Pada 19 Februari 2026, Indonesia dan Amerika Serikat menandatangani perjanjian dagang bertajuk “Agreement on Reciprocal Trade” (ART). Di balik perdebatan seputar tarif dan angka investasi, tersimpan klausul-klausul digital yang berpotensi memiliki dampak jangka panjang signifikan terhadap nasib data pribadi 280 juta warga Indonesia dan fondasi regulasi digital yang telah dibangun.
Implikasi Klausul Data ART
Perjanjian ART memuat dua klausul krusial yang bersinggungan langsung dengan kedaulatan data. Pertama, Indonesia dilarang mewajibkan perusahaan-perusahaan AS menyimpan atau memproses data di wilayahnya sendiri. Kedua, Indonesia diwajibkan mengakui bahwa Amerika Serikat memiliki tingkat perlindungan data yang memadai menurut hukum Indonesia, secara efektif mempredeterminasi hasil mekanisme penilaian kelayakan yang diamanatkan UU Perlindungan Data Pribadi (UU PDP) 2022.
Klausul-klausul ini bukan sekadar tentang tarif, melainkan menyentuh isu kedaulatan digital. Meskipun perjanjian ini membawa manfaat nyata seperti penurunan tarif ekspor dari 32 persen menjadi 19 persen bagi sektor manufaktur Indonesia, realitasnya adalah AS menggunakan tekanan tarif sebagai pengungkit untuk memasukkan klausul digital yang menguntungkan Big Tech-nya. Ini adalah trade-off yang memerlukan perhitungan biaya jangka panjang secara jernih.
Risiko Berlapis bagi Data Warga
Selama ini, regulasi Indonesia mewajibkan perusahaan digital menyimpan data di dalam negeri untuk kategori tertentu. PP PSTE No. 71/2019 Pasal 20 ayat (2) mewajibkan pengelolaan, pemrosesan, dan penyimpanan sistem elektronik publik di wilayah Indonesia. Bank Indonesia (PBI No. 23/6/PBI/2021 Pasal 48 ayat (4)) dan OJK (POJK 11/2022 Pasal 35 ayat (1)) juga mengatur hal serupa untuk sektor keuangan.
Klausul ART membalikkan logika ini. Platform AS seperti Google dan Meta tidak lagi perlu memiliki server di Indonesia, memungkinkan data pengguna Indonesia disimpan di yurisdiksi AS seperti Virginia atau Oregon. Implikasinya, data nasabah bank, transaksi fintech, hingga rekam medis digital warga berpotensi tunduk pada hukum negara lain.
Yang paling mengkhawatirkan adalah berlakunya CLOUD Act (Clarifying Lawful Overseas Use of Data Act), yang memungkinkan pemerintah AS meminta akses ke data yang disimpan perusahaan-perusahaan AS di seluruh dunia, termasuk data warga Indonesia. Selain itu, data yang mengalir ke AS juga tunduk pada FISA Section 702, yang memungkinkan akses intelijen AS terhadap data warga negara asing tanpa jaminan perlindungan setara.
Ambiguitas dalam Pasal 3.2 ART yang mengatur “transfer data across trusted borders with appropriate protection” justru menjadi argumen tambahan perlunya renegosiasi untuk kepastian teks yang lebih protektif. Tiga risiko berlapis segera teridentifikasi:
- Risiko pengawasan prudensial: OJK dan BI tidak dapat mengaudit data nasabah di server luar negeri secara real-time.
- Risiko keamanan data: Yurisdiksi AS berlaku atas data warga Indonesia.
- Risiko kedaulatan yurisdiksi: Dalam sengketa hukum, hukum mana yang berlaku, UU PDP Indonesia atau hukum AS?
UU PDP Terancam Menjadi Formalitas Belaka
Pasal 56 UU PDP mengatur bahwa data pribadi warga Indonesia hanya bisa dikirim ke luar negeri apabila negara tujuan terbukti memberikan perlindungan setara atau lebih tinggi. Mekanisme ini dirancang mengikuti model GDPR Eropa dan merupakan capaian penting regulasi digital Indonesia. Namun, ART mewajibkan Indonesia mengakui AS sebagai negara dengan perlindungan yang memadai, padahal evaluasi independen belum pernah dijalankan.
Proses yang seharusnya menjadi alat pengawasan objektif berisiko berubah menjadi formalitas administratif yang hasilnya sudah dikunci sejak awal. AS memang tidak memiliki undang-undang perlindungan data federal yang komprehensif, melainkan perlindungan bersifat sektoral (HIPAA untuk kesehatan, Gramm-Leach-Bliley untuk keuangan, CCPA di California).
Meskipun EU-US Data Privacy Framework (DPF) yang baru telah disepakati sejak Juli 2023, menggantikan Privacy Shield yang dibatalkan pada 2020, apakah DPF ini memenuhi standar UU PDP Indonesia adalah pertanyaan yang harus dijawab melalui adequacy assessment yang sungguh-sungguh independen, bukan dikunci sebelum dimulai. Ironisnya, Lembaga Pengawas Perlindungan Data Pribadi (LPPDP) yang seharusnya menjadi otoritas penentu adequacy assessment di Indonesia hingga kini belum terbentuk, membuat klausul perjanjian yang mengunci hasil tersebut berjalan tanpa pengawas yang sah.
