MONOLITH LAW OFFICE+81-3-6262-3248Hari kerja 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Apakah Undang-Undang Keamanan Data Tiongkok? Penjelasan tentang Langkah-langkah yang Harus Diambil oleh Perusahaan Jepang

General Corporate

Apakah Undang-Undang Keamanan Data Tiongkok? Penjelasan tentang Langkah-langkah yang Harus Diambil oleh Perusahaan Jepang

Undang-Undang Keamanan Data Tiongkok adalah sebuah peraturan hukum di bidang data yang diberlakukan di Tiongkok pada bulan September 2021. Karena berlaku untuk semua pemrosesan data yang dilakukan di dalam negeri Tiongkok, perusahaan-perusahaan yang beroperasi atau berencana untuk memasuki pasar Tiongkok perlu melakukan peninjauan dan revisi terhadap peraturan dan kebijakan manajemen yang ada. Namun, ada juga yang belum memahami undang-undang ini atau yang merasa kesulitan dalam menentukan langkah-langkah yang harus diambil.

Oleh karena itu, artikel ini akan menjelaskan gambaran umum Undang-Undang Keamanan Data Tiongkok, poin-poin penting untuk dipahami, sanksi yang ada, serta strategi yang dapat diterapkan di Jepang.

Apa itu Undang-Undang Keamanan Data Tiongkok?

Pertanyaan

Undang-Undang Keamanan Data Tiongkok (中华人民共和国数据安全法) adalah sebuah undang-undang yang berkaitan dengan keamanan data di Tiongkok, yang mulai berlaku pada bulan September 2021. Undang-undang ini diberlakukan dengan tujuan yang sama seperti Undang-Undang Keamanan Siber Tiongkok yang telah diberlakukan pada bulan Juni 2017, yaitu untuk menjaga keamanan negara.

Undang-Undang Keamanan Siber Tiongkok: Undang-undang yang bertujuan untuk melindungi keamanan ‘jaringan’ di Tiongkok

Tujuan dari Undang-Undang Keamanan Data Tiongkok dijelaskan sebagai berikut (Pasal 1):

  • Regulasi aktivitas pengelolaan data
  • Penjaminan keamanan data
  • Promosi pengembangan dan pemanfaatan data
  • Pengamanan hak dan kepentingan yang sah dari individu dan organisasi
  • Perlindungan kedaulatan, keamanan, dan kepentingan pembangunan negara

Walaupun Undang-Undang Keamanan Siber Tiongkok mengatur data elektronik, Undang-Undang Keamanan Data Tiongkok ini mencakup tidak hanya data elektronik tetapi juga data non-elektronik seperti data yang tercetak di atas kertas (Pasal 3). Undang-Undang Keamanan Data Tiongkok ini menetapkan tentang klasifikasi data, pembangunan sistem sertifikasi keamanan, serta kewajiban untuk melindungi keamanan data.

Memahami Poin-Poin Kunci dalam Undang-Undang Keamanan Data Tiongkok

Poin-Poin Kunci

Undang-Undang Keamanan Data Tiongkok memiliki berbagai ketentuan yang mungkin sulit dipahami oleh banyak orang. Di sini, kami akan menjelaskan secara rinci tentang isi dari Undang-Undang Keamanan Data tersebut melalui lima poin berikut ini.

  • Subjek Regulasi
  • Pembuatan Norma Klasifikasi dan Penilaian Data
  • Manajemen Keamanan Data
  • Regulasi Transfer Data
  • Pemeriksaan Keamanan Nasional

Objek Regulasi

Data yang diatur oleh undang-undang mencakup semua ‘pengolahan data’ yang dilakukan di dalam wilayah China. Kegiatan pengolahan data yang dilakukan di luar China juga akan dikenakan regulasi ini jika dapat merugikan keamanan nasional China, kepentingan publik, atau kepentingan warga dan organisasi.

‘Data’ merujuk pada catatan informasi yang dibuat secara elektronik atau dengan metode lain, yang penting untuk diperhatikan termasuk juga data yang tercetak di atas kertas. ‘Pengolahan data’ mencakup pengumpulan, penyimpanan, penggunaan, pengolahan, pengiriman, penyediaan, dan pengungkapan data, dan mereka yang melakukan tindakan tersebut akan disebut sebagai ‘pengolah data’.

