Nasib Data 280 Juta Warga Indonesia di Ujung Perjanjian Dagang

PENULIS ingin mengajak pembaca berhenti sejenak dari perdebatan tentang tarif dan angka investasi dalam perjanjian dagang Indonesia–Amerika Serikat yang ditandatangani pada 19 Februari 2026.

Ada sesuatu yang lebih diam, lebih tidak terlihat, tapi jauh lebih berdampak jangka panjang: nasib data pribadi 280 juta warga Indonesia.

Perjanjian "Agreement on Reciprocal Trade" (ART) memuat dua klausul yang langsung bersinggungan dengan fondasi regulasi digital yang baru saja kita bangun.

Pertama, larangan bagi Indonesia untuk mewajibkan perusahaan-perusahaan AS menyimpan atau memproses data di wilayah kita sendiri.

Kedua, kewajiban Indonesia mengakui bahwa Amerika Serikat memiliki tingkat perlindungan data yang memadai menurut hukum Indonesia—yang secara efektif mempredeterminasi hasil mekanisme penilaian kelayakan yang diamanatkan UU Perlindungan Data Pribadi (UU PDP) 2022. Dua klausul ini bukan soal tarif. Ini soal kedaulatan.

Perlu diakui bahwa perjanjian ini juga membawa manfaat nyata yang sah: penurunan tarif ekspor dari 32 persen menjadi 19 persen memberikan keuntungan dagang signifikan bagi sektor manufaktur Indonesia.

Baca juga: Asimetris Substansi Perjanjian Dagang AS-Indonesia

Realitasnya, AS menggunakan tekanan tarif sebagai pengungkit untuk memasukkan klausul-klausul digital yang menguntungkan Big Tech-nya. Ini trade-off yang perlu dihitung biaya jangka panjangnya secara jernih, bukan ditolak secara refleks.

Simpan Data di Luar Negeri, Apa Artinya bagi Warga?

Selama ini, Indonesia mewajibkan perusahaan-perusahaan digital yang beroperasi di sini untuk menyimpan data di dalam negeri untuk kategori data tertentu.

PP PSTE No. 71/2019 Pasal 20 ayat (2) mewajibkan pengelolaan, pemrosesan, dan penyimpanan sistem elektronik publik di wilayah Indonesia.

Bank Indonesia lebih tegas: PBI No. 23/6/PBI/2021 Pasal 48 ayat (4) mewajibkan sistem pemrosesan transaksi ditempatkan pada pusat data di wilayah NKRI. Regulasi OJK (POJK 11/2022) Pasal 35 ayat (1) mengatur hal serupa untuk perbankan.

Klausul ART membalikkan logika ini. Google, Meta, dan platform AS lainnya tidak perlu lagi memiliki server di Indonesia—data pengguna Indonesia bisa disimpan di Virginia atau Oregon.

Implikasinya nyata: data nasabah bank, transaksi fintech, hingga rekam medis digital warga berpotensi tersimpan di yurisdiksi berbeda dan tunduk pada hukum negara lain.

Yang paling mengkhawatirkan adalah berlakunya CLOUD Act (Clarifying Lawful Overseas Use of Data Act), yang memungkinkan pemerintah AS meminta akses ke data yang disimpan perusahaan-perusahaan AS di seluruh dunia—termasuk data warga Indonesia.

Di atas itu, data yang mengalir ke AS juga tunduk pada FISA Section 702, yang memungkinkan akses intelijen AS terhadap data warga negara asing tanpa jaminan perlindungan setara.

(Catatan: Frasa dalam Pasal 3.2 ART yang mengatur "transfer data across trusted borders with appropriate protection" memang mengandung ambiguitas. Apakah ini benar-benar berarti pengakuan kecukupan otomatis, atau masih membuka ruang interpretasi? Ambiguitas ini justru menjadi argumen tambahan perlunya renegosiasi untuk mendapat kepastian teks yang lebih protektif).

Tiga risiko berlapis segera teridentifikasi:

• Risiko pengawasan prudensial: OJK dan BI tidak dapat mengaudit data nasabah di server luar negeri secara real-time.
• Risiko keamanan data: yurisdiksi AS berlaku atas data warga Indonesia.
• Risiko kedaulatan yurisdiksi: dalam sengketa hukum, hukum mana yang berlaku, UU PDP Indonesia atau hukum AS?

UU PDP Terancam Menjadi Formalitas Belaka

Pasal 56 UU PDP mengatur bahwa data pribadi warga Indonesia hanya bisa dikirim ke luar negeri apabila negara tujuan terbukti memberikan perlindungan setara atau lebih tinggi.

Mekanisme ini dirancang mengikuti model GDPR Eropa dan menjadi salah satu capaian terpenting regulasi digital Indonesia.

