia juga belum memiliki mekanisme resmi untuk menolak permintaan data yang berdasarkan hukum asing seperti Cloud Act.
Beberapa pakar menilai bahwa Indonesia perlu segera mempercepat implementasi UU PDP, termasuk pembentukan otoritas perlindungan data independen, agar dapat lebih kuat menghadapi potensi pelanggaran kedaulatan data oleh hukum asing.
Dalam praktik internasional, perdebatan soal hukum lintas negara dalam dunia digital masih menjadi isu kompleks. Cloud Act menjadi salah satu contoh bagaimana negara besar dapat memperluas kontrol atas data digital secara global.
Sebagai tambahan, perusahaan yang tidak mematuhi Cloud Act bisa dikenai sanksi hukum di AS, termasuk denda dan pencabutan izin usaha. Oleh karena itu, mayoritas perusahaan AS cenderung mematuhi Cloud Act ketimbang menolak perintah data dari pemerintah AS.
Sementara itu, masyarakat dan aktivis privasi di Indonesia mengkhawatirkan dampak jangka panjang Cloud Act terhadap hak privasi individu. Mereka mendesak pemerintah Indonesia memperkuat regulasi data dan memaksa perusahaan asing membuka kantor perwakilan data di Indonesia.
Langkah ke depan yang disarankan oleh para pengamat adalah membentuk perjanjian bilateral yang adil dan mengikat, sehingga permintaan data oleh AS tidak dilakukan sepihak, melainkan harus seizin otoritas Indonesia. Hingga saat ini, belum ada tanda-tanda kesepakatan seperti itu terjalin.
Dalam waktu dekat, pemerintah Indonesia juga akan memperbarui daftar perusahaan yang wajib menyimpan data di dalam negeri. Langkah ini dianggap penting sebagai perlindungan awal terhadap Cloud Act dan kebijakan serupa dari negara lain.
Cloud Act berlaku terhadap semua perusahaan AS, termasuk yang menyimpan data di Indonesia. Hal ini menjadi tantangan serius bagi kedaulatan data digital Indonesia di tengah dominasi global perusahaan teknologi asal AS.
Indonesia perlu mempercepat pembentukan otoritas perlindungan data pribadi yang independen, agar bisa menegosiasikan secara adil permintaan data dari negara lain. Selain itu, perlu ada peningkatan literasi digital masyarakat agar lebih sadar risiko penyimpanan data di platform asing.
Sektor strategis seperti perbankan, kesehatan, dan pemerintahan disarankan menggunakan layanan penyimpanan data lokal untuk mencegah akses hukum asing. Pemerintah juga perlu meninjau ulang izin operasi perusahaan digital asing terkait komitmen perlindungan data.
Kerja sama internasional di bidang perlindungan data menjadi penting, termasuk membentuk perjanjian multilateral yang menjamin kedaulatan digital. Indonesia bisa menggandeng negara-negara ASEAN dalam memperkuat posisi tawar di hadapan negara besar seperti AS.
Langkah hukum jangka panjang adalah memperkuat UU PDP agar memiliki daya tahan terhadap intervensi hukum asing, termasuk memberikan sanksi bagi perusahaan yang menyerahkan data tanpa izin pemerintah Indonesia. ( * )
