Kominfo menyoroti isu perlindungan data sebagai dasar revisi PP PSTE atau PP No 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Isu ini diterjemahkan ke dalam penempatan data center (DC) dan data recovery center (DRC) harus ada di Indonesia.
Aturan lama lebih mementingkan bukti fisiknya harus di Indonesia, padahal sebenarnya yang dinilai lebih penting adalah data-datanya.
“Dalam aturan yang lama itu mengatur fisiknya, padahal yang penting itu datanya. Saat ini kami mensyaratkan datanya bukan hanya fisiknya,” Dirjen Aptika Kemkominfo, Semuel A Pangerapan, seperti dikutip dari Antara.
Kominfo merumuskan kembali aturan tersebut dalam revisi, dengan membuat Klasifikasi Data Elektronik (KDE). Pengaturan dibutuhkan untuk perjelas subjek hukum tata kelola elektronik, meliputi pemilik, pengendali, dan pemroses data elektronik.
KDE ini akan mengatur lokalisasi data berdasarkan pendekatan klasifikasi data. Klasifikasi tersebut dibagi jadi tiga jenis, yakni seperti data strategis, data tinggi, dan rendah.
Data strategis ini wajib di dalam wilayah Indonesia, menggunakan jaringan sistem elektronik Indonesia, dan membuat rekam cadang elektronik dan terhubung ke pusat data tersebut. Ketentuan teknis lebih lanjut akan ditetapkan oleh presiden dan diatur secara terpisah melalui Peraturan Presiden (Perpres).
Data strategis tidak boleh dipertukarkan keluar negeri. Sebab data yang tergolong dalam klasifikasi ini antara lain data mengenai penyelenggaraan negara, keamanan, dan pertahanan.
Data tinggi dan data rendah dalam kondisi tertentu dapat berada di luar Indonesia dengan catatan jika memenuhi persyaratan dari kajian industri. Yang menentukan ini adalah Instansi Pengawas dan Pengatur Sektor (IIPS) yang bertanggung jawab terhadap sektor tertentu. Misalnya BI dan OJK untuk sektor keuangan.
Revisi PP ini juga akan memuat bahwa data harus terenkripsi, sehingga data tetap aman dari serangan siber.
Tegaskan sanksi
Klasifikasi data ini, sebelumnya tidak hadir dalam aturan lama. Yang mana, menurut Semmy (panggilan Semuel), rentan dengan tindakan tidak patuh oleh para Penyelenggara Sistem Elektronik (PSE).
“Tidak ada klasifikasi data apa saja yang wajib ditempatkan, sehingga tidak ada parameter bagi PSE selaku pelaku usaha. Dengan tidak adanya klasifikasi tersebut, kemungkinan banyak PSE yang akan ditutup atau diblok karena pelanggaran atas kewajiban tersebut.”
Untuk itu, dalam revisi juga diperjelas soal pelanggaran dari sanksi administrasi, denda, sampai pemblokiran kepada PSE sesuai dengan UU ITE pasal 40.
Saat ini revisi PP PSTE disebutkan sudah masuk di Sekretariat Negara untuk proses pengecekan ulang sebelum ditandatangani presiden. Draf sudah dikirimkan sejak 26 Oktober 2018, setelah selesai proses harmonisasi sejak 22 Oktober 2018.
Indonesia Data Center Provider Organizaton (IDPRO) kembali menyampaikan keberatannya terkait dengan rencana revisi Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Kali ini protes yang dilayangkan dengan dalih pemerintah mendapatkan tekanan dari pihak luar, dalam hal ini Amerika Serikat.
Pernyataan IDPRO tersebut didasarkan pada kalimat yang disampaikan Menteri Perdagangan, Enggartiasto Lukita, bahwa revisi PP 82/2012 salah satunya dikarenakan adanya hasil evaluasi AS mengenai kelayakan Indonesia sebagai penerima Generalized System of Preference (GSP). GSP sendiri adalah kebijakan unilateral AS untuk membantu perekonomian dalam wujud pemotongan bea impor.
Menurut ketua umum IDPRO, Kalamullah Ramli seperti dikutip dalam Indotelko, hal tersebut harusnya menggugah rasa kebangsaan. Cara pemerintah tidak menginspirasi dan tidak menampakkan kepercayaan diri. Data adalah komoditas penting yang harus dilindungi dengan kebijakan. Ramli juga menyinggung harusnya regulasi di Indonesia dapat berdiri tegak layaknya berbagai aturan yang ada di negara lain, seperti di India misalnya.
