Menelaah Revisi Aturan Pusat Data di Indonesia

"Kita kan lagi gencar untuk mendorong ekonomi digital melalui startup. Banyak startup juga sedang jalan, sedangkan ada kebijakan yang ada di PP Nomor 82 Tahun 2012 (PP 82/2012) bahwa data center harus di Indonesia. Kalau data center untuk startup semuanya ada di Indonesia juga tidak bisa optimal prosesnya nanti," ujar Rudiantara usai Rapat Koordinasi Revisi PP Nomor 82 Tahun 2018 di Kantor Kementerian Koordinator Bidang Perekonomian, di Jakarta, Kamis (27/9) sore.

Menkominfo menganggap ada kebutuhan menggunakan platform cloud asing yang tidak memiliki pusat data di Indonesia. Belum lagi rencana para pemain besar untuk menancapkan kukunya di Indonesia.

Setelah Alibaba Cloud menyasar pasar Indonesia, Google memastikan akan berinvestasi dalam bentuk cloud region. Sementara Amazon Web Services, yang menjanjikan dana masuk sebesar $1 miliar dalam 10 tahun ke depan, tetapi tidak ada rencana membangun pusat data di Indonesia.

Menggunakan tools yang disediakan Bulitwith.com, terlihat ada kecenderungan sejumlah layanan digital di Indonesia lebih memilih layanan pusat data yang disediakan layanan asing.

Keterangan dedicated server biasanya merujuk kepada pusat data yang dibangun perusahaan secara mandiri atau dari penyedia layanan lokal. Dari gambar di atas, IDN Times dan Traveloka memanfaatkan Cloudflare Hosting, ini merupakan mekanisme proxy untuk menyembunyikan peletakan cloud server mereka dan umumnya digunakan karena perusahaan menggunakan lebih dari satu cloud server. Namun semua mitra integrasi Cloudflare yang ada saat ini rata-rata layanan asing seperti IBM Cloud, AWS, Azure dll.

Kondisi "ideal" berdasarkan PP 82/2012

Beleid yang terdiri dari 90 pasal tersebut secara umum mengatur tentang banyak hal, mengatur ketentuan penyelenggara transaksi elektronik, mekanisme perangkat lunak, perangkat keras, hingga sanksi administratif atas pelanggaran yang terjadi. Dari poin-poin yang ada, pasal 17 ayat 2 memuat hal-hal yang menjadi acuan saat ini. Bunyinya adalah sebagai berikut:

“Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan, dan penegakan kedaulatan negara terhadap data warga negaranya.”

Di bagian penjelasannya disebutkan penyelenggara wajib memperoleh Sertifikasi Kelaikan Sistem Elektronik dari Menteri dan wajib terdaftar di Kemenkominfo. Pusat data (data center) didefinisikan sebagai suatu fasilitas yang digunakan untuk menempatkan sistem elektronik dan komponen terkait untuk keperluan penempatan, penyimpanan, dan pengolahan data.

Sementara pusat pemulihan bencana (disaster recovery center) didefinisikan sebagai fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting sistem elektronik yang terganggu atau rusak akibat bencana yang disebabkan oleh alam atau manusia.

Poin rancangan revisi

Dalam melakukan revisi, Kemenkominfo bersinergi dengan beberapa kementerian lain untuk harmonisasi regulasi. Harapannya aturan baru yang lahir nantinya dapat mengakomodasi dan merangkul kebutuhan sesuai dengan perkembangan yang ada. Dari draf yang pernah disampaikan, ada beberapa hal menarik, salah satunya dipaparkan dalam pasal 1 ayat 27. Pokok pembahasannya tentang klasifikasi data elektronik menjadi 3 bagian, yakni strategis, berisiko tinggi, dan berisiko rendah.

Menurut pemaparan Dirjen Ditjen Aplikasi Informatika Semuel Abrijani Pangerapan, penyimpanan data akan diatur berdasarkan klasifikasi tersebut. Masing-masing memiliki sub bagian dan penjelasan. Sebagai contoh data strategis, dibagi menjadi tingkat tinggi, menengah, dan rendah. Hanya data strategis tingkat tinggi yang pusat datanya wajib berada di Indonesia.

