Kedaulatan data versus residensi data: Apa bedanya?

Perbedaan inti adalah bahwa kedaulatan data adalah konsep hukum dan residensi data adalah kategori geografis. Namun, kedua konsep itu sangat terkait.

Tempat tinggal data sering kali menentukan kedaulatan data. Misalnya, jika sebuah bisnis menyimpan data di pusat data di Irlandia, maka data tersebut berada di Irlandia. Karena data tersebut berada di Irlandia, maka Irlandia memiliki kedaulatan atas data tersebut. Bisnis harus mematuhi undang-undang perlindungan data, undang-undang privasi data, dan persyaratan peraturan lainnya yang diamanatkan oleh pemerintah Irlandia.

Meskipun demikian, residensi bukan satu-satunya faktor dalam menentukan siapa yang memiliki yurisdiksi atas data. Faktor-faktor lain, seperti di mana data awalnya dikumpulkan atau siapa yang berhubungan dengan data tersebut, juga dapat berperan.

Kedaulatan data dan residensi data merupakan konsep tata kelola data yang penting bagi organisasi saat ini. Bisnis mengumpulkan dan memproses lebih banyak data dibandingkan sebelumnya, dan mereka sering menggunakan komputasi awan dan aplikasi perangkat lunak sebagai layanan (SaaS) untuk melakukannya.

Hasilnya adalah peningkatan besar dalam aliran data internasional. Bisnis dapat mengumpulkan data dari orang-orang di satu negara, menyimpannya di pusat data di negara kedua, dan memprosesnya dengan aplikasi berbasis cloud yang berjalan di negara ketiga. Data mungkin harus memenuhi persyaratan hukum yang berbeda di masing-masing lokasi ini.

Organisasi membutuhkan pegangan yang kuat tentang di mana data mereka berada di setiap titik dalam siklus hidupnya dan aturan yang harus diikuti di setiap lokal. Bisnis dapat mengalami hukuman yang signifikan karena melanggar undang-undang data lokal.

Residensi data adalah lokasi fisik data. Data dikatakan berada di negara, negara bagian, atau tempat tertentu jika pusat data, server, atau mesin lain yang menyimpan atau menangani data secara fisik berada di tempat tersebut.

Karena data bisnis dapat berpindah-pindah, data satu organisasi dapat memiliki beberapa residensi.

Katakanlah sebuah bisnis berbasis di AS, mengumpulkan data pribadi dari konsumen AS dan menyimpan data di server di AS. Jelas, data tersebut berada di AS.

Sekarang katakanlah organisasi yang sama menggunakan aplikasi SaaS untuk memproses data ini, dan server aplikasi berlokasi di Kanada. Data apa pun yang ditransfer ke server Kanada untuk diproses mungkin sekarang berada di Kanada, dan mungkin berada di bawah undang-undang data Kanada.

Persyaratan sovereign data sering kali berasal dari persyaratan kebijakan internal organisasi atau komitmen kontrak, tidak tergantung pada persyaratan peraturan apa pun untuk melokalkan data.

Namun, organisasi tidak selalu memiliki pilihan di mana data mereka berada. Beberapa wilayah memiliki undang-undang dengan persyaratan pelokalan data, yang mewajibkan organisasi menyimpan atau memproses data mereka di tempat tertentu. 

Meskipun istilah-istilah ini terkadang digunakan secara bergantian, tetapi keduanya merujuk pada dua konsep yang berbeda. Residensi data menggambarkan tempat penyimpanan data. Lokalisasi data mengacu pada persyaratan hukum untuk menyimpan data di tempat data tersebut dibuat—yaitu, menjaga data tetap lokal.

Beberapa negara memiliki persyaratan pelokalan data, di mana organisasi harus menyimpan data yang dibuat di negara tersebut di dalam negeri. Persyaratan ini dapat berkisar dari sekadar menyimpan salinan data di negara tersebut hingga larangan transfer data ke luar negara.

Kedaulatan data adalah konsep bahwa data tunduk pada hukum negara atau wilayah tempat data tersebut dihasilkan atau diproses. Jika suatu negara memiliki "kedaulatan atas" suatu data, itu berarti negara tersebut memiliki otoritas hukum atas data tersebut, termasuk untuk tujuan keamanan nasional.  

Kedaulatan data sering kali ditentukan oleh tempat tinggal. Jika data berada di suatu tempat, maka data tersebut biasanya tunduk pada hukum di tempat tersebut.

Beberapa undang-undang kedaulatan data mengikuti data ke mana pun data itu pergi, dan berlaku untuk data tersebut ke mana pun data itu berpindah. Sebagai contoh, Peraturan Perlindungan Data Umum (GDPR) Uni Eropa (UE) dapat diterapkan pada data yang disimpan atau diproses di luar UE jika data tersebut berkaitan dengan penduduk UE.

Jadi, bukan hanya tempat data berada yang bisa relevan, tetapi juga tempat pengumpulannya atau dengan siapa data tersebut terkait .

Sama halnya dengan data yang dapat memiliki beberapa tempat tinggal, data juga dapat berada di bawah beberapa kedaulatan. Misalnya, data yang berada di negara Uni Eropa harus mematuhi hukum lokal negara tersebut dan GDPR yang berlaku di seluruh Uni Eropa.

Persyaratan kedaulatan data dapat bervariasi:

• Beberapa negara membatasi jenis data sensitif yang bisa dikumpulkan perusahaan dan bagaimana perusahaan bisa mengumpulkan data tersebut.
  
  
• Beberapa negara membatasi bagaimana organisasi dapat menggunakan jenis data tertentu.
  