Mengenai hal ini, kami mencoba meminta konfirmasi humas Kemenkominfo, mereka mengungkapkan bahwa revisi PP 82/2018 tidak ada hubungannya dengan GSP. Pasalnya rencana revisi ini sudah diinisiasi sejak tahun 2016 lalu. Dalam kesempatan lain Menkominfo Rudiantara juga sudah menegaskan, bahwa revisi tersebut murni dilakukan untuk membantu bisnis digital berkembang, tidak ada urusannya dengan negosiasi pihak luar — misalnya rencana AWS ke Indonesia dengan investasi besar.
Sebelumnya kami juga telah meninjau terkait revisi PP 82/2012 ini. Dalam tinjauan tersebut, kami juga menganalisis penggunaan sistem server startup ternama di Indonesia. Sebagian besar memang memanfaatkan layanan dari penyedia asing. Kendati juga ada yang menggunakan layanan lokal.
“Kita kan lagi gencar untuk mendorong ekonomi digital melalui startup. Banyak startup juga sedang jalan, sedangkan ada kebijakan yang ada di PP Nomor 82 Tahun 2012 (PP 82/2012) bahwa data center harus di Indonesia. Kalau data center untuk startup semuanya ada di Indonesia juga tidak bisa optimal prosesnya nanti,” ujar Rudiantara usai Rapat Koordinasi Revisi PP Nomor 82 Tahun 2018 di Kantor Kementerian Koordinator Bidang Perekonomian, di Jakarta, Kamis (27/9) sore.
Menkominfo menganggap ada kebutuhan menggunakan platform cloud asing yang tidak memiliki pusat data di Indonesia. Belum lagi rencana para pemain besar untuk menancapkan kukunya di Indonesia.
Setelah Alibaba Cloud menyasar pasar Indonesia, Google memastikan akan berinvestasi dalam bentuk cloud region. Sementara Amazon Web Services, yang menjanjikan dana masuk sebesar $1 miliar dalam 10 tahun ke depan, tetapi tidak ada rencana membangun pusat data di Indonesia.
Menggunakan tools yang disediakan Bulitwith.com, terlihat ada kecenderungan sejumlah layanan digital di Indonesia lebih memilih layanan pusat data yang disediakan layanan asing.
Keterangan dedicated serverbiasanya merujuk kepada pusat data yang dibangun perusahaan secara mandiri atau dari penyedia layanan lokal. Dari gambar di atas, IDN Times dan Traveloka memanfaatkan Cloudflare Hosting, ini merupakan mekanisme proxy untuk menyembunyikan peletakan cloud server mereka dan umumnya digunakan karena perusahaan menggunakan lebih dari satu cloud server. Namun semua mitra integrasi Cloudflare yang ada saat ini rata-rata layanan asing seperti IBM Cloud, AWS, Azure dll.
Kondisi “ideal” berdasarkan PP 82/2012
Beleid yang terdiri dari 90 pasal tersebut secara umum mengatur tentang banyak hal, mengatur ketentuan penyelenggara transaksi elektronik, mekanisme perangkat lunak, perangkat keras, hingga sanksi administratif atas pelanggaran yang terjadi. Dari poin-poin yang ada, pasal 17 ayat 2 memuat hal-hal yang menjadi acuan saat ini. Bunyinya adalah sebagai berikut:
“Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan, dan penegakan kedaulatan negara terhadap data warga negaranya.”
Di bagian penjelasannya disebutkan penyelenggara wajib memperoleh Sertifikasi Kelaikan Sistem Elektronik dari Menteri dan wajib terdaftar di Kemenkominfo. Pusat data (data center) didefinisikan sebagai suatu fasilitas yang digunakan untuk menempatkan sistem elektronik dan komponen terkait untuk keperluan penempatan, penyimpanan, dan pengolahan data.
Sementara pusat pemulihan bencana (disaster recovery center) didefinisikan sebagai fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting sistem elektronik yang terganggu atau rusak akibat bencana yang disebabkan oleh alam atau manusia.
Poin rancangan revisi
Dalam melakukan revisi, Kemenkominfo bersinergi dengan beberapa kementerian lain untuk harmonisasi regulasi. Harapannya aturan baru yang lahir nantinya dapat mengakomodasi dan merangkul kebutuhan sesuai dengan perkembangan yang ada. Dari draf yang pernah disampaikan, ada beberapa hal menarik, salah satunya dipaparkan dalam pasal 1 ayat 27. Pokok pembahasannya tentang klasifikasi data elektronik menjadi 3 bagian, yakni strategis, berisiko tinggi, dan berisiko rendah.
