Kedaulatan Data Inggris dan Sovereign Cloud

Inggris pasca-Brexit sedang membangun rezim kedaulatan data tersendiri yang independen dari UE. Undang-Undang Perlindungan Data dan Informasi Digital (Data Protection and Digital Information Act/DPDI Act) yang disahkan pada Mei 2024 mengusung semangat "mendorong inovasi dan kemudahan bisnis" dengan melonggarkan persyaratan DPO serta meninjau ulang model persetujuan cookie, sehingga secara tegas menempuh jalur yang berbeda dari GDPR UE. Namun "jalan ketiga" ini terjepit di antara dua risiko struktural: keputusan kecukupan (adequacy decision) dengan UE (yang diperpanjang hingga Juni 2025 namun tetap berisiko berakhir), serta akses data lintas batas berdasarkan CLOUD Act Amerika Serikat. Titik perdebatan terbesar adalah masalah kedaulatan data Microsoft 365 (M365). Hampir seluruh kementerian pemerintah Inggris, NHS, dan parlemen menggunakan M365, namun EU Data Boundary milik Microsoft (yang dimulai Januari 2024) tidak mencakup Inggris, sehingga data pemerintah Inggris menghadapi risiko hukum berupa kemungkinan pemaksaan pengungkapan kepada Microsoft berdasarkan CLOUD Act AS. Pada Oktober 2022, UKCloud—satu-satunya penyedia sovereign cloud buatan dalam negeri Inggris—terpaksa dilikuidasi, yang mengakibatkan ketergantungan pemerintah pada cloud semakin terkonsentrasi pada hyperscaler asal Amerika Serikat. Kontrak Federated Data Platform antara NHS dan Palantir senilai 330 juta pound sterling (sekitar 61 miliar yen) juga menuai kritik keras sebagai bentuk penyerahan data pasien kepada perusahaan Amerika. Pasar cloud Inggris bernilai sekitar 15–18 miliar pound sterling per tahun (sekitar 2,775 triliun hingga 3,330 triliun yen), sementara pasar pusat data Inggris merupakan yang terbesar di Eropa dengan kapasitas lebih dari 800 MW. Artikel ini secara komprehensif mengkaji kerangka hukum kedaulatan data Inggris, independensi dan kendala pasca-Brexit, kontroversi kedaulatan data M365, kondisi dan tantangan sovereign cloud saat ini, persyaratan data NHS dan layanan keuangan, serta prospek ke depan.

Apa Itu Kedaulatan Data Inggris——"Jalan Ketiga" Pasca-Brexit

Kedaulatan data Inggris adalah konsep unik yang lahir dari Brexit.

Bersamaan dengan berakhirnya masa transisi pada 31 Desember 2020, GDPR Uni Eropa diteruskan sebagai "UK GDPR" dalam hukum domestik Inggris. Isinya hampir identik dengan EU GDPR, namun lembaga yang dirujuk diganti menjadi ICO (Information Commissioner's Office), dan kewenangan beralih dari Komisi EU kepada Menteri Negara Inggris. Data Protection Act 2018 (DPA 2018) menjadi undang-undang dasar kerangka ini.

Data Protection and Digital Information Act (DPDI Act) yang disahkan pada 24 Mei 2024 menjadi titik divergensi substansial hukum perlindungan data Inggris dari Uni Eropa. Persyaratan DPO (Data Protection Officer) dilonggarkan menjadi "Senior Responsible Individual", persyaratan DPIA (Data Protection Impact Assessment) disederhanakan, model persetujuan cookie dialihkan ke sistem opt-out, dan dasar "legitimate interests (kepentingan sah)" diperluas. Dalam transfer data internasional pun, dimungkinkan persetujuan berdasarkan faktor yang lebih luas, bukan standar ketat "pada dasarnya setara".

