img_head
ARTIKEL

「Cloud Computing: Hukum Positif Dan Kontraknya」

Nov15

Konten : artikel hukum
Telah dibaca : 19 Kali


Isu hukum dalam layanan cloud computing cukup kompleks dan luas, tapi umumnya dalam kontrak hukum the cloud, terdapat beberapa hal yang paling sering menjadi objek negosiasi antara customer dan supplier the cloud.

 

Tulisan ini mengelaborasi singkat kajian hukum cloud computing dan sedikit tentang traditional ICT contract yang didasarkan dari pengalaman penulis ketika menempuh studi law and technology. Perlu penulis sampaikan bahwa kajian interkoneksi hukum dan teknologi lebih kompleks dan luas karena teknologi yang dibahas tidak hanya teknologi informasi yang menjadi dasar hukum siber. 
 
What is cloud computing?
Pada dasarnya, ICT atau Teknologi Informasi dan Komunikasi mencakup teknologi cloud computing sehingga dalam pembahasannya dilakukan bersamaan (all-embracing concept). Karena terbatas jumlah kata untuk publikasi, tulisan ini fokus membahas ringkas the cloud, tanpa komparasi mendalam dengan traditional ICT project/outsourcing
 
Banyak pakar dan institusi memberikan definisi umum dari cloud computing atau dikenal juga the cloud. Ambil contoh, Christopher Millard dkk (2013) menulis cloud computing is a way of delivering computing resources as a utility service via a network, typically the Internet, scalable up and down according to user requirementsIBM menyebutnya juga “the cloud”, yaitu the delivery of on-demand computing resources—everything from applications to data centers—over the internet on a pay-for-use basis. Dari pengalaman penulis, pengertian sederhananya adalah delivery services at a distance
 
Contoh pengusaha the cloud adalah Google Apps, Dropbox, YouTube, Apple iCloud, AWS, Microsoft Azure, Facebook, ZoHo, Paypal, penyelenggara kursus online (seperti IndonesiaXedconnect, edX, coursera) dan lain sebagainya yang masing-masing menyediakan jenis layanan yang berbeda-beda tapi tetap dilakukan at a distance melalui jaringan telekomunikasi. Dalam UU 36/1999 tentang Telekomunikasi, cloud computing termasuk ruang lingkup pengertian ‘jasa telekomunikasi’ (baca Pasal 1 angka 1 dan 7). 
 
Komponen dasar teknologi informasi (IT system)
Jika diuraikan singkat, komponen dasar teknologi cloud computing terdiri dari lima komponen jaringan dan kelengkapan telekomunikasi, yaitu: software application, data, hardware, storage, network connections. Kelima komponen itu kemudian diklasifikasikan menurut kepemilikan atau kontrolnya atau WHO provide (owns/controls) WHICH component, sebagaimana tergambar, yakni:
 
Sumber:  A STACK, dokumen presentasi prof.mr.drs. C. (Kees) Stuurman
 
Pada bagan tersebut, teknologi cloud computing dapat dikelompokkan menurut kepemilikan/kontrol antara pengguna (customer) dan penyelenggara/penyedia (supplier) atas komponen di dalamnya, yaitu: SaaS, PaaS, IaaS, dan On-premise. Pada SaaS, pengguna layanan the cloud tidak perlu menyediakan lima komponen the cloud karena telah disediakan oleh supplier layanan the cloud. Maka dari itu disebut software as a service yang juga public cloud.
 
Banyak contoh layanan SaaS, di antaranya, Google Drive (pengguna hanya perlu memiliki perangkat komputer atau smartphone pribadi dengan koneksi internet, lalu bisa langsung menggunakan layanan tersebut untuk membuat, menyimpan, dan berbagi dokumen (informasi elektronik). "Hardware" pada bagan tersebut merujuk pada perangkat elektronik yang digunakan untuk menyediakan layanan the cloud, dan dalam hal ini, perangkat jaringan telekomunikasi milik Google.
 
On-premise berarti juga traditional ICT yang seluruh komponennya berada di bawah kontrol/milik penyedia layanan ICT untuk pengguna terbatas, seperti kantor dengan pusat data, dan jaringan telekomunikasi internal untuk keperluan telekomunikasi internal anggota/karyawannya sendiri (disebut private cloud), seperti sistem informasi akademik suatu kampus. 
 
