Ketika dunia digital semakin tak kenal batas, data pribadi menjadi komoditas sekaligus titik rawan yang menentukan relasi antarnegara. Salah satu UU yang memicu kekhawatiran luas terkait pengawasan lintas negara adalah Foreign Intelligence Surveillance Act (FISA) milik Amerika Serikat.

FISA, khususnya Pasal 702, telah memicu banyak kontroversi. Tidak hanya di dalam negeri mereka, juga dalam hubungan antar-negara. Di balik nama hukum yang teknokratis itu, tersembunyi potensi pelanggaran privasi global, termasuk bagi warga Indonesia.

Kok bisa sampai Indonesia? Ini terkait kesepakatan yang baru saja diumumkan, meski belum benar-benar resmi berlaku. Gedung Putih dengan gagah berani mengumumkan: Indonesia akan “memberikan kepastian” dalam hal transfer data pribadi ke AS.

Jelas sekali disebutkan, itu adalah transfer data pribadi. Data pribadi yang ada di mana? Tentu bukan sembarang data, karena data strategis wajib hukumnya ada di server lokal, atau di dalam negeri; misalnya data penduduk, keuangan negara, atau pertahanan.

Pengusaha AS sudah lama mengeluhkan peraturan di Indonesia yang mengharuskan data disimpan di dalam negeri. Misalnya dari kalangan institusi keuangan. Kalaupun mau pakai public cloud, implementasi regulasi OJK dinilai ribet, panjang, dan lama.

PSE lain seperti Google, Meta, TikTok, AWS tetap bisa menyimpan data di luar Indonesia, asal mengikuti prinsip akuntabilitas, transparansi, dan persetujuan. Sejauh ini, belum terlihat daftar resmi negara yang dianggap setara, jadi mengandalkan persetujuan eksplisit pemilik data pribadi.

Setiap informasi yang dapat mengidentifikasi Anda atau berkaitan dengan kehidupan pribadi Anda, yang ditemukan dalam email atau percakapan, adalah data pribadi yang harus dilindungi. Bayangkan bila itu semua bisa diakses pihak lain, tanpa izin pengadilan.

Apa Itu FISA Section 702?

FISA awalnya disahkan pada 1978 sebagai upaya mengontrol kegiatan pengintaian oleh badan intelijen AS. Namun, setelah tragedi 11 September 2001, muncul berbagai amandemen yang memperluas kewenangan, salah satunya Section 702 dalam FISA Amendments Act 2008.

Bagian ini memungkinkan badan intelijen AS—terutama NSA—mengakses komunikasi elektronik milik orang asing di luar negeri tanpa surat perintah pengadilan. Meski secara teknis ditujukan untuk target asing, data warga negara AS bisa ikut terekam.

Ini dikenal sebagai “incidental collection“—dan parahnya, data tersebut tetap bisa digunakan oleh lembaga seperti FBI tanpa prosedur hukum ketat, seperti surat perintah pengadilan. Praktik ini menimbulkan kekhawatiran serius akan penyalahgunaan kekuasaan.

Nasib UU ini memang bisa berakhir pada 2026, tapi di bawah Presiden Donald Trump, ada indikasi penguatan dukungan terhadap pengawasan berbasis FISA, seiring dengan prioritas keamanan nasional yang semakin keras terhadap isu Tiongkok, siber, dan intelijen asing.

Kontroversi Global: Dari Snowden hingga Uni Eropa

Pada 2013, Edward Snowden membocorkan dokumen rahasia yang memperlihatkan betapa luas dan dalamnya pengawasan yang dilakukan AS melalui program seperti PRISM dan XKeyscore—semuanya berbasis FISA Section 702.

Perusahaan teknologi besar seperti Google, Facebook, dan Microsoft ternyata berperan sebagai mitra penyedia akses data. Reaksi internasional pun keras. Uni Eropa, misalnya, pada 2020 melalui putusan Pengadilan Eropa (Schrems II) membatalkan perjanjian “Privacy Shield” antara AS dan UE.

Mereka menilai AS tidak memberikan perlindungan yang memadai terhadap data warga Eropa dari pengawasan intelijen AS. Kritik utamanya? Tidak adanya hak hukum atau mekanisme banding bagi warga asing yang datanya diambil di bawah FISA Section 702.

