TEMPO.CO, Jakarta - Pakar keamanan siber sekaligus Ketua Indonesia Cyber Security Forum (ICSF), Ardi Sutedja, mengingatkan transfer data pribadi lintas negara berpotensi menimbulkan risiko keamanan nasional hingga mengancam integritas demokrasi.
Baca berita dengan sedikit iklan, klik di sini
Ardi mengatakan perkembangan pesat globalisasi digital dalam dua dekade terakhir membuat transfer data lintas negara menjadi praktik lazim, terutama dalam ekonomi digital. Perusahaan besar media sosial seperti Facebook dan Twitter, penyedia layanan cloud seperti Amazon Web Services dan Google Cloud, hingga platform e-commerce seperti Amazon dan Alibaba, rutin memindahkan data pengguna ke berbagai negara.
Tujuannya, kata dia, untuk mendukung efisiensi operasional, pengelolaan infrastruktur teknologi, analisis pasar global, optimalisasi layanan, atau bahkan pengembangan produk berbasis kecerdasan buatan.
“Dahulu praktik ini dipandang sebagai bagian yang tidak terpisahkan dari kemajuan dunia digital yang menghubungkan masyarakat global tanpa batasan geografis,” kata Ardi dalam keterangan tertulisnya, Ahad, 27 Juli 2025.
Bahkan, kata Ardi, para pemangku kepentingan mulai dari regulator hingga konsumen melihat arus data bebas sebagai katalis pertumbuhan ekonomi digital dan kemajuan teknologi yang menguntungkan semua pihak.
Namun, semuanya berubah setelah berbagai insiden besar yang menggemparkan dunia seperti skandal Cambridge Analytica, gugatan hukum bersejarah oleh aktivis privasi Max Schrems, serta berbagai kasus kebocoran data berskala global yang terus berulang.
Berbagai insiden ini membuat dunia mulai menyadari bahwa arus data lintas negara tidak hanya membawa manfaat ekonomi dan teknologi, tetapi juga menimbulkan risiko yang sangat besar dan kompleks terhadap kedaulatan negara, keamanan nasional, stabilitas politik, dan bahkan integritas demokrasi.
“Perubahan paradigma ini menandai era baru dalam tata kelola digital global, di mana data tidak lagi dipandang semata sebagai komoditas komersial, tetapi sebagai aset strategis yang memiliki implikasi geopolitik mendalam,” katanya.
Skandal Cambridge Analytica, yang terbongkar pada tahun 2018, menjadi salah satu contoh paling mencolok atas bahaya nyata transfer data lintas negara. Data pribadi sekitar 87 juta pengguna Facebook dikumpulkan tanpa izin yang jelas melalui aplikasi pihak ketiga bernama "This Is Your Digital Life" yang tampak tidak berbahaya dan hanya berupa kuis kepribadian sederhana.
Data tersebut kemudian digunakan oleh Cambridge Analytica, sebuah perusahaan konsultan politik yang berbasis di Inggris, untuk membangun profil psikografis yang sangat terperinci dan canggih.
Ardi menuturkan, tindakan Cambridge Analytica memungkinkan manipulasi opini publik secara masif dan terstruktur dalam berbagai pemilu dan referendum penting di seluruh dunia, termasuk pemilihan presiden Amerika Serikat tahun 2016 dan referendum Brexit di Inggris.
Dengan menggunakan teknik micro-targeting yang sangat canggih dan algoritma pembelajaran mesin, ucap Ardi, Cambridge Analytica mampu menyebarkan pesan-pesan politik yang disesuaikan dengan karakteristik
psikologis individu, memengaruhi keputusan mereka secara diam-diam, dan sistematis tanpa disadari oleh target sasaran.
“Data yang berpindah lintas yurisdiksi dalam kasus ini menjadi alat manipulasi poltik yang tidak hanya mengancam privasi individu dan hak-hak digital fundamental, tetapi juga stabilitas demokrasi, integritas proses pemilu, dan kedaulatan politik di negara-negara yang terkena dampaknya,” kata dia.
Ardi mengatakan, kasus ini menunjukkan dengan jelas bagaimana data, yang seharusnya menjadi aset pribadi yang dilindungi, dapat digunakan sebagai senjata informasi untuk tujuan politik dan geopolitik, bahkan tanpa sepengetahuan atau persetujuan pemiliknya.
“Lebih mengkhawatirkan lagi, skandal ini mengungkap betapa mudahnya data personal dapat diakses, dimanipulasi, dan digunakan untuk tujuan yang bertentangan dengan kepentingan pemilik data dan negara tempat mereka berdomisili,” ucapnya.
Gugatan hukum yang diajukan oleh Max Schrems, seorang aktivis privasi dan mahasiswa hukum asal Austria yang kemudian menjadi tokoh penting dalam gerakan perlindungan data global, terhadap Facebook di Uni Eropa semakin mempertegas masalah ini.
Schrems mempersoalkan transfer data pengguna Eropa ke Amerika Serikat, di mana perlindungan privasi dan regulasi keamanan data dianggap lebih lemah dan tidak memadai dibandingkan regulasi ketat Uni Eropa seper GDPR (General Data Protection Regulation).