Baca juga: DPR Harus Ajukan Hak Interpelasi Sikapi Perjanjian Dagang Indonesia-Amerika

Namun, ART mewajibkan Indonesia mengakui AS sebagai negara dengan perlindungan yang memadai—padahal, hasil evaluasi itu belum pernah dijalankan secara independen.

Proses yang seharusnya menjadi alat pengawasan objektif berisiko berubah menjadi formalitas administratif yang hasilnya sudah dikunci sejak awal.

AS memang tidak memiliki undang-undang perlindungan data federal yang komprehensif. Perlindungannya bersifat sektoral: HIPAA untuk data kesehatan, Gramm-Leach-Bliley untuk keuangan, dan CCPA yang hanya berlaku di California.

Namun, perlu diakui bahwa sejak Juli 2023, EU-US Data Privacy Framework (DPF) yang baru telah disepakati, menggantikan Privacy Shield yang dibatalkan dalam putusan Schrems II (2020).

Apakah DPF ini cukup untuk memenuhi standar UU PDP Indonesia adalah pertanyaan yang harus dijawab melalui adequacy assessment yang sungguh-sungguh independen, bukan dikunci sebelum dimulai. Itulah tepatnya yang dipermasalahkan di sini.

Ironisnya, Lembaga Pengawas Perlindungan Data Pribadi (LPPDP) yang seharusnya menjadi otoritas penentu adequacy assessment di Indonesia hingga kini belum terbentuk.

Klausul perjanjian yang sudah mengunci hasil assessment tersebut berjalan tanpa pengawas yang sah.

Dunia Justru Bergerak ke Arah Sebaliknya

Selama satu dekade terakhir, hampir semua yurisdiksi besar bergerak ke arah yang sama: memperkuat kedaulatan data, memperketat kontrol atas aliran data lintas batas, dan memastikan platform digital global beroperasi dalam kerangka hukum yang melindungi kepentingan nasional. Indonesia justru tampak melangkah ke arah sebaliknya.

Uni Eropa tidak pernah mengorbankan mekanisme adequacy assessment-nya dalam satu pun perjanjian dagang, bahkan setelah satu dekade negosiasi dan dua kali kekalahan di pengadilan tertinggi dalam kasus Schrems.

Eropa justru memperluas kontrolnya melalui Digital Markets Act dan Digital Services Act, dengan denda pelanggaran hingga 20 persen omzet global.

China membangun kedaulatan data lewat tiga undang-undang berturutan (2017–2021) dan secara konsisten mengandalkan pengecualian keamanan nasional dalam setiap perjanjian internasional.

Yang paling mengusik: Australia dan Kanada—dua sekutu ideologis terdekat AS—tetap mempertahankan ruang kebijakan digitalnya.

Baca juga: Siapa Sebenarnya Dirigen Komunikasi Pemerintah Prabowo?

Ketika Australia mewajibkan platform digital membayar penerbit berita lokal melalui News Bargaining Code (2021), Google sempat mengancam keluar, tapi akhirnya tunduk.

AS tidak menggunakan mekanisme perjanjian dagang untuk mencegah kebijakan itu. Pertanyaannya menjadi wajar: mengapa instrumen yang sama digunakan dalam perjanjian dengan Indonesia?

Di kawasan ASEAN, Vietnam, Thailand, dan Singapura—bahkan yang terakhir dikenal paling pro-bisnis—tetap mempertahankan mekanisme adequacy yang dinilai secara independen oleh otoritas domestik masing-masing.

Tidak satu pun dari mereka memberikan pengakuan kecukupan otomatis kepada AS melalui perjanjian bilateral.

Apa yang Tersisa—dan Apa yang Tidak

Penulis ingin menjawab pertanyaan ini dengan jujur, karena kejujuran di sini lebih berharga daripada optimisme semu. Ada tiga jalur jangka pendek yang tersedia.

Pertama, ratifikasi parlemen. DPR memiliki kewenangan konstitusional untuk memastikan ART diratifikasi melalui undang-undang—bukan sekadar Peraturan Presiden—yang membuka ruang undang-undang implementasi yang lebih protektif.

Kedua, public policy exception. Hampir semua perjanjian dagang modern mengakui hak negara melindungi keamanan nasional atau infrastruktur kritis.

Data perbankan dan kesehatan dapat diargumentasikan sebagai kepentingan strategis yang sah.

Ketiga, pembentukan LPPDP yang selama ini tertunda. Tanpa lembaga ini, mekanisme adequacy assessment UU PDP tidak bisa dijalankan sama sekali.

Namun, ketiga jalur ini memiliki batas yang perlu diakui. Ratifikasi menghadapi jebakan waktu. Jika perjanjian sudah berlaku sebelum DPR bertindak, kewajiban internasional sudah melekat.

