MONOLITH LAW OFFICE+81-3-6262-3248Hari kerja 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Apakah Undang-Undang Keamanan Siber Tiongkok? Penjelasan Poin-Poin Penting untuk Mematuhi

General Corporate

Apakah Undang-Undang Keamanan Siber Tiongkok? Penjelasan Poin-Poin Penting untuk Mematuhi

Berdasarkan “Proyek Khusus: Survei Tren ‘Ekspansi ke Cina’ Perusahaan Jepang (2022)” dari Japanese Teikoku Databank yang dapat dilihat di sini[ja], terdapat 12.706 perusahaan Jepang yang telah berekspansi ke Cina. Jumlah perusahaan yang terlibat dalam bisnis terkait Cina bisa jadi lebih banyak dari itu. Di Cina, “Undang-Undang Keamanan Siber Cina” telah diberlakukan pada tahun 2017.

Sebagai akibatnya, perusahaan yang mengembangkan bisnis di Cina harus melakukan revisi peraturan sesuai dengan hukum dan mengimplementasikan tindakan perlindungan teknis. Namun, mungkin ada beberapa di antara Anda yang tidak mengetahui undang-undang tersebut atau cara untuk mematuhi ketentuannya.

Oleh karena itu, artikel ini akan menjelaskan gambaran umum “Undang-Undang Keamanan Siber Cina”, subjek yang diatur, serta langkah-langkah yang harus diambil. Bagi Anda yang sedang atau berencana untuk mengembangkan bisnis di Cina, silakan gunakan informasi ini sebagai referensi.

Gambaran Umum Undang-Undang Keamanan Siber Tiongkok

Wanita yang memberikan petunjuk

Undang-Undang Keamanan Siber Tiongkok (网络安全法) adalah undang-undang Tiongkok yang mulai berlaku pada bulan Juni 2017. Tujuan dari undang-undang ini dijelaskan dalam Pasal 1 sebagai berikut:

  • Menjamin keamanan jaringan
  • Melindungi kedaulatan siber, keamanan negara, dan kepentingan umum
  • Memproteksi hak dan kepentingan yang sah dari warga negara, badan hukum, dan organisasi lainnya
  • Mendorong pengembangan informatisasi ekonomi dan sosial

Jaringan didefinisikan sebagai “sesuatu yang terdiri dari komputer atau terminal informasi lainnya serta peralatan terkait, yang mengumpulkan, menyimpan, mengirim, bertukar, dan memproses informasi sesuai dengan aturan dan program tertentu (Pasal 76)”, yang tidak hanya mencakup internet tetapi juga intranet.

Undang-Undang Keamanan Siber Tiongkok berbeda dari Regulasi Perlindungan Data Umum Uni Eropa (GDPR) dan Undang-Undang Perlindungan Informasi Pribadi Jepang, karena tidak hanya bertujuan untuk ‘melindungi informasi pribadi dan organisasi’, tetapi juga ‘melindungi keamanan negara dan kepentingan umum Tiongkok’. Undang-undang ini menetapkan pelaksanaan perlindungan tingkat keamanan siber, kepatuhan terhadap kepatuhan, dan klarifikasi hak dan kewajiban bagi para pelaku usaha yang terkait.

Ada juga undang-undang lain yang berkaitan dengan keamanan, yaitu Undang-Undang Keamanan Data Tiongkok.

Artikel terkait: Apa itu Undang-Undang Keamanan Data Tiongkok? Penjelasan Langkah yang Harus Diambil oleh Perusahaan Jepang[ja]

Subjek Regulasi Undang-Undang Keamanan Siber Tiongkok

Aturan

Perusahaan Jepang akan menjadi subjek dari Undang-Undang Keamanan Siber Tiongkok dalam kasus-kasus berikut:

  • Ada penanganan informasi di dalam Tiongkok
  • Transfer informasi dari Tiongkok ke Jepang

Meskipun perusahaan tersebut berbasis di Jepang, jika kasus-kasus di atas berlaku, maka perusahaan tersebut akan menjadi subjek hukum. Selain itu, subjek yang diatur termasuk ‘operator jaringan’ dan ‘operator fasilitas infrastruktur informasi kritis’.

Operator jaringan adalah pemilik atau pengelola jaringan, serta penyedia layanan jaringan.

Operator fasilitas infrastruktur informasi kritis adalah mereka yang mengoperasikan fasilitas yang, jika mengalami kerusakan atau kebocoran data, dapat secara signifikan merugikan keamanan nasional, kehidupan masyarakat, atau kepentingan umum dalam bidang yang berpotensi mengancam keamanan negara, seperti energi, transportasi, keuangan, dan layanan publik.

