Berbeda dengan banyak negara lain, Amerika Serikat tidak memiliki undang-undang privasi data nasional yang komprehensif yang menangani pengumpulan dan penggunaan informasi pribadi oleh sektor swasta. Undang-undang privasi Amerika yang ada saat ini memiliki fokus yang sempit atau bersifat sektoral, mencakup isu-isu seperti privasi anak-anak, privasi terkait keuangan dan kesehatan, atau berbagai penggunaan data oleh pemerintah.
Karena tidak adanya undang-undang privasi nasional yang lebih luas dan bersifat lintas sektoral, dua puluh pemerintah negara bagian telah mengesahkan undang-undang privasi yang besar dalam beberapa tahun terakhir. Langkah-langkah tersebut berisi berbagai pembatasan pengumpulan dan penggunaan data, persyaratan pelaporan dan audit, mandat transparansi, dan peraturan lainnya. California menerapkan undang-undang negara bagian yang paling luas cakupannya melalui Undang-Undang Privasi Konsumen California (CCPA), namun negara bagian tersebut juga memiliki dua lusin undang-undang privasi dan keamanan data lainnya, yang beberapa di antaranya tumpang tindih dengan undang-undang federal. Beberapa negara bagian juga menerapkan undang-undang agresif yang spesifik pada sektor tertentu, seperti “Undang-Undang Kesehatan Saya, Data Saya” di negara bagian Washington, yang memberlakukan kewajiban dan tanggung jawab peraturan baru pada pemroses data terkait kesehatan.
Kebijakan yang berbeda-beda ini menimbulkan kebingungan dan kerumitan bagi para inovator dan konsumen, yang harus menghadapi standar berbeda dalam penanganan data, meskipun aktivitas ini pada dasarnya bersifat antarnegara. Tambal sulam ini “dengan cepat menjadi tidak dapat dikelola oleh banyak perusahaan AS†—terutama bisnis kecil—dan hal ini menimbulkan risiko tanggung jawab yang serius bagi perusahaan-perusahaan dari semua ukuran.
Meskipun ada upaya besar untuk mengatasi hal ini dalam dua sesi Kongres sebelumnya, anggota parlemen federal gagal meloloskan undang-undang privasi yang komprehensif. Kongres sekarang memiliki peluang lain dengan tindakan baru yang diperkenalkan pada tanggal 22 April oleh Rep. John Joyce (R-Pa.). “Undang-Undang Pengamanan dan Penetapan Hak dan Penegakan Seragam Konsumen atas Data” (atau Undang-Undang Data SECURE), mengusulkan kerangka kerja privasi nasional yang bersifat preemptif yang berakar pada undang-undang bipartisan yang telah disahkan di beberapa negara bagian. Tindakan tersebut mencakup beberapa hak konsumen federal yang baru, termasuk hak akses dan penghapusan, persyaratan portabilitas dan minimalisasi data, serta hak untuk tidak ikut serta tertentu terkait dengan iklan bertarget atau penjualan data pribadi. Undang-undang tersebut membebankan berbagai kewajiban pada perusahaan yang mengumpulkan data konsumen terkait hak-hak tersebut.
Undang-undang ini juga mencakup mekanisme baru di mana perusahaan dapat memilih untuk ikut serta dalam kode etik sukarela pihak ketiga yang akan disetujui oleh Departemen Perdagangan melalui konsultasi dengan Komisi Perdagangan Federal (FTC). Selama kode etik tersebut “memenuhi atau melampaui persyaratan yang relevan” dari undang-undang baru tersebut dan perusahaan-perusahaan tetap mematuhi kode etik tersebut, maka mereka diberikan praduga yang dapat dibantah terkait dengan tindakan penegakan hukum yang diajukan terhadap mereka berdasarkan undang-undang tersebut. Perusahaan juga akan mempunyai periode “penyembuhan” dimana mereka dapat memperbaiki pelanggaran sebelum tindakan penegakan hukum dilakukan terhadap mereka. Departemen Perdagangan juga diberikan wewenang baru untuk mengatasi permasalahan seputar aliran data lintas batas internasional.
Yang terakhir, usulan tersebut juga memberi FTC berbagai tanggung jawab pengawasan baru selain wewenang yang sudah dimiliki lembaga tersebut untuk mengawasi praktik-praktik yang tidak adil dan menipu. Undang-undang ini juga mempertahankan berbagai undang-undang privasi federal khusus sektor lainnya dan melengkapi rancangan undang-undang baru lainnya yang secara bersamaan diusulkan oleh Komite Jasa Keuangan DPR untuk mengatasi masalah privasi keuangan dengan cara yang lebih konsisten.