Kategori IaaS (Infrastructure as a Service) adalah ketika perangkat lunak dan database masih dikontrol oleh pengguna, bukan penyelenggara cloud, seperti contohnya adalah Amazon Web Service (AWS) dengan layanan utama virtualisasi perangkat lunak hosting dan penyimpan data (juga menawarkan PaaS). Demo videonya dapat dilihat disini. Pada AWS, pengguna layanan masih memiliki dan menguasai kontrol, dalam arti dapat bebas menentukan dan meng-install app, source code, atau operating sistem, dan memiliki kontrol atas (pengaturan) datanya sendiri (raw computing resources: processing power and storage). Contoh lain adalah Verizon Collocation & Data Centers service.
 
Untuk PaaS (Platform as a Servive), pengguna layanan PaaS memiliki fleksibilitas kontrol terbatas dibandingkan IaaS. Pengguna PaaS umumnya tanpa perlu memanipulasi pada lapisan ‘virtual machines’ (VMs) sebagaimana pada IaaS, tapi dapat fokus manipulasi kode dasar (coding programming application code) yang kemudian (menentukan) untuk ditampilkan/sediakan dalam bentuk SaaS. Contoh PaaS adalah Google App Engine (bagian dari Google Cloud Platform) yang menawarkan penggunanya membangun web and mobile apps dengan beragam bahasa pemrograman, yakni: Node.js, Java, Ruby, C#, Go, Python, dan PHP. Liat video demonya  disini.
 
SaaS layanan cloud computing yang popular bagi end-user (pengguna akhir perorangan). Contoh SaaS adalah Office 365, Google Product for All (maps, youtube, gmail, drive, docs, dll), dan layanan SaaS lainnya. Pengguna SaaS hanya fokus pada penggunaan layanan the cloud yang ditawarkan, tanpa repot soal pengaturan/manipulasi application code
 
Implikasi dari pembedaan IaaS, PaaS, dan SaaS adalah risk shift (beralihnya risiko) yang kemudian menentukan roles of responsibilities dalam kontrak hukum antara penyelenggara dan pengguna the cloud. Jika on-premise, maka risiko pada supplier on-premise sendiri, baik risiko gangguan fisik atau elektronik (cyber attack, data loss, offline/continuity, dll). 
 
Saat ini, batas/kategorisasi dari bagan a stack semakin kabur, karena perusahaan IT Solutions semakin mengembangkan layanannya yang mengaburkan batas antara IaaS dan PaaS, atau SaaS, yang umumnya dikenal a hybrid IT environment/cloud app (seperti misalnya Microsoft Azure, Verizon Colocation Services, dll). Tentunya hal ini membuat penyusunan kontrak hukum antara supplier, sub-subplier di bawahnya dan end-users semakin kompleks dalam materi muatan dan struktur kontraknya. 
 
Isu Hukum dalam Kontrak Cloud
Isu hukum dalam layanan cloud computing cukup kompleks dan luas, tapi umumnya dalam kontrak hukum the cloud, hal-hal yang paling sering menjadi objek negosiasi antara customer dan supplier the cloud adalah (a) tanggung jawab dan penanganan (liability/remedies) integritas data, pusat data, dan pemulihan bencana; (b) tingkat dan macam layanan yang ditawarkan (service level); (c) keamanan, privasi dan perlindungan data pribadi; (d) lock-in and exit, hak-hak mengakhiri kontrak dan akses data kontrak/layanan berakhir; (e) klausa perubahan sepihak fitur-fitur layanan (unilateral changes); dan (f) perihal HaKI. 
 
Materi muatan dan struktur (kenvorm atau bentuk luar) kontrak antara traditional ICT project/outsourcing berbeda karena implikasi dari perbedaan karakteristik dari keduanya (active supplier v. pasive resources, ‘tailormade’ v. standardized service, degree of control, dll). Struktur kontrak SaaS umumnya terdiri dari (1) terms of services atau ToS; (2) service level agreement atau SLA; (3) Acceptable Use Policy atau AUP; dan (4) Privacy policy. Materi muatan kontrak menjadi semakin kompleks jika layanan the cloud terdiri dari kombinasi, misal SaaS didesain di PaaS, SaaS di atas IaaS, dan seterusnya. 
 
Contohnya, pembedaan antara the data controller dan the data processor kadang tidak eksplisit, maka dari itu, mekanisme hukum mengatur tentang joint-controller dengan kondisi dan syarat-syarat tentu diterapkan sehingga membuat  supplier cloud sulit berkilah jika memiliki kewajiban penuh dalam perlindungan data pribadi, keamanan data, pembangunan pusat data di wilayah yurisdiksi suatu negara, dan kewajiban lain dengan akibat hukum lain.
 