Di kesempatan yang sama, Samuel memberikan penjelasan tentang klasifikasi data. Data strategis adalah data sensitif yang disimpan dan dikelola pemerintah, contohnya data intelijen, data ketahanan pangan, dan lain-lain. Data strategis tingkat tinggi bahkan aksesnya tidak melalui internet, namun jalur intranet yang terbatas. Sementara data strategis tingkat menengah boleh tersambung internet dengan dalih perlu diketahui publik. Sementara yang rendah boleh diletakkan di mana saja demi keterbukaan informasi.

Data risiko tinggi didefinisikan sebagai data sensitif berkaitan dengan pengguna. Untuk peletakan pusat data tidak wajib di Indonesia, namun pemerintah harus mendapatkan jalur akses untuk keperluan tertentu. Kewajiban bagi penyedia hanya menambahkan poin akses (misalnya berbentuk Cloud Delivery Network) di Indonesia, sehingga tidak perlu meminta otorisasi pemerintahan negara lain untuk akses data.

Data berisiko rendah cenderung berisi data dengan tingkat sensitivitas rendah, sehingga dapat dikelola di mana saja secara lebih bebas.

Selain berkaitan dengan data, revisi juga mengatur beberapa hal lain. Dalam pasal 5 tentang penyelenggara sistem elektronik, revisi menegaskan bahwa setiap penyelenggara wajib melakukan pendaftaran. Ini dapat diinterpretasikan penyedia layanan pusat data wajib terdaftar atau memiliki badan usaha legal.

Tanggapan industri

Chairman Asosiasi Cloud dan Hosting Indonesia (ACHI) Rendy Maulana berpendapat, "Awalnya kami sempat nyaris sepakat dengan usulan tersebut dengan catatan pemerintah bisa mengklasifikasikan data. Namun setelah kami berdiskusi ulang dengan anggota asosiasi dan beberapa rekan penegak hukum, hal ini tidak baik jika kami setujui."

Menurutnya, data adalah "tambang emas" di era digital seperti sekarang. Berbekal data, berbagai tindakan bisa dilakukan, bahkan di ranah penegakan hukum. Pengelolaan data yang kurang terkontrol dapat memberikan ancaman untuk kedaulatan, terutama ancaman dari luar.

"Misalnya data pembelanjaan, itu bisa dimanfaatkan orang lain. Sebagai contoh data yang diambil dari marketplace, berbekal data tersebut pemain asing bisa meniru produk UKM kita dan membuat produk mirip dan whitelabel, lalu menjual harga yang lebih murah. Bisa menghancurkan perkembangan UKM."

"Data browsing kita (log/timestamp) pun juga bisa berpengaruh banyak jika polisi ingin menemukan siapa pelaku kejahatan cyber, atau terjadi kasus bunuh diri, atau pembunuhan atau pencurian. Di tingkat lanjut, log pengguna layanan seperti Google bisa merekam aktivitas sehari-hari." terang Rendy.

Menurut pemaparan ACHI, pada intinya data adalah sesuatu yang sangat sensitif. Perlu ada pengelolaan yang sangat ketat. Kelonggaran regulasi berkaitan dengan data bisa dimanipulasi dan dimanfaatkan untuk sesuatu yang akan merugikan kita sendiri.

ACHI merupakan organisasi nirlaba yang memiliki visi mengembangkan industri cloud dan hosting di Indonesia. Anggota dari ACHI merupakan perusahaan pelaku industri cloud dan hosting di Indonesia, serta organisasi terkait partisipan industri. Beberapa anggotanya termasuk Qwords, Rumahweb, BiznetGio, CBNCloud, Jogjacamp, Infinys dan Masterweb.

Negara lain makin ketat meregulasi data

Pernyataan tidak setuju juga dilayangkan Indonesia Data Center Provider Organization (IDPRO). Dalam rilis resminya, IDPRO mewanti-wanti pemerintah agar kedaulatan data nasional dipegang penuh oleh otoritas setempat. Organisasi juga memberikan contoh studi kasus, bagaimana negara lain memberikan aturan ketat berkaitan dengan data.

"Di bulan September 2017, Facebook dikenakan Denda oleh Pemerintah Spanyol melalui AEPD (Agencia Espanola de Proteccion de Datos/Spanish Data Protection Agency) sebesar USD$1.44 juta atas pelanggaran memanfaatkan data informasi personal dari pengguna Facebook di Spanyol untuk keperluan advertising. AEPD mendapati Facebook mengumpulkan data detail tentang gender, agama, kegemaran individu, hingga data situs halaman yang di-browsing oleh jutaan pengguna Spanyol tanpa seizin pemilik data-data tersebut. Selain Spanyol, Hongkong pun menerapkan kebijakan yang ketat dalam hal data warganya melalui aturan Personal Data Privacy Ordinance.”