Isi dari Undang-Undang Keamanan Siber Tiongkok

Foto wanita

Undang-Undang Keamanan Siber Tiongkok menetapkan kewajiban-kewajiban sebagai berikut:

  • Pembuatan klasifikasi keamanan siber
  • Kepatuhan terhadap standar wajib negara
  • Registrasi menggunakan nama asli yang diperlukan
  • Kewajiban bagi operator infrastruktur informasi kritikal
  • Pembangunan sistem manajemen dan respons

Berikut ini, kami akan menjelaskan masing-masing detailnya.

Penetapan Tingkat Keamanan Siber

Pasal 21 dari Undang-Undang Keamanan Siber Tiongkok menetapkan ‘sistem perlindungan tingkat’ yang harus dipatuhi oleh operator jaringan, dan perusahaan atau organisasi yang memiliki jaringan di Tiongkok harus memperoleh sertifikasi perlindungan tingkat.

Sistem perlindungan tingkat adalah sistem penilaian resmi terhadap manajemen keamanan jaringan. Ruang lingkup yang menjadi sasaran meliputi:

  • Infrastruktur jaringan
  • IoT (Internet of Things)
  • Sistem kontrol industri
  • Situs internet skala besar dan pusat data
  • Platform layanan publik

Dalam sistem perlindungan tingkat, sistem informasi diklasifikasikan ke dalam lima tingkat berdasarkan skala kerusakan dan dampak yang ditimbulkan ketika terjadi kerusakan.

Tingkat kerusakan yang dialami objek
Kerusakan umumKerusakan seriusKerusakan sangat serius
Warga negara dan badan hukum, dll.Tingkat 1Tingkat 2Tingkat 3
Ketertiban sosial & kepentingan publikTingkat 2Tingkat 3Tingkat 4
Keamanan negaraTingkat 3Tingkat 4Tingkat 5

Definisi untuk masing-masing tingkat adalah sebagai berikut:

TingkatDefinisi
Tingkat 1Jaringan umum yang jika rusak, akan merugikan hak dan kepentingan hukum warga, badan hukum, dan organisasi lainnya, namun tidak berdampak pada keamanan negara, ketertiban sosial, atau kepentingan publik
Tingkat 2Jaringan umum yang jika rusak, akan menyebabkan kerugian serius pada hak dan kepentingan hukum warga, badan hukum, dan organisasi lainnya, atau membahayakan ketertiban sosial dan kepentingan publik, namun tidak berdampak pada keamanan negara
Tingkat 3Jaringan penting yang jika rusak, akan menyebabkan kerugian sangat serius pada hak dan kepentingan hukum warga, badan hukum, dan organisasi lainnya, atau membahayakan keamanan negara
Tingkat 4Jaringan sangat penting yang jika rusak, akan sangat merugikan ketertiban sosial dan kepentingan publik, atau menyebabkan kerusakan sangat penting pada keamanan negara
Tingkat 5Jaringan yang sangat penting yang jika rusak, akan menyebabkan kerugian sangat serius pada keamanan negara

Untuk setiap klasifikasi ini, telah ditetapkan standar keamanan informasi yang harus dipatuhi. Operator jaringan umumnya diterapkan tingkat 2 atau lebih, sedangkan operator infrastruktur informasi kritis diterapkan tingkat 3 atau lebih.

Untuk mendapatkan tingkat, operator harus mengajukan tingkat secara mandiri kepada otoritas, namun pada akhirnya perlu mendapatkan persetujuan dari Departemen Keamanan Publik. Selain itu, dalam sistem perlindungan tingkat, tingkat 2 atau lebih harus menerima evaluasi dari lembaga penilaian. Perlu diwaspadai bahwa pelanggaran terhadap sistem perlindungan tingkat dapat mengakibatkan denda.

Kepatuhan terhadap Standar Wajib Negara

Penyedia produk dan layanan internet diwajibkan untuk mematuhi standar wajib negara (Pasal 22). Penyedia tidak boleh menginstal program jahat dalam layanannya.

Selain itu, jika penyedia menemukan cacat, kerentanan, atau risiko lain dalam produk atau layanannya, mereka harus segera mengambil tindakan, memberitahukan pengguna, dan melaporkan kepada otoritas terkait.

Pada bulan September 2021 (Reiwa 3), telah diberlakukan ‘Peraturan Pengelolaan Kerentanan Keamanan Produk Internet (网络产品安全漏洞管理规定)’ yang ditujukan untuk operator jaringan, sehingga penting untuk merujuk dan mematuhi peraturan ini juga.