  
• Beberapa negara mengamanatkan kontrol keamanan siber tertentu dan mengharuskan organisasi untuk mengikuti proses tertentu jika terjadi pelanggaran data.
  
  
• Beberapa peraturan privasi memberikan banyak hak kepada subjek data atas data mereka, termasuk kemampuan untuk menghapusnya.

Kegagalan untuk mematuhi undang-undang data setempat dapat menyebabkan denda atau hukuman hukum lainnya. Hal ini juga dapat menyebabkan kerusakan reputasi. Jika sebuah organisasi melanggar peraturan privasi data, pelanggan dapat mengalihkan bisnis mereka ke tempat lain. 

Persyaratan residensi data dan kedaulatan data dapat membentuk keputusan organisasi tentang jenis data yang dikumpulkannya, cara organisasi menggunakan data, dan infrastruktur TI yang dibangunnya.

Saat ini, organisasi mengumpulkan lebih banyak jenis data (data pelanggan, data operasional, data transaksional) dari lebih banyak sumber data (aplikasi web, sistem bisnis, perangkat Internet of Things) di seluruh dunia. Banyak organisasi menggunakan layanan cloud untuk penyimpanan data, pemrosesan, analisis, dan beban kerja utama lainnya.

Ketika data berpindah melalui infrastruktur TI yang terhubung dengan cloud, data tersebut dapat melintasi banyak batas. Ke mana pun data berpindah, data tersebut dapat tunduk pada undang-undang baru. Saat bekerja sama dengan penyedia layanan cloud, organisasi perlu mengetahui ke mana data mereka disimpan, dicadangkan, dan diproses.

Organisasi dapat memilih untuk bekerja sama dengan penyedia cloud publik yang memiliki infrastruktur di tempat yang sama dengan organisasi. Beberapa organisasi mengandalkan cloud privat dengan perangkat keras yang ditempatkan di tempat yang mereka butuhkan.

Banyak organisasi menggunakan pendekatan multicloud hybrid, menggunakan beberapa lingkungan dan penyedia cloud publik dan privat. Pendekatan hybrid ini dapat membantu organisasi membangun infrastruktur yang dibutuhkan untuk mematuhi undang-undang data yang berbeda di lokasi yang berbeda.

Kompleksitas residensi dan kedaulatan data di cloud telah mengarah pada pengembangan cloud berdaulat, sebuah jenis komputasi cloud yang dirancang untuk membantu organisasi mematuhi persyaratan hukum dan peraturan di berbagai wilayah.

Beberapa organisasi memilih sistem data lokal daripada penyimpanan awan dan pemrosesan. Menyimpan data di lokasi dapat membantu mengurangi masalah kepatuhan tertentu, tetapi pengaturan ini juga bisa jadi mahal dan kurang dapat diskalakan dibandingkan awan.

Beberapa negara mengamanatkan bahwa organisasi mengambil langkah-langkah tertentu untuk mengamankan data, seperti menerapkan kontrol akses khusus dan teknologi deteksi ancaman.

Meskipun mencegah akses tidak sah ke informasi sensitif sudah menjadi prioritas bagi sebagian besar organisasi, residensi dan kedaulatan data dapat menentukan langkah-langkah keamanan data spesifik yang harus mereka ambil. 

Beberapa undang-undang data menentukan apa yang dapat dilakukan organisasi dengan data yang mereka miliki.

Sebagai contoh, beberapa undang-undang melarang penggunaan data sensitif kecuali jika ada ketentuan khusus yang membatasi. Beberapa undang-undang memberikan hak yang cukup besar kepada orang-orang atas data pribadi mereka, termasuk hak untuk menghapusnya jika diminta.

Organisasi yang tunduk pada undang-undang ini harus menerapkan mekanisme untuk memastikan bahwa data digunakan dengan benar dan konsumen dapat menggunakan hak mereka dengan mudah.  

Residensi data dan kedaulatan dapat berimplikasi pada beban kerja kecerdasan buatan (AI) dan machine learning (ML).

Beberapa negara membatasi penggunaan AI pada jenis data tertentu. Misalnya, Undang-Undang AI Uni Eropa melarang hal-hal seperti sistem penilaian sosial dan sistem AI yang mengeksploitasi kerentanan tertentu, seperti kerentanan karena usia atau disabilitas.

Selain itu, beberapa organisasi saat ini membangun model AI mereka sendiri dari awal. Banyak yang menggunakan sistem AI dari penyedia pihak ketiga, yang dihosting di cloud. Sistem ini dapat memperkenalkan kompleksitas yang sama dengan layanan cloud lainnya

Kekhawatiran tentang penggunaan AI yang aman telah meningkatkan minat terhadap AI yang berdaulat—yaitu, upaya yang dilakukan oleh negara-negara untuk mengembangkan sistem AI mereka sendiri dan mengatur AI di dalam perbatasan negara mereka.

Alat tata kelola AI dapat membantu organisasi mendapatkan lebih banyak visibilitas ke dalam dan kontrol atas bagaimana dan di mana AI diterapkan di tumpukan TI mereka. Peningkatan visibilitas dan kontrol ini memposisikan organisasi untuk memastikan bahwa aplikasi AI dan ML mereka memberikan nilai sambil mematuhi peraturan yang relevan.

Penafian: Klien bertanggung jawab untuk memastikan kepatuhan terhadap semua hukum dan peraturan yang berlaku. IBM tidak memberikan nasihat hukum atau menyatakan atau menjamin bahwa layanan atau produknya akan memastikan bahwa klien mematuhi hukum atau peraturan apa pun.