Gugatan yang dikenal sebagai "Schrems II" ini berujung pada pembatalan Privacy Shield Agreement, sebuah mekanisme hukum yang sebelumnya memungkinkan transfer data antara Uni Eropa dan Amerika Serikat dengan dalih perlindungan yang memadai.
Ardi mengatakan Keputusan Mahkamah Agung Uni Eropa tersebut menunjukkan bahwa transfer data lintas negara tidak bisa lagi dianggap sebagai praktik biasa tanpa pengawasan ketat, evaluasi mendalam, dan jaminan perlindungan yang setara.
Menurut Ardi, regulasi seperti GDPR yang mulai berlaku pada tahun 2018, menegaskan dengan tegas bahwa data pribadi adalah hak fundamental yang harus dilindungi dengan standar tertinggi. Selain itu, GDPR menekankan transfer data ke negara lain hanya boleh dilakukan jika negara tersebut memiliki standar perlindungan yang setara atau "adequacy decision" dari Komisi Eropa.
“Tidak hanya itu, serangkaian insiden peretasan dan kebocoran data berskala global yang terjadi secara berulang semakin memperkuat argumen bahwa arus data lintas negara adalah ancaman nyata dan berkelanjutan terhadap keamanan nasional,” ucapnya.
Ia memberi contoh serangan siber terhadap perusahaan-perusahaan besar seperti Equifax, yang mengakibatkan kebocoran data 147 juta orang. Kemudian ada juga kasus Yahoo, yang mengalami kebocoran data 3 miliar akun.
Menurut Ardi, kebocoran data dalam skala masif ini tidak hanya berdampak pada kerugian ekonomi langsung dan kerusakan reputasi perusahaan yang terkena dampak, tetapi juga dapat digunakan untuk berbagai tujuan jahat seperti spionase industri dan pemerintah, sabotase infrastruktur kritis, manipulasi pasar finansial, atau bahkan manipulasi sosial dan politik dalam skala yang sangat luas.
“Dalam konteks Indonesia, ancaman ini menjadi semakin relevan dan mendesak untuk ditangani secara serius,” katanya.
“Sebagai negara dengan populasi digital yang sangat besar (lebih dari 200 juta pengguna internet) dan pertumbuhan ekonomi berbasis teknologi yang sangat pesat, Indonesia menjadi target potensial yang menarik bagi eksploitasi data lintas negara oleh berbagai pihak yang memiliki kepentingan ekonomi, politik, atau strategis.”
Ardi menyebut banyak perusahaan teknologi asing besar yang beroperasi di Indonesia, seperti Google, Facebook, Amazon, dan berbagai platform digital lainnya, mengelola data pengguna lokal melalui server dan infrastruktur yang berada di luar negeri, membuat data tersebut berada di luar jangkauan regulasi nasional dan pengawasan otoritas Indonesia.
“Kondisi ini menciptakan kerentanan yang signifikan, di mana data strategis warga negara Indonesia dapat diakses, dianalisis, dan bahkan dimanipulasi oleh pihak asing tanpa sepengetahuan atau kontrol pemerintah Indonesia,” ujarnya.
Ardi menyebut Undang-Undang Perlindungan Data Pribadi No. 27 Tahun 2022 (UU PDP) yang baru disahkan pada tahun 2022 menjadi langkah penting untuk memastikan bahwa data warga negara tidak mudah berpindah ke yurisdiksi asing. Sehingga berpotensi disalahgunalan untuk tujuan yang merugikan kepentingan nasional Indonesia.
UU PDP mendorong implementasi prinsip data localization, yaitu kewajiban menyimpan data strategis dan data pribadi warga negara di dalam negeri, untuk melindungi privasi pengguna sekaligus menjaga kedaulatan data nasional.
“Namun, tantangan implementasi tetap sangat besar dan kompleks, terutama dalam memastikan bahwa data strategis—termasuk data pemerintah, militer, infrastruktur kritis, sistem finansial, dan informasi ekonomi strategis-tetap berada di bawah kendali nasional dan tidak menjadi alat eksploitasi atau leverage oleh pihak asing,” kata Ardi.
Selain aspek regulasi, kata Ardi, Indonesia juga menghadapi tantangan teknis dan ekonomis yang tidak kalah besar. Pembangunan infrastruktur data center lokal yang memadai, pengembangan kapabilitas keamanan siber nasional, pelatihan sumber daya manusia yang kompeten di bidang keamanan data, dan penciptaan ekosistem teknologi lokal yang mampu bersaing dengan pemain global memerlukan investasi yang sangat besar dan komitmen jangka panjang dari pemerintah dan sektor swasta.
Belakangan, isu transfer data pribadi WNI ramai diperbincangkan setelah Gedung Putih merilis pernyataan bersama kesepakatan tarif impor antara Amerika Serikat dan Indonesia. Pernyataan yang dirilis situs resmi White House 22 Juli lalu berisi poin-poin kesepakatan penurunan tarif impor Donald Trump untuk Indonesia. Salah satu poinnya adalah kesediaan Indonesia mentransfer data pribadi warganya ke Amerika Serikat.
Klausul itu memicu kekhawatiran publik soal keamanan data mereka apabila dikirim ke luar negeri.
Merespons kekhawatiran tersebut, Menteri Komunikasi dan Digital ...