Registrasi Nama Asli Diperlukan

Ketika menyediakan layanan koneksi jaringan, prosedur koneksi jaringan untuk telepon tetap dan seluler, layanan berbagi informasi, serta layanan pesan instan kepada pengguna, diwajibkan untuk melakukan registrasi nama asli pengguna. Jika pengguna tidak melakukan registrasi nama asli, penyedia layanan tidak boleh memberikan layanannya.

Selain itu, operator jaringan juga memiliki kewajiban untuk memeriksa apakah informasi yang disiarkan oleh pengguna tidak melanggar hukum.

Kewajiban bagi Operator Fasilitas Infrastruktur Informasi Penting

Operator fasilitas infrastruktur informasi penting tidak hanya diwajibkan untuk melaksanakan tindakan keamanan yang diberlakukan kepada operator jaringan, tetapi juga perlu melakukan tindakan-tindakan berikut ini:

  • Melakukan backup sistem dan database secara berkala
  • Menyusun rencana penanganan insiden keamanan
  • Evaluasi keamanan tahunan
  • Lokalisasi data

Lokalisasi data: Proses penyimpanan dan pengolahan data di dalam batas negara tempat data tersebut dihasilkan

Pada bulan September 2021, ‘Peraturan Perlindungan Keamanan Fasilitas Infrastruktur Informasi Penting’ telah diberlakukan, yang lebih lanjut menetapkan pengelolaan, sertifikasi, dan kewajiban operator fasilitas infrastruktur informasi penting, sehingga perlu juga untuk dirujuk.

Pembangunan Sistem Manajemen dan Respons

Beberapa hal yang diminta dari operator jaringan termasuk yang berikut ini (Pasal 21).

  • Pembuatan sistem manajemen keamanan dan prosedur operasional
  • Penetapan individu yang bertanggung jawab atas keamanan jaringan
  • Penyusunan rencana respons terhadap insiden keamanan dan pengembangan tindakan teknis
  • Penerapan teknologi pemantauan jaringan dan penyimpanan log (minimal selama 6 bulan)
  • Klasifikasi data, serta pengamanan data penting melalui backup dan enkripsi

Ketentuan Pelanggaran Undang-Undang Keamanan Siber

Peringatan

Jika Anda melanggar persyaratan keamanan yang ditetapkan oleh sistem perlindungan tingkat, Anda akan menerima perintah koreksi dan peringatan. Jika Anda menolak perintah tersebut atau mengancam keamanan jaringan, Anda harus membayar denda antara 10.000 yuan hingga 100.000 yuan. Selain itu, denda antara 5.000 yuan hingga 50.000 yuan akan dikenakan kepada orang yang bertanggung jawab secara langsung.

Juga, jika Anda menginstal program jahat atau tidak mengambil tindakan terhadap risiko seperti cacat produk atau layanan dan celah keamanan, Anda akan menerima perintah koreksi dan peringatan, dan jika Anda menolak, Anda akan dikenakan denda.

Jumlah denda bervariasi tergantung pada isi pelanggaran, dan Anda perlu berhati-hati karena Anda mungkin diperintahkan untuk menutup situs web, mencabut izin usaha, atau menghentikan operasi bisnis. Di masa lalu, ada kasus di mana pelanggaran mengakibatkan denda dan pelaku dilarang bekerja di industri yang sama seumur hidup, sehingga dapat dikatakan bahwa tindakan pencegahan terhadap keamanan siber tidak dapat diabaikan.

Langkah-langkah yang Harus Diambil oleh Perusahaan Jepang dalam Menghadapi Undang-Undang Keamanan Siber

Pria yang memberikan arahan

Undang-Undang Keamanan Siber Tiongkok cukup kompleks, sehingga mungkin ada beberapa yang tidak tahu harus mulai dari mana. Di sini, kami akan menjelaskan langkah-langkah yang harus diambil oleh perusahaan Jepang.

Menyusun kerjasama antara departemen sistem informasi dan departemen terkait transformasi digital (DX)

Untuk mematuhi Undang-Undang Keamanan Siber Tiongkok, perlu dilakukan pembangunan proses operasional dan penyusunan atau penambahan peraturan pengelolaan informasi pribadi. Selain itu, untuk memenuhi sistem perlindungan berdasarkan kelas, tindakan teknis pada sistem perusahaan Anda tidak dapat diabaikan.

Bukan hanya departemen hukum atau administrasi yang harus menangani ini secara individual, tetapi juga perlu menyusun kerjasama dengan departemen sistem informasi dan departemen terkait DX.