Pemerintah Inggris memposisikan pendekatan ini sebagai "rezim data terdepan di dunia" dan "dividen Brexit". John Edwards, Information Commissioner (menjabat sejak Januari 2022, mantan Privacy Commissioner Selandia Baru), menyatakan bahwa "hukum perlindungan data bukanlah hambatan yang menghalangi inovasi, melainkan kerangka kerja yang memungkinkan inovasi yang dapat dipercaya." Namun Jim Killock, Direktur Eksekutif Open Rights Group selaku lembaga advokasi privasi, memperingatkan adanya pengikisan perlindungan data dan kedaulatan Inggris.

Tarik Tambang dengan EU——Perpanjangan Keputusan Kecukupan dan Kerentanannya

Batasan terbesar kedaulatan data Inggris adalah ketergantungan pada keputusan kecukupan (adequacy decision) dari UE.

Komisi UE mengadopsi keputusan kecukupan untuk Inggris pada 28 Juni 2021, yang mengizinkan transfer bebas data pribadi dari EEA ke Inggris. Keputusan ini mencakup klausul sunset empat tahun yang seharusnya berakhir pada 27 Juni 2025, namun diperpanjang pada Juni 2025. European Data Protection Board (EDPB) mengakui perubahan yang dilakukan Inggris melalui undang-undang DPDI, namun menyatakan pendapat bahwa "kesetaraan substansial tetap terjaga."

Namun risiko kedaluwarsa belum hilang. Pelonggaran persyaratan DPO dalam undang-undang DPDI, penyederhanaan DPIA, reformasi persetujuan cookie, dan perluasan standar transfer internasional merupakan sumber kekhawatiran dari pihak UE. Preseden tantangan hukum oleh Max Schrems yang membatalkan EU-US Safe Harbor (Schrems I, 2015) dan Privacy Shield (Schrems II, 2020) berpotensi diterapkan pula pada keputusan kecukupan Inggris. Apabila keputusan kecukupan tersebut berakhir, transfer data antara Inggris dan UE harus bergantung pada SCC (Klausul Kontrak Standar) atau BCR (Aturan Perusahaan yang Mengikat), yang akan menimbulkan biaya kepatuhan senilai miliaran pound per tahun bagi perusahaan-perusahaan Inggris.

Inggris berupaya menempuh "jalan ketiga" — mempertahankan keputusan kecukupan dari UE sekaligus lebih fleksibel dibandingkan UE — namun kedua tujuan ini pada dasarnya berada dalam ketegangan satu sama lain.

Perdebatan Kedaulatan Data M365——Risiko Struktural yang Paling Serius

Kontroversi paling serius mengenai kedaulatan data Inggris adalah masalah kedaulatan data Microsoft 365 (M365).

Skala ketergantungan pemerintah Inggris pada M365 sangat luar biasa. Kabinet, Kementerian Dalam Negeri, Kementerian Pertahanan, Kementerian Pendidikan, HMRC (Her Majesty's Revenue and Customs), bahkan Parlemen Inggris sendiri menggunakan M365. NHS juga telah memigrasikan NHS Mail ke Exchange Online. Ratusan ribu pegawai pemerintah dan pekerja sektor publik menggunakan M365 sehari-hari.

Komitmen residensi data Microsoft adalah sebagai berikut. "Data pelanggan inti" untuk tenant Inggris disimpan di pusat data UK South (London) dan UK West (Cardiff). Layanan yang tercakup meliputi Exchange Online, SharePoint Online, OneDrive for Business, dan Microsoft Teams (pesan obrolan/saluran).

Namun terdapat pengecualian yang signifikan. Pertama, data telemetri, data diagnostik, data dukungan, dan beberapa operasi pemrosesan berpotensi keluar dari wilayah UK. Kedua, beberapa operasi mungkin diproses sementara di luar UK. Ketiga, layanan global seperti integrasi Bing, fitur Copilot, dan Delve tidak bersifat spesifik per wilayah.

