London telah menjadi episentrum pertempuran global untuk masa depan privasi digital. Dengan diadopsinya Online Safety Act 2023 (OSA) dan usulan revisi baru-baru ini pada Investigatory Powers Act (IPA) — yang dijuluki “Snoopers’ Charter” atau “Piagam Pengintai” oleh para pengkritiknya —, pemerintah Inggris mengklaim hak untuk memberlakukan kewajiban pengawasan tepat di jantung komunikasi pribadi. Titik puncaknya adalah kekuasaan yang diberikan kepada regulator OFCOM untuk mengharuskan platform menyebarkan “teknologi terakreditasi” untuk mendeteksi materi eksploitasi dan pelecehan seksual anak (CSEA) atau terorisme, termasuk di dalam komunikasi terenkripsi end-to-end.
Bagi platform digital besar, pesan Westminster tidak ambigu: entah mereka memfasilitasi akses negara ke infrastruktur mereka, atau mereka menghadapi denda hingga 10% dari pendapatan global mereka. Tanggapannya langsung: layanan seperti Signal dan WhatsApp secara terbuka mengancam akan menarik diri dari pasar Inggris, menolak untuk mengkompromikan keamanan pengguna mereka untuk memuaskan satu yurisdiksi. Argumen teknis sulit dibantah: tidak ada kunci utama (master key) yang disediakan semata-mata untuk aktor yang sah. Pintu terbuka untuk penegakan hukum, berdasarkan desain, merupakan pintu terbuka bagi penjahat dunia maya dan layanan intelijen asing.
Model bisnis platform besar: hambatan struktural terhadap Zero-Knowledge
Penolakan platform besar untuk mengadopsi enkripsi jenis Zero-Knowledge tidak dijelaskan oleh ketidakmampuan teknis, tetapi oleh ketidakcocokan ekonomi mendasar. Perusahaan seperti Alphabet dan Meta mengandalkan model monetisasi berdasarkan pengumpulan data perilaku secara sistematis. Model ini, kebetulan, secara implisit diakui oleh Digital Markets Act (DMA) Uni Eropa, yang mengklasifikasikan “penjaga gerbang” (gatekeepers) ini sebagai entitas yang posisi dominannya justru didorong oleh akumulasi data pada skala yang tak tertandingi. Bagi aktor-aktor ini, mengadopsi arsitektur Zero-Knowledge berarti merampas sistem periklanan mereka dari identifikasi pengguna berkelanjutan yang merupakan bahan bakarnya. Oleh karena itu, ini bukan pilihan teknis, melainkan tarik-ulur antara privasi pengguna dan kelangsungan model bisnis mereka.
Risiko strategis: Ancaman “Harvest Now, Decrypt Later”
Di luar perdebatan tentang privasi, melemahnya enkripsi menimbulkan masalah keamanan nasional dengan ruang lingkup yang sama sekali berbeda. Strategi yang dikenal sebagai Harvest Now, Decrypt Later (HNDL) melibatkan musuh negara yang mencegat dan menyimpan volume besar komunikasi terenkripsi saat ini, untuk mengantisipasi kemampuan dekripsi kuantum di masa depan. Dengan melemahkan standar enkripsi saat ini, kerangka legislatif Inggris secara objektif memfasilitasi jenis operasi ini terhadap komunikasi pemerintah, diplomatik, atau industri.
Justru dalam konteks defisit kepercayaan inilah ekosistem seperti Arpokrat memperoleh relevansi operasional. Dengan beroperasi di bawah rezim Undang-Undang Perlindungan Data Federal Swiss (FADP), dengan arsitektur yang tidak mengumpulkan pengidentifikasi sipil, Arpokrat menawarkan terobosan teknis dari infrastruktur yang tunduk pada yurisdiksi Inggris — menjamin bahwa sistem tetap kebal (tuli) terhadap perintah yang diramalkan oleh OSA.
Konflik norma: OSA dan IPA melawan hukum Eropa
Analisis hukum atas hak prerogatif negara Inggris yang baru mengungkapkan benturan langsung dengan fondasi hukum Eropa mengenai perlindungan data dan kerahasiaan komunikasi.
