Lonjakan kasus kejahatan siber dalam beberapa tahun terakhir seharusnya menjadi sinyal bahaya bagi kedaulatan digital Indonesia. Kebocoran data layanan publik, peretasan sistem pemerintah, hingga pencurian identitas digital menunjukkan betapa rapuhnya sistem perlindungan data dan infrastruktur digital kita. Sepanjang Januari hingga Juli 2025, Badan Siber dan Sandi Negara (BSSN) mencatat 3,64 miliar serangan siber atau anomali trafik, jumlah yang hampir menyamai total serangan selama lima tahun terakhir (2019–2024). Dalam periode November 2024 hingga Januari 2025 saja, kerugian langsung akibat penipuan digital, ransomware, dan kebocoran data mencapai Rp476 miliar, meliputi kehilangan dana korban, biaya pemulihan, hingga denda operasional.
Padahal tak dapat dipungkiri, saat ini data telah menjadi aset paling berharga, lebih mahal dari minyak dan lebih sensitif dari emas. Data kini menjadi komoditas strategis yang menopang aktivitas dan nilai ekonomi. Apalagi perkembangan teknologi digital dan internet telah melahirkan berbagai produk ekonomi baru berbasis data, yang perlahan menggantikan model ekonomi konvensional. Namun, di tengah dominasi ekonomi digital ini, kesadaran akan pentingnya perlindungan data masih rendah, baik di tingkat individu maupun lembaga negara.
Di tengah situasi ini, Indonesia justru menandatangani Indonesia European Union Comprehensive Economic Partnership Agreement (IEU CEPA) pada tanggal 23 September 2025 lalu. Di atas kertas, perjanjian ini disebut-sebut sebagai tonggak baru untuk memperluas kerjasama ekonomi digital antara Indonesia dan Uni Eropa. Namun dibalik semangat kerjasama perdagangan tersebut, ada ancaman serius terhadap kedaulatan digital di Indonesia.
Liberalisasi Digital dan Hilangnya Kontrol Negara
Salah satu persoalan utama dalam IEU CEPA adalah dorongan membuka liberalisasi pasar digital. Di dalam dokumen tersebut secara gamblang menyebutkan bahwa “Negara tidak boleh membatasi aliran data dan harus memfasilitasi kegiatan digital untuk kepentingan bisnis” (Pasal 10.5 ayat (2)). Dengan kata lain, negara tidak boleh membatasi aliran data lintas batas yang diperlukan untuk kegiatan bisnis para pelaku yang tercakup dalam perjanjian. Lantas apa resikonya?
Sebagai pasar digital terbesar kedua di Asia Tenggara dengan GMV digital sekitar USD 90 miliar pada 2024, Indonesia menjadi sasaran empuk bagi perusahaan teknologi raksasa (Big Tech) dan korporasi global untuk mengkapitalisasi data masyarakat. Dengan dalih efisiensi dan keterbukaan, Big Tech mendapatkan akses luas untuk beroperasi di pasar nasional tanpa harus melalui mekanisme izin yang selama ini berfungsi sebagai bentuk proteksi. Aturan “larangan diskriminasi terhadap entitas digital asing” akan memaksa pemerintah Indonesia memperlakukan perusahaan global setara dengan pelaku usaha domestik, tanpa proses perizinan yang ketat.
Akibatnya, negara kehilangan instrumen untuk menyeleksi, mengawasi, atau bahkan menolak entitas digital yang berpotensi mengancam keamanan data nasional. Proses administratif yang dianggap “menghambat investasi” sebenarnya adalah pagar perlindungan agar data masyarakat dan infrastruktur digital nasional tidak mudah dikuasai pihak luar. Dalam konteks IEU CEPA, pagar itu mulai runtuh.
Potensi Kolonialisme Data
Perjanjian IEU CEPA pun mengatur kebebasan aliran data lintas batas (Cross-Border Data Flows) antara Indonesia dan Uni Eropa. Perjanjian ini memperbolehkan perpindahan data antar negara tanpa kewajiban penyimpanan lokal (local storage requirement) di Indonesia, dengan alasan untuk mempercepat efisiensi bisnis dan inovasi digital. Dengan kata lain, ketentuan ini menghapus kewajiban penyimpanan data secara lokal, sehingga perusahaan asing dapat dengan bebas memindahkan dan menyimpan data warga Indonesia di luar negeri.
Di permukaan, kebijakan ini tampak efisien, yakni mempercepat inovasi dan mempermudah kolaborasi digital secara global. Namun, dibalik itu ada konsekuensi yang lebih serius : hilangnya kendali negara atas data warga negaranya.
Di dalam ketentuan IEU CEPA, data publik maupun pribadi bisa disimpan dan dikelola di luar negeri, di luar jangkauan hukum Indonesia, sehingga membuka ruang bagi penyalahgunaan maupun pengawasan oleh pihak asing. Kondisi ini membuka peluang bagi bentuk baru penjajahan: kolonialisme data.
Korporasi global dengan modal besar dan infrastruktur digital yang masif akan menguasai arus data dunia, sementara negara-negara berkembang seperti Indonesia hanya menjadi penyedia “bahan mentah data”. Ekstraksi data besar-besaran ini tentu menjadi “bahan bakar” bagi pengembangan kecerdasan buatan (AI), algoritma bisnis, hingga sistem pengawasan global yang hampir semua lininya dikuasai untuk keuntungan segelintir korporasi besar.