Masalah terbesar adalah bahwa EU Data Boundary Microsoft (mulai 1 Januari 2024) tidak mencakup Inggris. Pelanggan EU/EFTA mendapatkan jaminan yang diperkuat bahwa data mereka disimpan dan diproses di dalam EU/EFTA, namun Inggris tidak termasuk. Hal ini menciptakan asimetri di mana perlindungan yang diberikan kepada pelanggan pemerintah EU tidak diberikan kepada pelanggan pemerintah Inggris.

CLOUD Act Amerika Serikat (diberlakukan 23 Maret 2018) adalah akar dari risiko struktural ini. CLOUD Act memungkinkan lembaga penegak hukum AS memaksa perusahaan teknologi yang bermarkas di AS untuk menyerahkan data, terlepas dari apakah data tersebut berada di dalam atau di luar AS. Artinya, meskipun data pemerintah Inggris disimpan di pusat data UK milik Microsoft, pemerintah AS dapat memerintahkan Microsoft untuk mengungkapkan data tersebut berdasarkan CLOUD Act.

Perjanjian Akses Data Inggris-Amerika Serikat (ditandatangani 3 Oktober 2019, berlaku Oktober 2022) adalah perjanjian bilateral pertama berdasarkan CLOUD Act. Perjanjian ini memungkinkan lembaga penegak hukum masing-masing negara untuk meminta data langsung dari perusahaan teknologi di negara mitra, namun terbatas pada kejahatan serius dan tidak dapat menargetkan warga negara pihak lain. Namun permintaan keamanan nasional (seperti Pasal 702 FISA) berada di luar cakupan perjanjian ini, sehingga badan intelijen AS berpotensi mengakses data pegawai pemerintah Inggris.

Pertanyaan mengenai kedaulatan data M365 telah diajukan di DPR maupun House of Lords Inggris. Open Rights Group telah menjalankan kampanye terkait kekhawatiran penggunaan produk Microsoft oleh pemerintah dan kedaulatan data, sementara Privacy International telah menyatakan kekhawatiran mengenai CLOUD Act dan data pemerintah.

Integrasi AI semakin memperbesar risiko. Integrasi Microsoft Copilot dengan M365 menimbulkan pertanyaan baru tentang di mana pemrosesan AI dilakukan dan data apa yang dimasukkan ke dalam model AI. Di tengah meningkatnya ketegangan geopolitik, perhatian terhadap kedaulatan digital pun semakin menguat. Pemerintahan Partai Buruh (sejak Juli 2024) telah menunjukkan minat terhadap kedaulatan digital, namun belum mengambil tindakan yang tegas terkait M365.

Keruntuhan UKCloud——Dilema Struktural Cloud Berdaulat

Peristiwa paling ikonik dalam sejarah sovereign cloud Inggris adalah keruntuhan UKCloud.

UKCloud didirikan pada tahun 2011 dan merupakan satu-satunya penyedia sovereign cloud buatan dalam negeri di Inggris. Data hanya disimpan di wilayah Inggris, dioperasikan hanya oleh warga negara Inggris, dan hanya tunduk pada hukum Inggris — itulah poin penjualannya. NHS, Kementerian Pertahanan, kepolisian, pemerintah daerah, dan pemerintah pusat adalah para pelanggannya.

Pada 24 Oktober 2022, UKCloud memasuki proses likuidasi paksa. PwC ditunjuk sebagai likuidator. Pendapatannya sekitar 40–50 juta pound, namun tidak menghasilkan keuntungan, dan kalah dalam persaingan harga melawan hyperscaler (AWS, Azure, Google). Upaya penggalangan dana tambahan dan penjualan perusahaan gagal dilakukan.

Pelajaran dari keruntuhan ini sangat jelas. Pertama, penyedia sovereign cloud berada dalam posisi yang sangat tidak menguntungkan dalam hal skala ekonomi dibandingkan hyperscaler. Kedua, proses pengadaan pemerintah Inggris cenderung mengutamakan biaya daripada kedaulatan. Ketiga, label "sovereign" saja tidak cukup sebagai faktor diferensiasi. Keempat, ada kritik bahwa pemerintah seharusnya memperlakukan UKCloud sebagai infrastruktur strategis, serupa dengan industri pertahanan.