Public policy exception hanya bisa ditegakkan jika Indonesia siap bersengketa secara internasional dengan AS, posisi yang tidak mudah bagi negara dengan daya tawar lebih lemah.

Dan LPPDP, sekuat apapun kelak dibentuk, tidak bisa mengubah hasil adequacy assessment yang klausulnya sudah mengunci sejak awal.

Ketiganya memperlambat dampak, dan itu tetap penting. Namun, tidak ada yang menyentuh akar persoalannya.

Situasi yang gamang ini dikhawatirkan mempersulit posisi institusi dan industri yang sedang mempertimbangkan untuk menggunakan layanan cloud dari perusahaan seperti Google, Amazon, Microsoft, Oracle dan lain-lain.

Pertimbangan kepatuhan terhadap hukum dan regulasi biasanya menduduki tempat pertama dalam pemilihan layanan.

Kegamangan terhadap kepatuhan karena ART dengan paradigma ini dikhawatirkan berpotensi memunculkan keraguan untuk mengadopsi layanan cloud perusahaan-perusahaan tersebut.

Dari sisi kematangan layanan maupun kualitas layanan serta harga layanan, alternatif layanan dari penggunaan Data Center on premise, Virtual Private Cloud yang dibangun sendiri oleh institusi sudah sangat memungkinkan dan banyak digunakan.

Juga layanan cloud dari perusahaan lain seperti Alibaba, Telkomsigma, Lintasarta, Biznet Gio Cloud, Datacomm (DCloud), CBN Cloud, Eranyacloud, Cloudmatika, CloudKilat, dan IDCloudHost, Tencent Cloud, dan Huawei Cloud.

Sebelum ART, layanan cloud Google, Amazon, Microsoft , Oracle dan lain-lain menjadi salah satu pilihan untuk implementasi strategi Multi Data Center dalam rangka meningkatkan resiliensi. Kegamangan dalam kepatuhan pasca-ART memunculkan ketidakpastian ke depan.

Pertama, bagi yang sedang mempertimbangkan menggunakan layanan. Kedua, bagi yang sudah menggunakan layanan, dan di sisi lain mereka mengemban kewajiban kepatuhan terhadap hukum dan regulasi lokal.

Hal ini juga perlu dipertimbangkan dampaknya, baik jangka pendek maupun jangka panjang oleh semua pihak yang terkait.

Solusi Struktural: Kembali ke Meja Negosiasi

Akar persoalannya ada di dalam perjanjian itu sendiri. Solusi yang benar-benar struktural hanya bisa datang dari dua arah.

Pertama, renegosiasi dengan carve-out yang eksplisit, sebagaimana dicontohkan CPTPP, yang secara tegas memuat pengecualian untuk mekanisme adequacy assessment dan kewajiban lokalisasi data prudensial di sektor keuangan.

Carve-out serupa bukan preseden baru; ia adalah standar yang digunakan negara-negara dengan posisi tawar lebih kuat dari Indonesia.

Kedua, Mutual Recognition Arrangement (MRA) di bidang perlindungan data, di mana kedua negara mengakui sistem perlindungan masing-masing secara setara, disertai komitmen AS untuk tidak menggunakan CLOUD Act secara sepihak terhadap data warga Indonesia.

Mekanisme Binding Corporate Rules (BCR) perlu diintegrasikan sebagai bagian dari MRA ini—memastikan perusahaan-perusahaan AS yang mengolah data Indonesia terikat pada standar perlindungan yang mengikat dan dapat diaudit.

Kedua jalur ini membutuhkan keberanian untuk kembali ke meja negosiasi dengan agenda yang spesifik—bukan untuk membatalkan perjanjian, melainkan karena membiarkan klausul-klausul data ini tanpa koreksi akan meninggalkan preseden yang jauh lebih mahal dari seluruh nilai investasi yang dijanjikannya.

Di dalam perjanjian dagang, sewajarnya membahas tarif dan angka. Namun, ketika perjanjian itu mulai mengatur di mana data rekam medis, data keuangan, dan data komunikasi pribadi disimpan—dan hukum negara mana yang berlaku ketika terjadi pelanggaran—ini bukan lagi sekadar urusan para negosiator di ruang tertutup. Ini adalah percakapan 280 juta orang yang berhak ikut di dalamnya!

Ini juga adalah kepentingan para pengemban amanat privasi data, data sensitif dan data rahasia, yaitu institusi yang mengelola data-data ini di bawah payung hukum dan regulasi NKRI selama ini.

Pada era revolusi digital, hukum tidak lagi hanya menjadi alat rekayasa sosial. Hukum harus mampu menjadi benteng terakhir kedaulatan data nasional.

Semakin lama percakapan tentang hal ini tertunda, semakin kecil ruang yang tersisa untuk mengubah arahnya.

Tag:  #nasib #data #juta #warga #indonesia #ujung #perjanjian #dagang