Pakar keamanan siber Ardi mengingatkan bahwa praktik transfer data pribadi lintas negara yang kian lazim dalam ekonomi digital menyimpan risiko besar bagi privasi warga, kedaulatan negara, hingga stabilitas demokrasi. Menurut dia, dalam dua dekade terakhir globalisasi digital membuat pemindahan data pengguna ke berbagai negara menjadi praktik rutin, dilakukan oleh perusahaan media sosial, penyedia layanan komputasi awan, hingga platform e-commerce.

Ardi menyebut perpindahan data lintas yurisdiksi umumnya dilakukan untuk mendukung efisiensi operasional, pengelolaan infrastruktur teknologi, analisis pasar global, optimalisasi layanan, serta pengembangan produk berbasis kecerdasan buatan. “Dahulu praktik ini dipandang sebagai bagian yang tidak terpisahkan dari kemajuan dunia digital yang menghubungkan masyarakat global tanpa batasan geografis,” kata Ardi dalam keterangan tertulis, Ahad, 27 Juli 2025.

Ia menilai, pada periode awal pertumbuhan ekonomi digital, arus data bebas kerap dipandang menguntungkan berbagai pihak. Namun, sejumlah insiden besar—mulai dari skandal Cambridge Analytica, gugatan hukum aktivis privasi Max Schrems, hingga kasus kebocoran data berskala global—mengubah cara dunia memandang transfer data lintas negara.

Menurut Ardi, rangkaian peristiwa tersebut menegaskan bahwa arus data lintas negara tidak hanya membawa manfaat ekonomi dan teknologi, tetapi juga menimbulkan risiko yang kompleks terhadap kedaulatan negara, keamanan nasional, stabilitas politik, dan integritas demokrasi. Ia menyebut perubahan ini sebagai pergeseran paradigma tata kelola digital global, ketika data tidak lagi dipandang semata komoditas komersial, melainkan aset strategis dengan implikasi geopolitik.

Ardi mencontohkan skandal Cambridge Analytica yang terbongkar pada 2018. Dalam kasus itu, data pribadi sekitar 87 juta pengguna Facebook dikumpulkan tanpa izin yang jelas melalui aplikasi pihak ketiga “This Is Your Digital Life” yang tampak seperti kuis kepribadian. Data tersebut kemudian dipakai Cambridge Analytica—perusahaan konsultan politik berbasis di Inggris—untuk membangun profil psikografis yang rinci.

Ardi menuturkan, praktik itu memungkinkan manipulasi opini publik secara masif dalam berbagai pemilu dan referendum penting, termasuk pemilihan presiden Amerika Serikat 2016 dan referendum Brexit di Inggris. Ia menyebut teknik micro-targeting dan algoritma pembelajaran mesin digunakan untuk menyebarkan pesan politik yang disesuaikan dengan karakteristik psikologis individu, sehingga dapat memengaruhi keputusan pemilih secara diam-diam dan sistematis.

“Data yang berpindah lintas yurisdiksi dalam kasus ini menjadi alat manipulasi politik yang tidak hanya mengancam privasi individu dan hak-hak digital fundamental, tetapi juga stabilitas demokrasi, integritas proses pemilu, dan kedaulatan politik di negara-negara yang terkena dampaknya,” kata Ardi. Ia menambahkan, skandal tersebut memperlihatkan betapa mudahnya data personal dapat diakses, dimanipulasi, dan digunakan untuk tujuan yang bertentangan dengan kepentingan pemilik data maupun negara tempat mereka berdomisili.

Selain itu, Ardi menyinggung gugatan hukum Max Schrems terhadap Facebook di Uni Eropa yang dikenal sebagai “Schrems II”. Gugatan itu mempersoalkan transfer data pengguna Eropa ke Amerika Serikat, yang dinilai memiliki perlindungan privasi dan regulasi keamanan data lebih lemah dibandingkan regulasi ketat Uni Eropa seperti GDPR. Perkara tersebut berujung pada pembatalan Privacy Shield Agreement, mekanisme yang sebelumnya memungkinkan transfer data antara Uni Eropa dan Amerika Serikat dengan dalih perlindungan memadai.

Ardi mengatakan, keputusan Mahkamah Agung Uni Eropa itu menunjukkan transfer data lintas negara tidak bisa lagi dianggap sebagai praktik biasa tanpa pengawasan ketat, evaluasi mendalam, dan jaminan perlindungan yang setara. Ia juga menekankan bahwa GDPR, yang mulai berlaku pada 2018, menegaskan data pribadi sebagai hak fundamental dan mengatur bahwa transfer data ke negara lain hanya dapat dilakukan bila negara tujuan memiliki standar perlindungan setara atau memperoleh “adequacy decision” dari Komisi Eropa.