Setelah keruntuhannya, banyak mantan pelanggan UKCloud beralih ke AWS atau Azure, yang secara ironis justru semakin memperkuat ketergantungan pemerintah pada hyperscaler.

Persyaratan Data NHS & Layanan Keuangan

NHS dan layanan keuangan merupakan area paling sensitif dalam kedaulatan data Inggris.

Data pasien NHS tunduk pada UK GDPR/DPA 2018, ditambah kewajiban kerahasiaan berdasarkan Common Law, Prinsip Caldicott (8 prinsip), serta NHS Data Security and Protection Toolkit (DSPT). Secara praktis, data NHS harus disimpan di dalam wilayah Inggris.

Kontroversi terbesar adalah Palantir Federated Data Platform (FDP). NHS England pada November 2023 memberikan kontrak selama 7 tahun senilai sekitar £330 juta (sekitar 61 miliar yen) kepada Palantir Technologies (perusahaan AS, dengan In-Q-Tel—divisi investasi CIA—sebagai investor awal). FDP bertujuan mengintegrasikan data antar organisasi NHS untuk meningkatkan efisiensi operasional dan manajemen waktu tunggu, namun menuai kritik keras sebagai bentuk penyerahan data pasien kepada perusahaan Amerika. openDemocracy dan Foxglove mengajukan gugatan hukum, sementara jajak pendapat menunjukkan ketidaknyamanan publik terhadap penanganan data NHS oleh Palantir. Dilaporkan lebih dari satu juta orang telah memilih keluar (opt-out) dari berbagi data NHS. Pihak Palantir berargumen bahwa FDP bersifat "federasi"——data tetap berada dalam infrastruktur masing-masing organisasi NHS dan tidak dipusatkan——serta menyatakan bahwa data tidak meninggalkan wilayah Inggris.

Dalam layanan keuangan, pernyataan pengawasan bersama FCA/PRA SS2/21 (mengenai outsourcing dan manajemen risiko pihak ketiga) menjadi hal yang penting. Meskipun residensi data di dalam Inggris tidak diwajibkan secara langsung, persyaratan terkait pemeliharaan kapasitas pengawasan regulasi, akses audit, dan kelangsungan bisnis menjadikan data secara substansial harus tetap berada dalam jangkauan otoritas regulasi Inggris. Financial Services and Markets Act 2023 memperkenalkan kewenangan pengawasan regulasi langsung terhadap "Critical Third Parties" (seperti AWS, Azure, Google Cloud, dan lain-lain).

Klasifikasi Keamanan Pemerintah dan Realitas Sovereign Cloud

Data pemerintah Inggris memiliki tiga tingkat klasifikasi keamanan.

OFFICIAL (termasuk OFFICIAL-SENSITIVE) mencakup sekitar 90% data pemerintah dan dapat diproses di cloud publik yang telah disertifikasi (termasuk region UK dari hyperscaler). SECRET memerlukan kontrol yang lebih ketat, dan biasanya membutuhkan infrastruktur berbasis UK serta jaminan tambahan. TOP SECRET adalah klasifikasi tertinggi, yang pada umumnya mengharuskan lingkungan air-gapped, on-premises di dalam Inggris, dan dioperasikan oleh warga negara Inggris yang memiliki izin keamanan.

14 prinsip keamanan cloud NCSC mencakup perlindungan data saat transit, perlindungan aset, isolasi antar pengguna, kerangka tata kelola, keamanan operasional, keamanan personel, pengembangan yang aman, dan keamanan rantai pasokan. NCSC telah mengevaluasi dan mempublikasikan penilaian layanan AWS, Azure, dan Google Cloud terhadap prinsip-prinsip tersebut.