Yang penting, undang-undang privasi nasional seperti SECURE Data Act akan membantu mengatasi banyak masalah yang saat ini sedang dipertimbangkan sebagai bagian dari perdebatan kecerdasan buatan (AI) dan kebijakan keselamatan anak online. Banyak kekhawatiran yang diangkat dalam perdebatan tersebut dan usulan legislatif terkait sebenarnya adalah masalah keamanan data dan privasi. Penting juga untuk menyadari bahwa AI dapat dimanfaatkan untuk meningkatkan keamanan data dan privasi. Akan lebih masuk akal jika Kongres membuat undang-undang secara holistik untuk menangani pengumpulan dan penggunaan data daripada membuat peraturan khusus untuk sistem AI. Inilah sebabnya mengapa Undang-Undang Data AMAN yang baru mewakili langkah maju yang masuk akal bagi kebijakan teknologi nasional.
Menghindari Kesalahan Sebelumnya
Pada sesi terakhir Kongres, negosiasi mengenai Undang-Undang Hak Privasi Amerika (APRA) gagal karena beberapa ketentuan utama. Beberapa pengkritik khawatir mengenai “pendekatan kebijakan preemption” dalam undang-undang tersebut karena adanya berbagai pengecualian yang akan membuka pintu bagi peraturan negara yang luas. Ada juga kekhawatiran tentang dimasukkannya peraturan baru untuk AI dan sistem pengambilan keputusan otomatis, serta hak hukum swasta untuk bertindak (PRA) yang akan menciptakan hak litigasi berbasis pengadilan baru dan “melepaskan pengacara di setiap usaha kecil di Amerika,” menurut Pemimpin Mayoritas DPR Steve Scalise (R-La.).
Sebaliknya, para pendukung peraturan yang lebih agresif menginginkan PRA yang kuat, banyak ruang untuk melanjutkan peraturan negara bagian di atas undang-undang federal, dan peraturan AI baru yang bersifat terbuka. Para pengkritik APRA ini bersikeras bahwa peraturan AI yang lebih luas diperlukan dengan teori bahwa konsumen “hampir tidak punya cara untuk melindungi diri mereka sendiri†dari potensi bahaya terkait AI, dan mendorong dimasukkannya mandat tambahan. Pada kenyataannya, beragam undang-undang perlindungan konsumen, undang-undang hak-hak sipil, dan upaya hukum berbasis pengadilan di tingkat negara bagian dan federal sudah mencakup sistem algoritmik, sehingga peraturan tambahan tidak diperlukan dan memberatkan.
Mereka yang mendorong peraturan privasi dan AI yang lebih ekstrem tampaknya didorong oleh keinginan untuk mendekatkan Amerika ke rezim perlindungan data gaya Eropa, yang disertai dengan minimalisasi data baru dan mandat AI serta hak litigasi yang luas. Para pendukung ini juga menginginkan rezim federal yang agresif ini Selain itu hingga peraturan privasi negara dan AI yang tumpang tindih.
Pengalaman Eropa menunjukkan mengapa rezim peraturan seperti itu akan menjadi bencana yang tidak bisa diterapkan dan merugikan Amerika Serikat. Semakin banyak penelitian ekonomi menemukan bahwa undang-undang seperti Peraturan Perlindungan Data Umum (GDPR) Uni Eropa dan kebijakan terkait privasi data lainnya telah melemahkan pembentukan bisnis, persaingan, dan investasi. Platform yang lebih besar dapat menangani biaya kepatuhan yang sangat besar karena mereka memiliki sumber daya untuk mengatasi peraturan yang memberatkan, sementara perusahaan yang lebih kecil tidak. Dengan menghancurkan basis teknologi digital di benua ini melalui peraturan yang berlebihan, Eropa juga melemahkan kedudukan geopolitiknya. “Eropa telah melepaskan perannya dalam sejarah†bantah salah satu dari mereka Jurnal Wall Street kolumnis tahun lalu, dan “gagal dalam ujian era digital, tidak menghasilkan teknologi maupun perusahaan baru yang dibutuhkan abad ke-21.â€
Amerika menghindari nasib ini karena, pada pertengahan tahun 1990an, anggota parlemen federal bekerja secara bipartisan untuk merancang kebijakan digital yang seimbang dan pro-inovasi yang mendorong investasi dan persaingan. Meskipun Eropa menjadi “pecundang terbesar” karena kebijakan yang terlalu mengatur, Amerika menjadi pemimpin global dalam perdagangan digital, dan kini juga mengalami “stimulus sektor swasta secara besar-besaran” dalam sistem AI, dengan investasi swasta AS meningkat 160,2 persen sejak tahun 2024, dibandingkan dengan peningkatan sebesar 32,2 persen di Tiongkok dan hanya 7,2 persen di seluruh Eropa.