OSA melawan larangan pengawasan yang digeneralisasi
Pasal 121 OSA memperkenalkan kemungkinan bagi OFCOM untuk mengeluarkan perintah yang memaksa platform untuk menerapkan pemindaian sisi klien (client-side scanning). Langkah ini secara langsung bertentangan dengan prinsip, yang berasal dari hukum Eropa dan termasuk dalam yurisprudensi CJEU, yang melarang kewajiban pengawasan umum. Dengan memaksakan “kerentanan berdasarkan desain” (vulnerability by design), hal itu juga menempatkan perusahaan dalam situasi serba salah: dengan melemahkan keamanan mereka untuk mematuhi mandat negara, mereka gagal dalam kewajiban mereka untuk menjamin tingkat keamanan yang sesuai dengan pemrosesan, sebagaimana diabadikan dalam Pasal 32 GDPR.
Arahan ePrivacy dan kerahasiaan komunikasi
Pemindaian pesan pribadi bertentangan langsung dengan Pasal 5, paragraf 1, dari Arahan 2002/58/EC (ePrivacy), yang mewajibkan Negara Anggota untuk menjamin kerahasiaan komunikasi elektronik dan melarang segala bentuk intersepsi atau pengawasan tanpa persetujuan eksplisit dari pengguna yang bersangkutan.
Technical Capability Notices dan memblokir pembaruan keamanan
Di bawah rezim IPA 2016, pemerintah Inggris kini bermaksud menggunakan Technical Capability Notices (TCN) untuk memblokir pembaruan keamanan sebelum disebarkan. Mekanisme ini menciptakan konflik yang tidak dapat diselesaikan dengan kewajiban, yang ditetapkan oleh Pasal 32 GDPR, untuk memastikan keamanan berkelanjutan dari sistem pemrosesan — sebuah kewajiban yang justru membutuhkan kemampuan untuk menerapkan tambalan (patches) tanpa penundaan atau campur tangan eksternal.
Risiko kepatuhan bagi perusahaan yang beroperasi di Eropa
Revisi pada IPA bertujuan untuk memaksa perusahaan agar memberi tahu pemerintah Inggris tentang modifikasi teknis apa pun yang memengaruhi keamanan, sebelum implementasinya, sehingga memberikannya hak veto atas pengembangan produk. Campur tangan ini menciptakan ketidakamanan hukum yang cukup besar bagi pemasok yang beroperasi di pasar Eropa: kecukupan Inggris terhadap hukum Eropa — yang sudah rapuh — dapat dipertanyakan jika Inggris tidak lagi menjamin perlindungan yang secara substansial setara dengan GDPR. Transfer data ke Inggris berdasarkan kerangka kerja baru ini karenanya kemungkinan akan membuat perusahaan terkena sanksi berdasarkan GDPR.
Pertahanan melalui kemustahilan teknis: prinsip Zero-Knowledge sebagai perisai hukum
Yurisprudensi internasional, dikonsolidasikan oleh putusan Schrems I dan Schrems II dari CJEU, telah menetapkan prinsip yang menentukan: satu-satunya pengamanan yang kuat terhadap pengawasan yang tidak proporsional adalah kemustahilan teknis untuk mengaksesnya. Arsitektur Zero-Knowledge menerapkan prinsip ini dalam tiga lapisan perlindungan:
- Tidak adanya hak asuh (Absence of custody): karena platform tidak memegang kunci dekripsi, setiap perintah untuk memindai pesan secara teknis tidak dapat dijalankan;
- Kedaulatan sistem operasi: kontrol ArpokratOS menghilangkan telemetri yang memberi makan pengumpulan intelijen di tingkat perangkat;
- Jangkar yurisdiksi Swiss: dengan menghosting infrastrukturnya di Swiss, Arpokrat beroperasi di bawah rezim hukum yang mensyaratkan permintaan bantuan hukum timbal balik yang diindividualisasikan dan beralasan, menetralkan eksekusi otomatis pemindaian massal yang diramalkan oleh OSA.
Kesimpulan
Ketentuan OSA dan revisi IPA tidak hanya menjadi ancaman bagi privasi individu: mereka mewakili pelanggaran kepastian hukum untuk semua data Eropa yang melewati infrastruktur yang tunduk pada yurisdiksi Inggris. Dengan melegitimasi pelemahan enkripsi atas nama keselamatan publik, London secara paradoks memaparkan sekutu dan mitra dagangnya pada risiko spionase industri dan negara yang arsitektur Zero-Knowledge dirancang secara tepat untuk dicegah.
Integritas komunikasi profesional dan kelembagaan kini menuntut tanggapan struktural: migrasi menuju ekosistem terdesentralisasi yang menjamin kedaulatan digital, dari tingkat kode hingga jangkar yurisdiksi.