Perjalanan PP 71 menggantikan PP 82 merupakan salah satu proses tata kelola yang penuh drama yang diwarnai perang argumentasi baik di media massa, media sosial, pertemuan-pertemuan, FGD, dan seminar-seminar. Topik yang selalu menjadi bahasan kontroversial adalah: peletakan pusat data di luar negeri.
BI dan OJK menentang ide ini dengan alasan kritikalitas data keuangan dan nasabah, MASTEL dan asosiasi penyedia layanan pusat data berkeberatan karena akan signifikan mengurangi pasar mereka. Di lain pihak, Kominfo mendengungkan konsep infrastructure sharing yang mendukung berkembangnya industri digital lebih luas lagi.
Di tengah perdebatan yang belum mengerucut, PP 71 keluar di akhir masa jabatan kabinet. Sontak hal ini disesalkan pelaku industri pusat data dan cloud dalam negeri walaupun ternyata tetap mengakomodir industri keuangan, dengan tetap berlakunya peraturan BI dan OJK mengenai peletakan pusat data di wilayah Indonesia.
Komparasi PP71 dengan PP82
Dalam kacamata hukum dan bisnis, PP 71 menawarkan konsep penyederhanaan dan fleksibilitas. Tidak ada lagi istilah IPPS, Instansi Pengatur dan Pengawas Sektor, yang menambah panjang proses tata kelola karena perlu penetapan lebih lanjut melalui Perpres. Kini cukup disebut sebagai Kementerian atau lembaga yang bertanggung jawab mengawasi dan mengeluarkan pengaturan terhadap sektornya. Penentuan lokasi pusat data juga lebih fleksibel sesuai dengan pembagian penyelenggaraan sistem elektronik (PSE) publik atau privat, walau memang ada ketentuan teknis mengikat lainnya.
Terdapat tiga perbedaan yang paling mendasar dari kedua PP PSTE ini, yaitu: ketentuan PSE publik dan privat, ketentuan perlindungan data pribadi, dan kewajiban penggunaan sertifikasi elektronik.
PSE Lingkup Publik dan Privat
Penyelenggaraan Sistem Elektronik menempati bagian kedua yang terdiri dari 33 pasal dimana di dalamnya terdapat diktum baru mengenai PSE lingkup Publik dan Privat. PSE Publik diselenggarakan oleh instansi penyelenggara negara (IPN) atau instansi yang ditunjuk IPN, seperti BPJS dan RSUD. PSE Publik sektor keuangan dikecualikan pada ketentuan ini. Sementara itu, PSE Privat pada dasarnya semua yang bukan PSE Publik, dalam hal ini swasta dan perorangan.
Pasal yang mungkin paling diperbincangkan dan dipermasalahkan banyak pihak adalah pasal 21 yang mengatur pengelolaan, pemrosesan, dan/atau penyimpanan Sistem Elektronik dan Data Elektronik PSE Privat yang dapat di luar wilayah Indonesia. Dapat, artinya pilihan. Meskipun hal ini tidak berlaku pada PSE Privat sektor keuangan yang masih mengikuti PBI dan POJK, kalangan industri pusat data dan cloud dalam negeri bereaksi keras menentangnya.
Teknologi cloud memang memudahkan penggunanya. Di kalangan startup digital, adanya teknologi ini sangat membantu dalam mengembangkan layanan handal tanpa harus banyak berinvestasi di sisi infratruktur. Skalabilitasnya juga fleksibel, jika dibutuhkan pengembangan kapasitas bisa langsung dilakukan. Pilihan model bisnisnya dari IaaS/SaaS/PaaS (Infrastructure/Software/Platform as a Service) memberikan pilihan dalam mengatur strategi bisnis. Pilihan cloud luar negeri seringkali diambil karena faktor ekonomis dan kemudahannya dibandingkan layanan dalam negeri.
Namun ada yang harus diwaspadai dalam pasal 21 tersebut, berkaitan dengan ayat (2) dan (3) yaitu akses dalam rangka pengawasan dan penegakan hukum. Cloud forensic, salah satu cabang forensik digital, belum memiliki standar baku yang telah matang seperti halnya forensik komputer dan forensik perangkat bergerak. SNI ISO 27037 hanya mengatur ketentuan forensik digital tradisional, sementara kerangka kerja cloud forensic masih dalam pembahasan di kalangan ahli forensik. Artinya, terdapat risiko ketidakpatuhan terhadap PP PSTE ini.
Perlindungan Data Pribadi
Kewajiban perlindungan data pribadi juga diberikan porsi yang lebih. Data pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui Sistem Elektronik dan /atau nonelektronik.
Ketentuan kaku mengenai perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, perbaikan, pembaruan, penampilan, transfer, penyebarluasan, dan penghapusan data pribadi merupakan beban tersendiri bagi PSE yang mengelola data pribadi. Aturan akan kelayakan sistem, kegagalan perlindungan, audit, serta sistem pengamanannya juga diatur secara rinci.
Aturan ini memang didesain sebagai jembatan menuju UU Perlindungan Data Pribadi (PDP) yang skema isinya banyak terpengaruh GDPR (General Data Protection Regulation). Artinya, beban kepatuhan atau compliance terhadap aturan perlindungan data pribadi ini akan membebani perusahaan karena harus adanya petugas dengan operasional khusus untuknya.