Menurut pemaparan Dirjen Ditjen Aplikasi Informatika Semuel Abrijani Pangerapan, penyimpanan data akan diatur berdasarkan klasifikasi tersebut. Masing-masing memiliki sub bagian dan penjelasan. Sebagai contoh data strategis, dibagi menjadi tingkat tinggi, menengah, dan rendah. Hanya data strategis tingkat tinggi yang pusat datanya wajib berada di Indonesia.
Di kesempatan yang sama, Samuel memberikan penjelasan tentang klasifikasi data. Data strategis adalah data sensitif yang disimpan dan dikelola pemerintah, contohnya data intelijen, data ketahanan pangan, dan lain-lain. Data strategis tingkat tinggi bahkan aksesnya tidak melalui internet, namun jalur intranet yang terbatas. Sementara data strategis tingkat menengah boleh tersambung internet dengan dalih perlu diketahui publik. Sementara yang rendah boleh diletakkan di mana saja demi keterbukaan informasi.
Data risiko tinggi didefinisikan sebagai data sensitif berkaitan dengan pengguna. Untuk peletakan pusat data tidak wajib di Indonesia, namun pemerintah harus mendapatkan jalur akses untuk keperluan tertentu. Kewajiban bagi penyedia hanya menambahkan poin akses (misalnya berbentuk Cloud Delivery Network) di Indonesia, sehingga tidak perlu meminta otorisasi pemerintahan negara lain untuk akses data.
Data berisiko rendah cenderung berisi data dengan tingkat sensitivitas rendah, sehingga dapat dikelola di mana saja secara lebih bebas.
Selain berkaitan dengan data, revisi juga mengatur beberapa hal lain. Dalam pasal 5 tentang penyelenggara sistem elektronik, revisi menegaskan bahwa setiap penyelenggara wajib melakukan pendaftaran. Ini dapat diinterpretasikan penyedia layanan pusat data wajib terdaftar atau memiliki badan usaha legal.
Tanggapan industri
Chairman Asosiasi Cloud dan Hosting Indonesia (ACHI) Rendy Maulana berpendapat, “Awalnya kami sempat nyaris sepakat dengan usulan tersebut dengan catatan pemerintah bisa mengklasifikasikan data. Namun setelah kami berdiskusi ulang dengan anggota asosiasi dan beberapa rekan penegak hukum, hal ini tidak baik jika kami setujui.”
Menurutnya, data adalah “tambang emas” di era digital seperti sekarang. Berbekal data, berbagai tindakan bisa dilakukan, bahkan di ranah penegakan hukum. Pengelolaan data yang kurang terkontrol dapat memberikan ancaman untuk kedaulatan, terutama ancaman dari luar.
“Misalnya data pembelanjaan, itu bisa dimanfaatkan orang lain. Sebagai contoh data yang diambil dari marketplace, berbekal data tersebut pemain asing bisa meniru produk UKM kita dan membuat produk mirip dan whitelabel, lalu menjual harga yang lebih murah. Bisa menghancurkan perkembangan UKM.”
“Data browsing kita (log/timestamp) pun juga bisa berpengaruh banyak jika polisi ingin menemukan siapa pelaku kejahatan cyber, atau terjadi kasus bunuh diri, atau pembunuhan atau pencurian. Di tingkat lanjut, log pengguna layanan seperti Google bisa merekam aktivitas sehari-hari.” terang Rendy.
Menurut pemaparan ACHI, pada intinya data adalah sesuatu yang sangat sensitif. Perlu ada pengelolaan yang sangat ketat. Kelonggaran regulasi berkaitan dengan data bisa dimanipulasi dan dimanfaatkan untuk sesuatu yang akan merugikan kita sendiri.
ACHI merupakan organisasi nirlaba yang memiliki visi mengembangkan industri cloud dan hosting di Indonesia. Anggota dari ACHI merupakan perusahaan pelaku industri cloud dan hosting di Indonesia, serta organisasi terkait partisipan industri. Beberapa anggotanya termasuk Qwords, Rumahweb, BiznetGio, CBNCloud, Jogjacamp, Infinys dan Masterweb.
Negara lain makin ketat meregulasi data
Pernyataan tidak setuju juga dilayangkan Indonesia Data Center Provider Organization (IDPRO). Dalam rilis resminya, IDPRO mewanti-wanti pemerintah agar kedaulatan data nasional dipegang penuh oleh otoritas setempat. Organisasi juga memberikan contoh studi kasus, bagaimana negara lain memberikan aturan ketat berkaitan dengan data.