Selain itu, keleluasaan aliran data lintas negara membuat penerapan kebijakan nasional seperti perpajakan digital menjadi lemah. Dokumen IEU CEPA Pasal 10.7 ayat (1) menyebutkan bahwa “Tidak ada pihak yang boleh mengenakan customs duties atas transmisi elektronik”, serta ayat (5) “Negara tidak boleh memungut bea masuk (customs duties) atas transaksi digital lintas batas, tapi boleh menerapkan pajak dalam negeri lain (misalnya PPN digital atau pajak layanan digital), asalkan sesuai aturan dari WTO”.
Artinya, negara tidak dapat memungut pajak secara efektif atas transaksi elektronik lintas batas karena terikat dengan moratorium electronic transmission di bawah WTO yang melarang pungutan pajak terhadap transaksi digital. Moratorium ini, yang terus diperpanjang selama lebih dari dua dekade, telah menghilangkan potensi pendapatan besar bagi negara berkembang dan memperkuat dominasi ekonomi negara maju.
Dengan kata lain, melalui mekanisme perdagangan digital global, terjadi pengalihan nilai ekonomi dari selatan ke utara, sebuah bentuk baru dari kolonialisme ekonomi berbasis data.
Lemahnya Perlindungan Hukum
Aturan dalam IEU CEPA terkait keleluasaan aliran data lintas negara, turut memperlemah penegakan aturan keamanan siber nasional. Pasalnya, ketika data disimpan dan dikelola di luar yurisdiksi Indonesia, negara tidak memiliki kekuasaan penuh untuk menegakkan hukum apabila terjadi penyalahgunaan, kebocoran, atau eksploitasi data. Yurisdiksi yang berbeda membuat aparat penegak hukum Indonesia tidak memiliki kewenangan langsung terhadap data atau pelaku yang berada di luar negeri. Hal ini menciptakan celah hukum yang bisa dimanfaatkan oleh pelaku kejahatan siber maupun korporasi yang menyalahgunakan data untuk keuntungan komersial.
Memang, dokumen IEU CEPA Pasal 10.6 menyebutkan bahwa negara harus memiliki standar tinggi dalam perlindungan data pribadi dan privasi, serta memiliki kerangka hukum yang memastikan perlindungan tersebut. Artinya, di atas kertas standar keamanan dan privasi wajib dijaga untuk mendukung kepercayaan dalam ekonomi digital. Jika Uni Eropa memiliki General Data Protection Regulation (GDPR), maka Indonesia punya UU Perlindungan Data Pribadi (UU PDP).
Namun, UU PDP tidak menjawab persoalan utama imbas dari perjanjian perdagangan digital IEU CEPA, yakni hilangnya kedaulatan atas data nasional. Regulasi ini baru melindungi data secara personal individu, belum menyentuh konteks perlindungan data yang lebih luas seperti data publik, data komunitas maupun data strategis nasional. UU PDP juga belum memiliki perangkat implementasi yang memadai : tidak ada otoritas yang mengawasi, kapasitas penegakan hukum yang masih lemah, dan sanksi pelanggaran yang minim.
Lemahnya perlindungan hukum dan jaminan perlindungan data menjadi peluang bagi korporasi (asing terutama) bebas memindah dan mengolah data warga negara Indonesia. Selain itu, data yang telah diolah menjadi data non pribadi, seperti data mobilitas masyarakat, perilaku konsumsi, bahkan pola iklim dan lingkungan, termasuk data yang tidak tercakup dalam perlindungan hukum (UU PDP). Padahal data semacam itu memiliki nilai ekonomi dan strategis yang besar, apabila dikuasai korporasi, maka akan mudah mereka mempengaruhi kebijakan pembangunan nasional.
Memperjuangkan Kedaulatan Digital
Perjanjian perdagangan seperti IEU CEPA mencerminkan paradigma ekonomi neoliberal yang menempatkan kepentingan bisnis di atas kepentingan publik. Negara-negara berkembang seperti Indonesia didorong untuk membuka pasar digital mereka, dengan imbal janji investasi dan teknologi. Padahal keuntungan terbesar sejatinya tetap mengalir ke kantong-kantong korporasi global.
IEU CEPA juga berpotensi memperlemah kemampuan Indonesia untuk membangun kemandirian digital. Ketika infrastruktur digital, server, dan data dikendalikan oleh pihak luar, maka pembangunan nasional pun bergantung pada “izin” korporasi besar. Ketimpangan digital ini memperdalam ketidakadilan global: negara maju menjadi produsen teknologi dan pengendali data, sementara negara berkembang menjadi konsumen sekaligus penyedia “bahan mentah” digital.
Mewujudkan kemandirian dan kedaulatan digital tidak bisa diserahkan pada mekanisme perdagangan. Pemerintah Indonesia perlu meninjau ulang klausul perjanjian perdagangan digital yang berpotensi mengancam keamanan data nasional, termasuk kebijakan Cross-Border Data Flows tanpa batas, perlindungan berlebihan terhadap source code, maupun moratorium pajak transaksi digital. Selain itu, perlindungan data harus diperluas mencakup data publik dan data strategis nasional, bukan hanya data pribadi.
Di sisi lain, gerakan masyarakat sipil perlu memperkuat perannya dalam mengawasi implementasi perjanjian semacam IEU CEPA. Pengawasan publik, advokasi kebijakan, dan edukasi digital perlu digerakkan secara kolektif agar transformasi digital berjalan dengan prinsip kemandirian dan keadilan.
Digitalisasi memang membawa peluang besar bagi pembangunan, tetapi tanpa kesadaran akan kedaulatan, Indonesia hanya akan menjadi pasar data bagi kepentingan bangsa lain. Saatnya negara menegaskan bahwa perjuangan kedaulatan digital bukan sekadar jargon, melainkan hak yang harus diperjuangkan bersama.
Discussion about this post