Tentang Penyusunan Norma Klasifikasi dan Penetapan Tingkatan Data

Pengolah data harus memastikan keamanan data berdasarkan sistem perlindungan tingkatan. Sistem perlindungan tingkatan merupakan sistem evaluasi publik terhadap manajemen keamanan jaringan, di mana tindakan yang harus diambil berbeda-beda tergantung pada tingkatannya. Selain itu, data harus diklasifikasikan berdasarkan tingkat kerusakan atau kebocoran yang dapat menimbulkan kerugian besar bagi keamanan negara, kepentingan umum, individu, atau organisasi.

Klasifikasi dibagi menjadi tiga kategori: ‘Data Umum’, ‘Data Penting’, dan ‘Data Inti’. ‘Peraturan Keamanan Data Jaringan (Rancangan Permintaan Pendapat)’ mendefinisikan data penting sebagai data yang, jika terjadi pemalsuan, kerusakan, kebocoran, pengambilan atau penggunaan ilegal, dapat membahayakan keamanan negara atau kepentingan umum. Data inti adalah data yang berkaitan dengan keamanan negara, jalur hidup ekonomi nasional, kehidupan penting warga negara, dan kepentingan umum yang utama (Pasal 21).

Pada saat penulisan, belum ada daftar konkret untuk data penting atau data inti, sehingga disarankan untuk mengklasifikasikan data yang Anda tangani berdasarkan contoh data penting yang tercantum dalam ‘Peraturan Keamanan Data Jaringan (Rancangan Permintaan Pendapat)’. Penting juga untuk terus memantau daftar yang diterbitkan oleh departemen yang berwenang.

Mengenai Pengelolaan Keamanan Data

Beberapa tindakan yang diharapkan dari pengelola data meliputi:

  • Pelaksanaan pendidikan dan pelatihan keamanan data
  • Kewajiban perlindungan keamanan data berdasarkan sistem perlindungan kelas
  • Implementasi pemantauan risiko secara berkelanjutan
  • Pendirian sistem manajemen keamanan sepanjang siklus hidup data
  • Penunjukan seorang penanggung jawab
  • Tindakan teknis

Pada dasarnya, ini serupa dengan isi permintaan dari ‘Sistem Manajemen Keamanan Informasi (Japanese ISMS)’, namun perlu diperhatikan bahwa tindakan pengelolaan yang sesuai dengan klasifikasi data harus diambil.

Jika terjadi insiden, tindakan harus segera diambil dan dilaporkan kepada pengguna serta otoritas terkait. Selain itu, ketika mengolah data penting, perlu dilakukan penilaian risiko secara berkala dan menyampaikan laporan penilaian risiko kepada departemen yurisdiksi terkait.

Mengenai Regulasi Transfer Data

Transfer data, khususnya data penting, diatur secara ketat. Operator infrastruktur informasi penting yang memperoleh atau menghasilkan data penting dalam kegiatan bisnis di dalam negeri Tiongkok harus mematuhi ketentuan Undang-Undang Keamanan Siber Jepang saat melakukan transfer data lintas batas.

Infrastruktur Informasi Penting: Operator fasilitas yang, jika rusak atau bocor data, dapat mengancam keamanan nasional Jepang, seperti di bidang energi, transportasi, keuangan, dan layanan publik, dan yang kerusakannya dapat secara signifikan merugikan keamanan nasional, kehidupan masyarakat, dan kepentingan publik.

Jika Anda bukan operator infrastruktur informasi penting tetapi merupakan pemroses data, Anda harus lulus evaluasi keamanan yang dilakukan oleh otoritas sesuai dengan ‘Metode Evaluasi Keamanan Transfer Data Luar Negeri Jepang’ sebelum melakukan transfer data.

Menurut ‘Rancangan Peraturan Manajemen Keamanan Data Jaringan Jepang (Draf Permintaan Pendapat)’, bahkan untuk transfer data yang bukan data penting ke luar negeri, Anda harus lulus evaluasi keamanan otoritas dalam kasus-kasus berikut:

  • Jika data lintas batas mencakup data penting
  • Jika operator infrastruktur informasi penting atau pemroses data yang menangani informasi pribadi lebih dari satu juta orang menyediakan informasi pribadi ke luar negeri

Sebagai kewajiban bagi mereka yang mentransfer data ke luar negeri, hal-hal berikut ini harus diperhatikan:

  • Tidak menyediakan informasi pribadi ke luar negeri melebihi tujuan, cakupan, metode, jenis, dan ukuran data yang tercantum dalam laporan evaluasi dampak perlindungan informasi pribadi yang diserahkan ke departemen informasi jaringan
  • Tidak menyediakan informasi pribadi dan data penting ke luar negeri melebihi tujuan, cakupan, jenis, dan ukuran data yang ditentukan dalam evaluasi keamanan departemen informasi jaringan
  • Menerima dan memproses keluhan pengguna terkait ekspor data
  • Menyimpan catatan log terkait dan catatan persetujuan ekspor data selama lebih dari tiga tahun
  • Jika ekspor data merugikan hak dan kepentingan sah individu, organisasi, atau kepentingan publik, pemroses data harus bertanggung jawab sesuai dengan hukum

Ketika mentransfer data ke luar negeri, Anda juga wajib membuat laporan keamanan ekspor data dan melaporkannya ke departemen informasi jaringan daerah.

Mengenai Peninjauan Keamanan Nasional

Perlu diwaspadai bahwa pemerintah Tiongkok (China) memiliki ketentuan yang menyatakan bahwa aktivitas pemrosesan data yang dianggap membahayakan keamanan nasional Tiongkok akan menjalani peninjauan keamanan nasional. Hasil dari peninjauan keamanan nasional ini bersifat final dan tidak dapat digugat melalui proses administratif atau peradilan.

Sanksi Pelanggaran Undang-Undang Keamanan Data

Pria memberikan peringatan

Apabila terjadi pelanggaran terhadap Undang-Undang Keamanan Data, sanksi yang dapat dikenakan meliputi perintah perbaikan dan peringatan, denda, penghentian usaha untuk tujuan perbaikan, penghentian kegiatan terkait, hingga pencabutan lisensi usaha.

Sebagai contoh, menurut Pasal 27, 29, dan 30 dari Undang-Undang Keamanan Data Tiongkok, jika kewajiban yang diatur tidak dipenuhi, selain perintah perbaikan dan peringatan, denda antara 50.000 Yuan hingga 500.000 Yuan juga dapat dikenakan kepada penanggung jawab langsung dan penanggung jawab lainnya yang terlibat secara langsung.

Ketika melanggar Undang-Undang Keamanan Data, perlu diingat bahwa tidak hanya badan hukum yang dapat dikenai sanksi, tetapi juga individu yang bertanggung jawab secara langsung, serta staf lain yang memikul tanggung jawab langsung. Jika pelanggaran mengakibatkan sanksi, hal ini dapat berdampak besar pada seluruh organisasi, sehingga penting untuk mengambil langkah-langkah pencegahan terhadap hukum tersebut.

Langkah-langkah yang Harus Dilakukan oleh Perusahaan Jepang dalam Menghadapi Undang-Undang Keamanan Data

Pria yang sedang memberikan arahan

Undang-Undang Keamanan Data diterapkan pada semua proses pengolahan data di dalam negeri China, sehingga banyak perusahaan Jepang yang harus menyesuaikan diri. Berikut ini adalah penjelasan rinci tentang langkah-langkah yang harus dilakukan oleh perusahaan Jepang dalam menghadapi Undang-Undang Keamanan Data.

Pengelolaan Data

Pertama-tama, kita harus meninjau pengelolaan data. Di dalam perusahaan, kita perlu memastikan jenis data apa yang dihasilkan, disimpan, dan dihapus, serta memahami situasi pengelolaan data saat ini. Penting juga untuk melakukan pemetaan data terlebih dahulu untuk memeriksa klasifikasi data, situasi transfer data ke luar China, dan tindakan pengelolaan data yang ada saat ini sesuai dengan klasifikasinya.

Menurut Undang-Undang Keamanan Data China, data penting dan data inti memerlukan tindakan perlindungan yang berbeda. Oleh karena itu, mungkin diperlukan untuk mendefinisikan ulang klasifikasi kerahasiaan informasi sesuai dengan klasifikasi tersebut.

Namun, pada saat ini, tingkat keamanan untuk setiap klasifikasi masih belum jelas. Karena itu, penting untuk terus memantau katalog yang diterbitkan oleh otoritas berwenang di China karena mungkin akan ada perincian lebih lanjut di masa depan. Pada saat yang sama, akan lebih aman jika kita menetapkan tingkat keamanan yang mempertimbangkan klasifikasi tersebut, termasuk kontrol akses, autentikasi, keamanan komunikasi, dan tindakan fisik.