Menentukan kelas keamanan yang sesuai untuk setiap sistem yang dimiliki perusahaan

Pertama-tama, lakukan penilaian kelas keamanan sistem perusahaan Anda. Sesuai dengan kelas tersebut, setiap departemen harus mengambil tindakan yang sesuai dengan keamanan siber. Departemen hukum, administrasi, dan manajemen risiko perlu meninjau dan merevisi peraturan dan operasional untuk mematuhi undang-undang, sementara departemen sistem informasi dan DX perlu menangani aspek teknis. Berikut ini adalah penjelasan tentang masing-masing tindakan yang perlu diambil.

Departemen hukum, administrasi, dan manajemen risiko

Bandingkan item yang ditetapkan dalam kelas dengan situasi pengelolaan dan sistem keamanan informasi perusahaan Anda, lalu tinjau dan tambahkan peraturan serta struktur operasional. Kemudian, pertimbangkan bagaimana menanggapi dan lakukan penyusunan atau revisi sistem yang diperlukan.

Jika kelasnya adalah kelas kedua atau lebih tinggi, Anda juga harus melaporkannya kepada otoritas. Jika perusahaan Anda dianggap sebagai operator infrastruktur informasi kritis, sertifikasi perlindungan kelas ketiga atau lebih tinggi akan diminta. Selain itu, Anda harus menghadapi banyak item yang harus ditangani, seperti kepatuhan terhadap regulasi lokalitas data, pendidikan keamanan informasi berkala untuk karyawan, dan pelatihan teknis. Jika ada kemungkinan perusahaan Anda termasuk dalam operator infrastruktur informasi kritis, akan lebih aman untuk berkonsultasi dengan penasihat hukum dan menetapkan kebijakan tindakan.

Belakangan ini, Tiongkok telah menerapkan berbagai sistem terkait keamanan. Oleh karena itu, departemen manajemen risiko perlu melakukan penanganan risiko yang sesuai dengan regulasi baru.

Departemen sistem informasi dan terkait DX

Departemen sistem informasi dan terkait DX perlu mengimplementasikan sistem perlindungan keamanan yang sesuai dengan kelasnya. Pertama, susun langkah-langkah perlindungan keamanan sistem yang ada di perusahaan Anda, dan jika ada kekurangan, integrasikan sistem yang sesuai dengan Undang-Undang Keamanan Siber.

Tidak hanya Undang-Undang Keamanan Siber, tetapi juga regulasi lokalitas data, pembatasan lintas batas, dan akses pemerintah harus diperhatikan. Pahami data apa yang ditransfer ke luar Tiongkok dan tinjau situasi pengambilan dan penyimpanan data perusahaan Anda.

Undang-Undang Keamanan Siber tidak hanya memerlukan revisi peraturan, tetapi juga tindakan perlindungan teknis, sehingga kerjasama antar departemen yang terlibat menjadi sangat penting.

Kesimpulan: Jika Anda Mengalami Kesulitan dalam Menangani Masalah Perusahaan, Konsultasikan dengan Ahli

Foto seorang pria dan wanita

Undang-Undang Keamanan Siber Tiongkok adalah sistem yang dibuat untuk keamanan nasional negara tersebut. Untuk mematuhi Undang-Undang Keamanan Siber, tidak hanya diperlukan revisi peraturan oleh departemen hukum atau administrasi, tetapi juga penerapan langkah-langkah perlindungan teknis.

Sejak diberlakukannya Undang-Undang Keamanan Siber, berbagai undang-undang terkait kepatuhan data seperti ‘Peraturan Pengelolaan Kerentanan Keamanan Produk Internet’ dan ‘Metode Pemeriksaan Keamanan Siber (sistem yang mengkonkretkan sistem pemeriksaan keamanan nasional)’ telah diberlakukan satu demi satu. Pelanggaran dapat mengakibatkan sanksi administratif seperti denda, penutupan situs web, atau pencabutan izin usaha, sehingga perlu diwaspadai. Jika Anda sedang atau berencana untuk mengembangkan bisnis di Tiongkok, kami menyarankan Anda untuk berkonsultasi dengan pengacara yang menguasai hukum Tiongkok.

Informasi Mengenai Langkah-langkah yang Diambil oleh Kantor Kami

Kantor Hukum Monolith adalah sebuah firma hukum yang memiliki kekuatan di bidang IT, Internet, dan bisnis. Kami telah menangani kasus-kasus dari berbagai negara di dunia, termasuk China, Amerika Serikat, dan negara-negara Uni Eropa. Ketika mengembangkan bisnis di luar negeri, banyak risiko hukum yang mungkin muncul, sehingga dukungan dari pengacara yang berpengalaman sangatlah penting. Kantor kami memiliki keahlian mendalam mengenai hukum dan regulasi lokal, dan bekerja sama dengan firma hukum dari berbagai negara di dunia.

Bidang layanan Kantor Hukum Monolith: Hukum Internasional & Bisnis Luar Negeri[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke atas