Tren Global vs. Posisi Indonesia
Selama satu dekade terakhir, hampir semua yurisdiksi besar bergerak ke arah penguatan kedaulatan data, pengetatan kontrol atas aliran data lintas batas, dan memastikan platform digital global beroperasi dalam kerangka hukum yang melindungi kepentingan nasional. Uni Eropa tidak pernah mengorbankan mekanisme adequacy assessment-nya dalam perjanjian dagang, bahkan setelah dua kali kekalahan di pengadilan tertinggi dalam kasus Schrems. Eropa justru memperluas kontrolnya melalui Digital Markets Act dan Digital Services Act.
China membangun kedaulatan data lewat tiga undang-undang berturutan (2017–2021) dan secara konsisten mengandalkan pengecualian keamanan nasional. Australia dan Kanada, dua sekutu ideologis terdekat AS, tetap mempertahankan ruang kebijakan digitalnya. Ketika Australia mewajibkan platform digital membayar penerbit berita lokal melalui News Bargaining Code (2021), AS tidak menggunakan mekanisme perjanjian dagang untuk mencegah kebijakan itu. Di kawasan ASEAN, Vietnam, Thailand, dan Singapura tetap mempertahankan mekanisme adequacy yang dinilai secara independen oleh otoritas domestik masing-masing, tanpa memberikan pengakuan kecukupan otomatis kepada AS melalui perjanjian bilateral.
Pertanyaan yang wajar muncul: mengapa instrumen yang sama digunakan dalam perjanjian dengan Indonesia?
Jalur Jangka Pendek dan Batasannya
Ada tiga jalur jangka pendek yang tersedia untuk Indonesia. Pertama, ratifikasi parlemen. DPR memiliki kewenangan konstitusional untuk memastikan ART diratifikasi melalui undang-undang, bukan sekadar Peraturan Presiden, yang membuka ruang undang-undang implementasi yang lebih protektif. Kedua, public policy exception. Hampir semua perjanjian dagang modern mengakui hak negara melindungi keamanan nasional atau infrastruktur kritis, di mana data perbankan dan kesehatan dapat diargumentasikan sebagai kepentingan strategis yang sah. Ketiga, pembentukan LPPDP yang selama ini tertunda.
Namun, ketiga jalur ini memiliki batas. Ratifikasi menghadapi jebakan waktu; jika perjanjian berlaku sebelum DPR bertindak, kewajiban internasional sudah melekat. Public policy exception hanya bisa ditegakkan jika Indonesia siap bersengketa internasional dengan AS, posisi yang tidak mudah. Dan LPPDP, sekuat apapun kelak dibentuk, tidak bisa mengubah hasil adequacy assessment yang klausulnya sudah mengunci sejak awal. Ketiganya hanya memperlambat dampak, bukan menyentuh akar persoalan.
Situasi ini dikhawatirkan mempersulit posisi institusi dan industri yang mempertimbangkan layanan cloud dari perusahaan seperti Google, Amazon, Microsoft, dan Oracle. Kegamangan terhadap kepatuhan karena ART berpotensi memunculkan keraguan untuk mengadopsi layanan tersebut, meskipun alternatif layanan cloud lokal (Alibaba, Telkomsigma, Lintasarta, Biznet Gio Cloud, Datacomm, CBN Cloud, Eranyacloud, Cloudmatika, CloudKilat, IDCloudHost) atau dari penyedia lain (Tencent Cloud, Huawei Cloud) sudah sangat memungkinkan.
Solusi Struktural: Kembali ke Meja Negosiasi
Akar persoalan ada di dalam perjanjian itu sendiri. Solusi struktural hanya bisa datang dari dua arah. Pertama, renegosiasi dengan carve-out yang eksplisit, sebagaimana dicontohkan CPTPP, yang secara tegas memuat pengecualian untuk mekanisme adequacy assessment dan kewajiban lokalisasi data prudensial di sektor keuangan. Carve-out serupa bukan preseden baru; ia adalah standar yang digunakan negara-negara dengan posisi tawar lebih kuat.
Kedua, Mutual Recognition Arrangement (MRA) di bidang perlindungan data, di mana kedua negara mengakui sistem perlindungan masing-masing secara setara, disertai komitmen AS untuk tidak menggunakan CLOUD Act secara sepihak terhadap data warga Indonesia. Mekanisme Binding Corporate Rules (BCR) perlu diintegrasikan sebagai bagian dari MRA ini, memastikan perusahaan AS yang mengolah data Indonesia terikat pada standar perlindungan yang mengikat dan dapat diaudit.
Kedua jalur ini membutuhkan keberanian untuk kembali ke meja negosiasi dengan agenda spesifik, bukan untuk membatalkan perjanjian, melainkan karena membiarkan klausul data ini tanpa koreksi akan meninggalkan preseden yang jauh lebih mahal dari seluruh nilai investasi yang dijanjikannya. Ini bukan lagi sekadar urusan negosiator di ruang tertutup, melainkan percakapan 280 juta orang yang berhak ikut di dalamnya, serta kepentingan institusi pengemban amanat privasi data, data sensitif, dan data rahasia di bawah payung hukum NKRI. Hukum harus mampu menjadi benteng terakhir kedaulatan data nasional.