Ardi menambahkan, serangkaian insiden peretasan dan kebocoran data global yang berulang juga memperkuat argumen bahwa arus data lintas negara dapat menjadi ancaman berkelanjutan terhadap keamanan nasional. Ia memberi contoh serangan siber terhadap Equifax yang menyebabkan kebocoran data 147 juta orang, serta kasus Yahoo dengan kebocoran data 3 miliar akun.

Menurut Ardi, kebocoran data skala masif tidak hanya menimbulkan kerugian ekonomi langsung dan merusak reputasi perusahaan, tetapi juga dapat dimanfaatkan untuk spionase industri dan pemerintah, sabotase infrastruktur kritis, manipulasi pasar finansial, hingga manipulasi sosial dan politik dalam skala luas.

Dalam konteks Indonesia, Ardi menilai isu ini semakin mendesak. Ia menyebut Indonesia memiliki populasi digital besar—lebih dari 200 juta pengguna internet—serta pertumbuhan ekonomi berbasis teknologi yang pesat, sehingga berpotensi menjadi target eksploitasi data lintas negara oleh pihak berkepentingan ekonomi, politik, atau strategis.

Ardi juga menyoroti keberadaan perusahaan teknologi asing besar yang beroperasi di Indonesia dan mengelola data pengguna lokal melalui server serta infrastruktur di luar negeri. Kondisi ini, menurut dia, membuat data berada di luar jangkauan regulasi nasional dan pengawasan otoritas Indonesia, sehingga menciptakan kerentanan ketika data strategis warga dapat diakses, dianalisis, atau bahkan dimanipulasi oleh pihak asing tanpa sepengetahuan atau kontrol pemerintah.

Ia menyebut Undang-Undang Perlindungan Data Pribadi (UU PDP) Nomor 27 Tahun 2022 sebagai langkah penting untuk memastikan data warga negara tidak mudah berpindah ke yurisdiksi asing dan berpotensi disalahgunakan. Ardi mengatakan UU PDP mendorong prinsip data localization, yakni kewajiban menyimpan data strategis dan data pribadi warga di dalam negeri untuk melindungi privasi sekaligus menjaga kedaulatan data nasional.

Meski demikian, Ardi menilai tantangan implementasi tetap besar, terutama untuk memastikan data strategis—termasuk data pemerintah, militer, infrastruktur kritis, sistem finansial, dan informasi ekonomi strategis—tetap berada di bawah kendali nasional. Ia juga menyebut tantangan teknis dan ekonomis, seperti pembangunan infrastruktur pusat data lokal, pengembangan kapabilitas keamanan siber, pelatihan sumber daya manusia, serta penciptaan ekosistem teknologi lokal yang mampu bersaing, membutuhkan investasi besar dan komitmen jangka panjang dari pemerintah maupun sektor swasta.

Isu transfer data pribadi warga negara Indonesia belakangan ramai diperbincangkan setelah Gedung Putih merilis pernyataan bersama terkait kesepakatan tarif impor antara Amerika Serikat dan Indonesia. Pernyataan di situs resmi White House pada 22 Juli memuat poin kesediaan Indonesia mentransfer data pribadi warganya ke Amerika Serikat, yang memicu kekhawatiran publik mengenai keamanan data bila dikirim ke luar negeri.

Merespons kekhawatiran tersebut, Menteri Komunikasi dan Digital Meutya Viada Hafid mengatakan praktik transfer data pribadi lintas negara merupakan hal yang lazim. Ia mencontohkan negara-negara G7—Amerika Serikat, Kanada, Jepang, Jerman, Perancis, Italia, dan Britania Raya—telah lama mengadopsi mekanisme ini secara aman dan andal.

“Pengaliran data antarnegara tetap dilakukan di bawah pengawasan ketat otoritas Indonesia, dengan prinsip kehati-hatian dan berdasarkan hukum nasional,” kata Meutya melalui keterangan tertulis, dikutip Sabtu, 26 Juli 2025. Ia menambahkan kebijakan tersebut merujuk pada UU PDP sehingga memastikan transfer data pribadi tetap aman.

Meutya juga menyatakan Indonesia perlu mengambil posisi sejajar dalam praktik transfer data lintas negara dengan kelompok G7. Namun, menurut dia, realisasinya tetap harus berada dalam kerangka tata kelola data yang aman dan andal tanpa mengorbankan hak-hak warga negara.