Yang perlu diperhatikan adalah bahwa NCSC secara eksplisit menyatakan bahwa "lokasi fisik data sering kali kurang penting dibandingkan yurisdiksi hukum yang mengaturnya atau langkah-langkah keamanan yang melindunginya". Namun, untuk klasifikasi tertentu dan model ancaman tertentu, residensi data di dalam UK juga diakui sebagai persyaratan yang tepat.

Data pasar——pasar cloud terbesar di Eropa

Inggris adalah pasar cloud terbesar di Eropa, sekaligus pasar pusat data terbesar di Eropa.

Pasar layanan infrastruktur cloud di Inggris diperkirakan bernilai sekitar £15–18 miliar per tahun (sekitar ¥2,775 triliun–¥3,330 triliun), dengan pertumbuhan tahunan sebesar 20–25%. Pangsa pasar didominasi oleh AWS (sekitar 30–33%), Microsoft Azure (sekitar 25–28%), dan Google Cloud (sekitar 10–12%).

Pengadaan cloud pemerintah melalui kerangka G-Cloud (Crown Commercial Service) telah mencapai lebih dari £12 miliar secara kumulatif. Kapasitas pusat data Inggris melebihi 800 MW, menjadikannya yang terbesar di Eropa, dengan London sebagai hub pusat data terbesar di Eropa. Pasar keamanan siber bernilai sekitar £12–13 miliar, menempatkan Inggris di posisi ketiga dunia.

Setelah runtuhnya UKCloud, pasar sovereign cloud Inggris kini didominasi oleh region UK dari para hyperscaler, dengan pendekatan berbasis kontrol teknis dan kontraktual — bukan melalui penyedia sovereign khusus.

Prospek ke Depan——Kedaulatan Data dan Masa Depan Sovereign Cloud di Era AI

Kedaulatan data Inggris berada di titik balik di mana berbagai dinamika saling bersilangan.

Dampak Undang-Undang DPDI akan terwujud dalam beberapa tahun ke depan. Undang-undang ini disahkan pada Mei 2024, namun banyak ketentuan yang memerlukan legislasi sekunder dan masih dalam proses penyusunan pada awal 2026. Jika regulasi ke depannya semakin memperlebar kesenjangan dengan UE, mempertahankan keputusan kecukupan akan semakin sulit.

Persilangan antara AI dan kedaulatan data merupakan isu baru terbesar. Lokasi penyimpanan dan pemrosesan data pelatihan model AI, pemrosesan data sensitif saat inferensi AI, serta aliran data akibat integrasi M365 Microsoft Copilot — semua ini memperbesar permasalahan kedaulatan data. UK AI Safety Institute (didirikan November 2023) berfokus pada keamanan AI, namun titik persilangan dengan kedaulatan data juga masuk dalam cakupannya.

Masa depan sovereign cloud: meskipun UKCloud gagal, secara global investasi pada sovereign cloud terus berakselerasi. Model kemitraan seperti Thales-Google di Prancis dan T-Systems-Google di Jerman berpotensi diadopsi di Inggris. Jika pemerintah Inggris berkomitmen pada persyaratan kedaulatan, ukuran pasar berpotensi mencapai £5–8 miliar pada 2028–2030.

Gagasan "jembatan data" Inggris merupakan skenario paling optimis. Dengan mempertahankan kecukupan bersama UE sambil memanfaatkan hubungan erat dengan AS (Perjanjian Akses Data UK-AS, Five Eyes, "hubungan istimewa"), serta memperluas perjanjian transfer data dengan Jepang, Korea Selatan, Australia, dan lainnya. Jika berhasil, Inggris dapat menjadi yurisdiksi yang menarik bagi operasi data multinasional. Namun, jika Inggris dipandang berfungsi sebagai jalur pipa data dari UE ke AS — dengan perlindungan yang lemah — maka UE akan membatasi rute ini.