Mahkamah Eropa (Court) dalam kasus Schrems II itu menegaskan, hukum domestik AS terkait akses dan penggunaan data pribadi oleh otoritas publik AS (terutama untuk pengawasan) tidak memberikan perlindungan yang setara dengan yang diwajibkan oleh hukum Uni Eropa (EU).

Menjaga Kedaulatan Data Indonesia

Indonesia kini berada di persimpangan penting dalam tata kelola data pribadi. Dengan diberlakukannya UU Perlindungan Data Pribadi (UU PDP No. 27/2022), Indonesia mengakui pentingnya melindungi hak digital warga, termasuk data pribadi.

Namun, tantangan muncul ketika data warga Indonesia diproses oleh perusahaan yang berkantor pusat di AS atau menggunakan infrastruktur cloud milik entitas AS. Dalam kerja sama siber, keamanan, atau layanan teknologi dengan AS, hal ini menjadi titik rawan.

FISA Section 702 bersifat ekstrateritorial dan tidak membedakan data berdasarkan kewarganegaraan. Komunikasi digital warga Indonesia yang melewati server milik perusahaan teknologi AS dapat diakses oleh NSA—tanpa pemberitahuan, apalagi persetujuan.

Mewaspadai celah kebijakan Pemerintah AS

Amerika Serikat ini tidak memiliki UU di tingkat federal yang efektif dalam melindungi data pribadi. Tidak seperti UU PDP milik kita—dan GDPR yang jadi rujukan—perlindungan data pribadi di AS sering dianggap kurang memadai karena beberapa alasan.

Fragmentasi: Ketiadaan satu UU federal yang komprehensif menyebabkan fragmentasi dan ketidakjelasan. Perusahaan yang beroperasi di seluruh AS harus mematuhi berbagai undang-undang negara bagian yang berbeda, yang bisa menjadi rumit.

Perlindungan yang Berbeda: Tingkat perlindungan dapat sangat bervariasi antara satu sektor atau negara bagian dengan yang lain. Hal ini menciptakan celah dan ketidaksetaraan dalam perlindungan data bagi individu.

Kekuatan Pengawasan Pemerintah: Kekhawatiran juga muncul mengenai akses luas yang dapat dimiliki oleh lembaga intelijen AS terhadap data digital, seperti yang disorot dalam kasus “Schrems II” di Uni Eropa terkait program PRISM NSA. Tanpa perlindungan legal yang setara, data warga non-AS rentan disedot dan disalahgunakan.

Kurangnya Otoritas Independen Terpusat: Tidak ada satu badan pengawas data pribadi independen di tingkat federal yang memiliki kewenangan luas seperti Komisi Perlindungan Data di negara-negara yang menerapkan GDPR atau rencana Badan Perlindungan Data Pribadi (BPDP) di Indonesia.

Mengawal kedaulatan data pribadi warga

Sebagai bentuk perlindungan hak digital dan kedaulatan data nasional, pemerintah Indonesia perlu berpikir ulang untuk berbagi pengelolaan data pribadi warga dengan pihak asing, terutama dengan negara-negara dengan hukum pengawasan data yang agresif seperti Amerika Serikat.

Dengan berlakunya FISA Pasal 702 di AS, bikin celah “keamanan” bagi kita. Karena data tetap ada “di tangan” mereka, perusahaan asal AS harus tunduk pada regulasi negara asal; salah satunya terkait wewenang intelijen yang diatur dalam FISA Pasal 702.

Mengingat situasi yang “mengkhawatirkan”, perlu menegaskan komitmen perlindungan data, setara perlindungan dalam negeri. Di dalam negeri perlu ada pedoman teknis dan legal yang jelas bagi instansi pemerintah dan swasta, sebelum menggunakan layanan teknologi cloud asing.

Indonesia juga perlu lebih aktif dalam forum regional dan global seperti ASEAN Digital Data Governance Framework dan Global Partnership on AI, untuk turut serta dalam pembentukan standar internasional terkait perlindungan data di era AI yang penguasaannya masih timpang.

FISA Section 702 bukan hanya soal hukum AS, tapi juga menyangkut hak warga negara lain yang tak pernah memilih tunduk pada hukum itu. Bagi Indonesia, inilah waktunya menyadari bahwa perlindungan data bukan sekadar isu teknis, melainkan bagian dari kedaulatan nasional.

Dalam dunia yang saling terhubung, keamanan digital harus dibangun dengan prinsip keadilan dan penghormatan pada hak asasi manusia, meski dalam konteks perlindungan lintas batas.

^{*Photo by Bharat Patil via Unsplash}