“Di bulan September 2017, Facebook dikenakan Denda oleh Pemerintah Spanyol melalui AEPD (Agencia Espanola de Proteccion de Datos/Spanish Data Protection Agency) sebesar USD$1.44 juta atas pelanggaran memanfaatkan data informasi personal dari pengguna Facebook di Spanyol untuk keperluan advertising. AEPD mendapati Facebook mengumpulkan data detail tentang gender, agama, kegemaran individu, hingga data situs halaman yang di-browsing oleh jutaan pengguna Spanyol tanpa seizin pemilik data-data tersebut. Selain Spanyol, Hongkong pun menerapkan kebijakan yang ketat dalam hal data warganya melalui aturan Personal Data Privacy Ordinance.”
Untuk kebijakan penempatan pusat data di dalam negeri bagi layanan publik atau layanan yang menyimpan data strategis, Indonesia tidak sendirian. Berdasarkan laporan Oxford University, Rusia dan Tiongkok telah menerapkan kebijakan serupa. Brazil berencana menerapkan kebijakan yang mirip. Jerman juga memiliki Privacy Laws yang sangat ketat dan rigid, menyebabkan Microsoft pada bulan November 2105 memutuskan menempatkan pusat data layanan cloud mereka di Jerman.
CEO Biznet Gio Dondy Bappedyanto berpendapat, sebelum laporan ini disahkan ada beberapa pertanyaan mendasar yang masih belum terjawab. Pertama, apakah PP 82/2012 yang sebelumnya ada sudah pernah dijalankan 100%? Sejauh ini ia melihat belum ada enforcement untuk penegakan regulasi tersebut. Kini revisi akan menjadi lebih kompleks, mekanisme pelaksanaannya belum dipaparkan oleh pihak regulator.
Kemudian pertanyaan kedua Dondy berkaitan dengan klasifikasi data. Bagaimana kita menilai data tersebut menjadi data personal, mekanismenya seperti apa, yang melakukan audit siapa? Tanpa prosedur teknis yang jelas dan terukur, dinilai akan banyak melahirkan celah yang dapat dimanfaatkan pihak berkepentingan. Memang, untuk menilai klasifikasi data harus ada standardisasi ketat, mengingat jenis data berevolusi cepat.
Dondy menekankan, efektivitas juga harus diukur dari beberapa aspek, misalnya kecepatan internet dan bandwidth.
“Semua yang ada di internet itu kan data. Video misalnya, kalau dinilai itu data yang strategis atau enggak, menurut saya pasti enggak ya karena hiburan. Video adalah kontan yang memakan bandwidth paling banyak, kalau video yang diproduksi dari sini ditaruh di luar, ya jangan harap internet bisa murah dan cepat. Kalau semua konten ada di luar, belum pasti penyedia layanan mau exchange bandwidth ke sini,” terang Dondy.
Revisi untuk mendukung industri
Ditemui di sela-sela IMF-WB Annual Meeting di Bali, Menkominfo memberikan penjelasan lain tentang rencana revisi PP 82/2012. Salah satunya untuk memberikan fleksibilitas startup digital lokal untuk berkembang. Menurutnya jika semua data diwajibkan diletakkan di dalam negeri, akan sulit jika nantinya ada kebutuhan untuk ekspansi atau sejenisnya.
Di kesempatan yang sama Rudiantara juga menegaskan, revisi aturan ini tidak ada hubungannya dengan dinamika industri komputasi awan, misalnya terkait rencana kehadiran pemain asing di Indonesia. Murni sebagai perbaikan berlandaskan kondisi dan kebutuhan yang ada.
“Be realistic saja, sekarang berapa banyak startup lokal yang sudah melayani pasar regional. Coba sebutkan, baru GO-JEK dan Traveloka saja kan yang masif,” ujar Dondy menanggapi pernyataan Menkominfo tersebut.
Rendy menambahkan, saat ini sudah ada banyak sekali pusat data lokal. Untuk yang kelas publik dan carrier neutral, sudah ada di lebih dari 50 lokasi. Sedangkan untuk yang kelas privat, jumlahnya sudah ratusan dan lokasinya tersebar di banyak tempat.
“Publik ini maksudnya lokasi peletakan data center, semisal di Cyber, Duren Tiga, Cibitung, Bogor, dll. Sementara yang private lebih banyak lagi. Misalnya Qwords memiliki private data center di Gedung Cyber, begitu pula dengan Telkom memiliki di gedungnya sendiri. Tersebar mulai dari yang Tier 1 sampai Tier 4. Tidak hanya di Jabodetabek, bahkan ada di Papua dan Ternate. Lembaga pemerintah sendiri juga banyak bangun data center,” jelas Rendy.
Rendy dan Dondy secara percaya diri mengisyaratkan bahwa pemain lokal dengan pusat datanya di sini sudah sangat siap memfasilitasi kebutuhan startup digital lokal.