Materi muatan apa yang kerap diatur dalam SaaS, di antaranya: judul kontrak dan identitas para pihak, ketentuan umum (ruang lingkup, waktu, dll), komunikasi/tata kelola (hak audit, tarif dan cara pembayaran, kadang juga continuity), jaminan dan tanggung jawab (termasuk force majeure), kerahasiaan dan keamanan data (plus soal HaKI), pengakhiran kontrak dan konsekuensinya (termasuk pelimpahan/perubahan kontrol, severability, penyelesaian sengketa, pilihan hukum-pengadilan, pemberitahuan, penjadwalan, dan lain-lain). 
 
Penyusunan formulasi norma dalam kalimat/klausa hukum dalam kontrak juga luar biasa berbeda-beda. Berdasarkan pengalaman penulis ketika menyusun dan mengevaluasi kontrak cloud computing, sejumlah hal perlu mendapat perhatian istimewa, seperti dasar pertimbangan penyelenggaraan dan penggunaan layanan the cloud, kesepakatan dalam tahap negosiasi, batas dan sangkalan tanggung jawab, indikasi ingkar janji, istilah-istilah hukum kontrak yang berbeda-beda dan kurang dikenal antara dua/lebih rezim hukum, perihal kelalaian, kebocoran keamanan dan konsekuensinya (seperti terjadi pada Equifax bulan ini), prosedur notifikasi, dan sejumlah hal lain. Hal esensial adalah soal keamanan platform cloud computing karena beroperasi 24/7 jam/hari yang artinya risiko under acttack 24/7.  
 
Postscriptum: Terminologi dalam UU ITE dan UU Telekomunikasi
Penulis cenderung kurang yakin bahwa ketika UU Telekomunikasi tahun 1999 disusun telah ada dalam benak para pembuat UU perihal layanan cloud computing, begitu pula dengan UU ITE yang satu di antaranya lebih fokus pada transaksi elektronik dalam konteks e-commerce (dengan ciri berupa komunikasi, transaksi bisnis, layanan, plus online) dan cybercrime (tindak pidana siber/dengan IT). Walaupun demikian, dapat diargumentasikan bahwa layanan cloud computing termasuk objek pengaturan dari dua UU itu. Hal ini didasarkan pada ruang lingkup definisi hukum dari ‘jasa telekomunikasi’ dan ‘transaksi elektronik’. 
 
Jasa telekomunikasi adalah layanan pemancaran, pengiriman, dan/atau penerimaan setiap informasi melalui sistem kawat, optik, radio atau sistem elektromagnetik untuk memenuhi kebutuhan bertelekomunikasi (any information exchange) dengan menggunakan rangkaian perangkat telekomunikasi dan kelengkapannya (esensi Pasal 1 angka 1, 6 dan 7 UU 36/1999). 
 
Sedangkan pengertian ‘transaksi elektronik’ cukup luas tidak hanya sebatas pada aktivitas perdagangan (transaksi bisnis), tetapi semua jenis perbuatan hukum yang menggunakan media elektronik (Baca Pasal 1 angka 2 UU ITE). Hal ini juga membuat kekhasan/elemen e-commerce cukup terabaikan, apalagi kekhasan layanan cloud computing. Aktivitas masyarakat informasi (information society) di ruang siber sangat bermacam-macam dengan karakter dan kompleksitasnya masing-masing.  
 
Materi muatan tentang kewajiban dalam Bab Penyelenggaraan Telekomunikasi (dengan sebelas bagian/subbab) dalam UU Telekomunikasi dan bagian Penyelenggaraan Sistem Elektronik dalam UU ITE dengan peraturan delegasinya (PP 82/2012, seperti Pasal 25 dan 38) saling mengatur layanan cloud computing dengan harmonisasi dan kebulatan normanya masing-masing. Implikasinya adalah layanan cloud computing harus memenuhi semua kewajiban yang diatur dalam semua UU tersebut dan peraturan delegasinya, dimungkinkan tumpang tindih pelaksanaan peraturan, praktik yang beragam (best practice model?), dan inefisiensi.
 

*) Oleh: Daniar Supriyadi, S.H., LL.M. Meester in de rechten in Law and Technology, Tilburg University, The Netherlands.

Disadur dari: http://www.hukumonline.com