Untuk kebijakan penempatan pusat data di dalam negeri bagi layanan publik atau layanan yang menyimpan data strategis, Indonesia tidak sendirian. Berdasarkan laporan Oxford University, Rusia dan Tiongkok telah menerapkan kebijakan serupa. Brazil berencana menerapkan kebijakan yang mirip. Jerman juga memiliki Privacy Laws yang sangat ketat dan rigid, menyebabkan Microsoft pada bulan November 2105 memutuskan menempatkan pusat data layanan cloud mereka di Jerman.

CEO Biznet Gio Dondy Bappedyanto berpendapat, sebelum laporan ini disahkan ada beberapa pertanyaan mendasar yang masih belum terjawab. Pertama, apakah PP 82/2012 yang sebelumnya ada sudah pernah dijalankan 100%? Sejauh ini ia melihat belum ada enforcement untuk penegakan regulasi tersebut. Kini revisi akan menjadi lebih kompleks, mekanisme pelaksanaannya belum dipaparkan oleh pihak regulator.

Kemudian pertanyaan kedua Dondy berkaitan dengan klasifikasi data. Bagaimana kita menilai data tersebut menjadi data personal, mekanismenya seperti apa, yang melakukan audit siapa? Tanpa prosedur teknis yang jelas dan terukur, dinilai akan banyak melahirkan celah yang dapat dimanfaatkan pihak berkepentingan. Memang, untuk menilai klasifikasi data harus ada standardisasi ketat, mengingat jenis data berevolusi cepat.

Dondy menekankan, efektivitas juga harus diukur dari beberapa aspek, misalnya kecepatan internet dan bandwidth.

“Semua yang ada di internet itu kan data. Video misalnya, kalau dinilai itu data yang strategis atau enggak, menurut saya pasti enggak ya karena hiburan. Video adalah kontan yang memakan bandwidth paling banyak, kalau video yang diproduksi dari sini ditaruh di luar, ya jangan harap internet bisa murah dan cepat. Kalau semua konten ada di luar, belum pasti penyedia layanan mau exchange bandwidth ke sini,” terang Dondy.

Revisi untuk mendukung industri

Ditemui di sela-sela IMF-WB Annual Meeting di Bali, Menkominfo memberikan penjelasan lain tentang rencana revisi PP 82/2012. Salah satunya untuk memberikan fleksibilitas startup digital lokal untuk berkembang. Menurutnya jika semua data diwajibkan diletakkan di dalam negeri, akan sulit jika nantinya ada kebutuhan untuk ekspansi atau sejenisnya.

Di kesempatan yang sama Rudiantara juga menegaskan, revisi aturan ini tidak ada hubungannya dengan dinamika industri komputasi awan, misalnya terkait rencana kehadiran pemain asing di Indonesia. Murni sebagai perbaikan berlandaskan kondisi dan kebutuhan yang ada.

“Be realistic saja, sekarang berapa banyak startup lokal yang sudah melayani pasar regional. Coba sebutkan, baru GO-JEK dan Traveloka saja kan yang masif,” ujar Dondy menanggapi pernyataan Menkominfo tersebut.

Rendy menambahkan, saat ini sudah ada banyak sekali pusat data lokal. Untuk yang kelas publik dan carrier neutral, sudah ada di lebih dari 50 lokasi. Sedangkan untuk yang kelas privat, jumlahnya sudah ratusan dan lokasinya tersebar di banyak tempat.

"Publik ini maksudnya lokasi peletakan data center, semisal di Cyber, Duren Tiga, Cibitung, Bogor, dll. Sementara yang private lebih banyak lagi. Misalnya Qwords memiliki private data center di Gedung Cyber, begitu pula dengan Telkom memiliki di gedungnya sendiri. Tersebar mulai dari yang Tier 1 sampai Tier 4. Tidak hanya di Jabodetabek, bahkan ada di Papua dan Ternate. Lembaga pemerintah sendiri juga banyak bangun data center," jelas Rendy.

Rendy dan Dondy secara percaya diri mengisyaratkan bahwa pemain lokal dengan pusat datanya di sini sudah sangat siap memfasilitasi kebutuhan startup digital lokal.