Bahaya Meningkatnya Patchwork Privasi dan Litigasi yang Mahal
SECURE Data Act menawarkan alternatif yang lebih baik dibandingkan pendekatan Eropa. RUU ini didasarkan pada elemen inti yang sama dengan yang ditemukan dalam banyak kebijakan privasi negara bagian yang telah disahkan secara bipartisan di negara bagian seperti Kentucky, Tennessee, dan Virginia. Di bawah undang-undang federal yang baru, peraturan ini dan peraturan data negara bagian lainnya akan didahulukan sehingga peraturan diterapkan secara lebih konsisten di seluruh negara. SECURE Data Act memperjelas bahwa tidak ada negara bagian, “yang boleh menetapkan, mempertahankan, atau menegakkan undang-undang, peraturan, regulasi, persyaratan, standar, atau ketentuan lain yang memiliki kekuatan dan akibat hukum,†jika undang-undang tersebut sudah tercakup dalam ketentuan undang-undang baru ini. Namun, jaksa agung negara bagian masih dapat mengajukan tuntutan berdasarkan standar undang-undang baru ini atas nama penduduknya.
Untuk lebih jelasnya, Undang-Undang Data AMAN setebal 65 halaman menciptakan kewajiban peraturan baru yang besar yang akan membebankan sejumlah biaya pada banyak perusahaan di semua sektor ekonomi. Namun undang-undang tersebut melakukan hal tersebut dengan tujuan untuk menyeimbangkan perlindungan konsumen baru dengan kebutuhan yang berkelanjutan akan inovasi dan persaingan berbasis data. Semakin ketatnya undang-undang privasi negara serta kepatuhan dan tanggung jawab baru akan mengganggu keseimbangan yang diperlukan untuk mendorong inovasi, itulah sebabnya pleno preemption adalah fitur yang paling penting dari RUU ini.
Sebuah studi pada tahun 2022 yang dilakukan oleh Information Technology and Innovation Foundation memperkirakan biaya yang terkait dengan kebijakan privasi negara akan melebihi $1 triliun selama 10 tahun, dengan setidaknya $200 miliar dari beban tersebut ditanggung oleh usaha kecil. Bahkan California, regulator privasi paling agresif di Amerika, telah mengidentifikasi beban ekonomi yang terkait dengan peraturannya. Negara bagian tersebut menyiapkan analisis dampak ekonomi tahun lalu yang mengungkapkan perluasan mandat terbaru di bawah CCPA akan mengenakan biaya sebesar $4,8 miliar selama 10 tahun dan bahwa usaha kecil akan menghadapi biaya berkelanjutan tahunan sebesar $16,377 karena peraturan baru tersebut. Angka-angka ini hampir pasti konservatif, namun beban sebesar $16.000 bagi beberapa perusahaan kecil dapat sangat mengganggu operasi mereka.
Yang penting, SECURE Data Act dengan bijak tidak memasukkan PRA, yang hanya akan memperburuk masalah litigasi berlebihan yang semakin meningkat di Amerika. Biaya gugatan hukum tumbuh sebesar tujuh persen per tahun—hampir dua kali lipat pertumbuhan PDB—antara tahun 2016 dan 2022, dengan sebagian besar uang tersebut memperkaya pengacara, bukan penggugat. Klaim-klaim sembrono yang didasarkan pada ilmu pengetahuan sampah terus membanjiri ruang sidang, melemahkan inovasi di berbagai sektor, itulah sebabnya banyak orang berpendapat bahwa, “ancaman terbesar terhadap produktivitas ekonomi adalah lingkungan hukum Amerika yang buruk.â€
Oleh karena itu, pendekatan yang diinginkan oleh sebagian pendukung privasi dalam rancangan undang-undang federal—yaitu pembatasan pengumpulan data, pembatasan undang-undang negara bagian, peraturan AI baru, dan PRA terbuka—akan melemahkan inovasi, investasi, dan pendatang baru. Hal ini tidak bisa menjadi dasar kebijakan teknologi Amerika.
Jalan ke Depan dalam Privasi
SECURE Data Act menghadirkan alternatif yang lebih unggul. Perekonomian Amerika yang berbasis data memerlukan standar perlindungan konsumen yang jelas, sederhana, dan hemat biaya yang sekaligus memastikan pasar antar negara bagian yang terbuka dan kuat tetap ada sekaligus memperkuat posisi kepemimpinan teknologi global Amerika.
Kongres perlu segera bertindak untuk memastikan keseimbangan tidak diganggu oleh aktor pemerintah lainnya. Sebagaimana dicatat dalam kesaksian R Street di hadapan Komite Energi dan Perdagangan DPR pada bulan Mei lalu, tanpa privasi federal atau kerangka AI apa pun, “Inovator AI Amerika berisiko terjepit di antara ‘efek Brussel’ dari peraturan Eropa yang terlalu bersemangat dan ‘efek Sacramento’ dari mandat negara bagian dan lokal yang berlebihan.â€
Anggota parlemen federal perlu mengambil langkah-langkah untuk mengatasi bahaya dari banyaknya peraturan yang saling bertentangan dan standar pertanggungjawaban yang memberatkan yang semakin banyak berkembang baik di dalam negeri maupun internasional. SECURE Data Act menawarkan solusi yang masuk akal untuk masalah yang berkembang ini.