Masalah kedaulatan data M365 adalah tantangan struktural yang tidak akan terselesaikan dalam jangka pendek. Alternatif open source seperti LibreOffice, Nextcloud, dan Matrix terus diadvokasikan, namun hingga saat ini belum ada alternatif yang setara dengan ekosistem M365. Ketergantungan pemerintah Inggris terhadap M365 sangat dalam, dan migrasi akan sangat mahal serta disruptif. Persoalan ini secara gamblang menunjukkan bahwa kedaulatan digital bukan sekadar tantangan teknis, melainkan tantangan kompleks yang bersifat geopolitik, hukum, dan ekonomi sekaligus.

Dampak terhadap Industri

Pertama, divergensi dari EU GDPR yang disebabkan oleh Undang-Undang DPDI Inggris menciptakan ketegangan struktural antara "mendorong inovasi" dan "mempertahankan keputusan kecukupan". Perpanjangan pada Juni 2025 memberikan kelegaan, namun divergensi lebih lanjut akan meningkatkan risiko kedaluwarsa dan dapat menimbulkan biaya kepatuhan miliaran pound per tahun bagi perusahaan-perusahaan Inggris.

Kedua, masalah kedaulatan data M365 merupakan tantangan yang paling serius dan paling sulit untuk segera ditangani oleh pemerintah Inggris. Fakta bahwa EU Data Boundary Microsoft mengecualikan Inggris menciptakan perlindungan yang asimetris antara pelanggan pemerintah EU dan pelanggan pemerintah Inggris. Risiko akses data AS berdasarkan CLOUD Act dapat dimitigasi melalui langkah-langkah teknis (kunci enkripsi yang dikelola pelanggan, komputasi rahasia), namun tidak dapat dieliminasi sepenuhnya.

Ketiga, runtuhnya UKCloud membuktikan bahwa cloud berdaulat tidak dapat berkelanjutan tanpa skala ekonomi. Namun di tingkat global, model kemitraan seperti Thales-Google dan T-Systems-Google telah berhasil, dan pendekatan serupa berpotensi untuk dipertimbangkan di Inggris.

Keempat, kontrak Palantir dengan NHS (£330 juta) menunjukkan bahwa kedaulatan data bukan sekadar konsep abstrak, melainkan permasalahan nyata yang secara langsung berkaitan dengan data warga yang paling sensitif — yaitu rekam medis. Fakta bahwa lebih dari satu juta orang melakukan opt-out membuktikan bahwa kepercayaan publik menentukan keberhasilan atau kegagalan strategi kedaulatan data.

Referensi: UK Data Protection Act 2018, UK GDPR (Retained EU Law), Data Protection and Digital Information Act 2024 (Royal Assent 24 Mei 2024), Keputusan Kecukupan Komisi Eropa untuk Inggris (28 Juni 2021), US CLOUD Act (23 Maret 2018), Perjanjian Akses Data UK-AS (Ditandatangani Oktober 2019, Berlaku Oktober 2022), Panduan Keamanan Cloud NCSC & 14 Prinsip Keamanan Cloud, FCA/PRA SS2/21 Outsourcing and Third Party Risk Management, Financial Services and Markets Act 2023 (Critical Third Party Regime), NHS Data Security and Protection Toolkit, Microsoft EU Data Boundary (1 Januari 2024), Dokumentasi Residensi Data UK Microsoft, Dokumentasi Kerangka G-Cloud (Crown Commercial Service), Catatan Likuidasi UKCloud (PwC, Oktober 2022), Laporan Tahunan ICO & Pernyataan John Edwards, Kontrak NHS FDP Palantir (November 2023, £330 juta), Parliamentary Hansard (Pertanyaan Kedaulatan Data M365), Publikasi Open Rights Group, Laporan Privacy International, Pendapat EDPB tentang Kecukupan Inggris, Penilaian NCSC terhadap AWS/Azure/Google Cloud, Laporan Cloud dan Data techUK, Strategi Cloud Pemerintah Inggris (2023/2024), UK AI Safety Institute, Kemajuan Legislasi Sekunder Undang-Undang DPDI