Sertifikat Elektronik
Kewajiban menggunakan sertifikasi elektronik terutama pada transaksi elektronik menjadi satu bagian besar dalam PP71, dikarenakan infrastruktur kunci publik sudah mulai siap. Kominfo sudah memiliki RootCA yang telah tersertifikasi WebTrust dan aturan Menkominfo mengenai Penyelenggaraan Sertifikat Elektronik (PSrE) juga sudah diundangkan.
Pada tanggal 13 November 2019 lalu telah diadakan launching enam PSrE: BSSN, Peruri, PrivyID, VIDA, DigiSign, dan iOTENTIK. Sebagian berstatus terdaftar namun beberapa telah berstatus tersertifikat, satu langkah lagi menuju berinduk.
Sertifikat elektronik dan tanda tangan elektronik menempati bagian penting dalam transaksi elektronik karena memberikan validasi identitas dan integritas data. Fitur nirsangkal (non-repudiation) merupakan syarat dimana suatu dokumen digital tertanda tangan dapat diterima sebagai bukti hukum yang sah dan tidak dapat disangkal lagi.
Gambar 1 di atas menjelaskan bagaimana Infrastruktur Kunci Publik dibangun. Analoginya seperti sertifikat sarjana. Selalu ada informasi nama, identitas foto, logo universitas, dan tanda tangan dekan. Universitas juga mempunyai sertifikat pengakuan oleh Kementerian terkait yang ditandatangani Dirjen yang berwenang, dimana Kementerian tersebut menjadi induk atau RootCA dalam Infrastruktur Kunci Publik.
Dalam pasal 53 ditekankan bahwa setelah masa peralihan, hanya sertifikat berinduk Kominfo saja yang dapat dipergunakan di Indonesia. Artinya, industri CA (Certificate Authority) atau PSrE dalam negeri akan berkembang dengan pesat karena PP 71.
Risiko Hukum dan Bisnis
Adanya masa peralihan membuat industri bisa bersiap menghadapi berlakunya rezim baru penyelenggaraan sistem dan transaksi elektronik ini. Namun yang harus diperhatikan adalah risiko hukumnya dalam bentuk sanksi administratif: teguran tertulis, denda administratif, penghentian sementara, pemutusan akses, dan/atau dikeluarkan dari daftar. Pengenaan sanksi administratif tersebut tidak menghapuskan tanggung jawab pidana dan perdata.
Manajemen Risiko perusahaan perlu dengan hati-hati menganalisa pilihan-pilihan bisnisnya. Pilihan cloud dan peletakan pusat data di luar negeri mengandung risiko di sisi penegakan hukum yang perlu dimengerti dengan baik, sehingga harus ada mitigasinya.
Yang pasti, organisasi bisnis perlu menyiapkan organisasi yang digital forensics ready karena cloud forensics membutuhkan 3 hal agar dapat dilaksanakan, yaitu kemampuan teknis, kontrak yang jelas mengenai Forensik Digital dengan Penyedia Cloud, dan juga kerja sama yurisdiksi silang antar negara.
Organisasi bisnis juga harus memasukkan tata aturan dari perlindungan data pribadi sebagai konsen eksternal manajemen risiko serta menyiapkan Data Officer, petugas khusus untuk memantau praktek perlindungan data pribadi. Apabila RUU PDP disyahkan, risiko denda besar akan menjadi pertimbangan utama dalam perlindungan sistem elektronik, sehingga organisasi bisnis juga harus patuh terhadap tata kelola keamanan informasi dan siap diaudit.
Penutup
PP71 menawarkan penyederhanaan dan fleksibilitas bagi industri digital yang harus secara hati-hati dipilih dan dianalisa risiko bisnis dan hukumnya. Pemilihan layanan cloud luar negeri di satu sisi sangat menarik karena kemudahan dan skala ekonomisnya, namun di kemudian hari mungkin harus dipertimbangkan kembali apabila tidak dapat mengikuti kepatuhan akan penegakan hukum.
Berharap saja bahwa dalam satu tahun ke depan, standar cloud forensic dan hukum acara bukti elektronik sudah ada, sertifikat dan tanda tangan elektronik berinduk sudah siap, serta UU Perlindungan Data Pribadi sudah diundangkan. Dengan demikian, perlindungan konsumen akan transaksi elektronik akan semakin baik, industri dan ekonomi digital akan semakin berkembang.
Ir. Satriyo Wibowo, MBA, M.H., IPM, CERG, CCISO
Satriyo Wibowo adalah sekretaris Indonesia Cyber Security Forum, anggota Asosiasi Forensik Digital Indonesia, dan bertindak sebagai penasehat manajemen risiko dan cybersecurity di berbagai pemerintahan dan organisasi bisnis. Latar belakang akademiknya yang multi-disiplin mulai dari insinyur, administrasi bisnis, dan hukum dengan sertifikasi profesional di bidang teknik, risiko, dan tata kelola keamanan, membantunya memahami berbagai industri, terutama di bidang TIK, internet, dan sektor listrik, dari sisi yang lebih luas. Baru-baru ini, ia diundang oleh Pemerintah AS melalui International Visitor Leadership Program untuk membahas pengembangan dan implementasi kebijakan keamanan siber dengan 27 perwakilan lembaga di 13 kota di 7 Negara Bagian.