Selain itu, kita perlu meninjau kebijakan keamanan dan menerapkan kebijakan yang sesuai dengan klasifikasi data yang telah dipetakan.

Pelaksanaan dan Pelaporan Penilaian Risiko

Jika melalui pemetaan data ditemukan bahwa perusahaan menangani data penting, maka perlu dilakukan penilaian risiko terhadap pengolahan data tersebut. Hasil penilaian risiko juga harus dilaporkan kepada otoritas yang berwenang.

Karena penilaian risiko harus dilakukan secara berkala, penting untuk membuat aturan agar dapat dilaksanakan secara berkelanjutan.

Pendidikan Karyawan

Di China, sistem keamanan terus diperkenalkan satu demi satu. Selain itu, pengelolaan data dan penilaian risiko bukanlah sesuatu yang dilakukan sekali saja dan selesai. Oleh karena itu, perlu dilakukan peninjauan dan perbaikan secara berkala agar dapat terinternalisasi dalam perusahaan, yang berarti pendidikan karyawan juga menjadi penting.

Tidak hanya departemen hukum dan umum, tetapi juga departemen manajemen risiko perlu terlibat, sehingga kerja sama antardepartemen menjadi sangat penting. Meskipun saat ini masih ada ketidakjelasan dalam undang-undang ini, telah ada kasus di mana sanksi diterapkan karena pelanggaran, sehingga dapat dikatakan bahwa penyesuaian dengan Undang-Undang Keamanan Data adalah hal yang sangat penting.

Ciri Khas dari Tiga Undang-Undang Siber Tiongkok

Tiga Undang-Undang Siber Tiongkok merujuk pada gabungan dari ‘Undang-Undang Keamanan Siber’, ‘Undang-Undang Keamanan Data’, dan ‘Undang-Undang Perlindungan Informasi Pribadi’ yang telah diberlakukan oleh Tiongkok. Undang-Undang Keamanan Siber bertujuan untuk menghadapi serangan siber, Undang-Undang Keamanan Data bertujuan untuk menjaga keutuhan data, dan Undang-Undang Perlindungan Informasi Pribadi bertujuan untuk memperkuat keamanan informasi pribadi.

Artikel terkait: Apa itu Undang-Undang Keamanan Siber Tiongkok? Memahami Poin-Poin Penting untuk Kepatuhan[ja]

Walaupun masing-masing memiliki perbedaan, ciri khas yang menonjol dari ketiganya adalah penentuan sanksi administratif, ganti rugi kerugian sipil, dan tanggung jawab pidana terhadap pelanggaran. Selain itu, subjek yang dapat dikenai sanksi tidak hanya terbatas pada badan hukum, tetapi juga mencakup individu yang bertanggung jawab secara langsung, yang mana mereka dapat dilarang untuk terlibat dalam pekerjaan yang sama atau bahkan namanya dapat dimasukkan dalam daftar pelanggar yang diterbitkan oleh negara.

Kesimpulan: Perlu Perhatian dan Respons Cepat terhadap Regulasi Data di Tiongkok

Undang-Undang Keamanan Data Tiongkok adalah hukum yang diterapkan pada pengolahan data di Tiongkok, yang mengatur tentang klasifikasi data, penilaian risiko, dan perlindungan berdasarkan tingkatan. Berbagai undang-undang telah diterbitkan, termasuk Undang-Undang Keamanan Siber, Undang-Undang Perlindungan Informasi Pribadi, dan Peraturan Manajemen Kerentanan Keamanan Produk Internet, sehingga respons yang sesuai dengan undang-undang tersebut sangatlah penting.

Meskipun ada bagian yang belum jelas, seperti belum dikonkretisasi untuk tingkat keamanan berdasarkan klasifikasi, ada kasus di mana denda telah dikenakan karena pelanggaran, sehingga respons terhadap undang-undang ini tidak dapat diabaikan. Sangat penting untuk memperhatikan regulasi hukum Tiongkok dan mengambil tindakan yang dapat dilakukan saat ini.

Jika Anda sedang atau berencana untuk mengembangkan bisnis di Tiongkok, kami menyarankan untuk berkonsultasi dengan pengacara yang menguasai hukum Tiongkok.

Panduan Tindakan oleh Kantor Kami

Kantor Hukum Monolith adalah firma hukum yang memiliki pengalaman kaya dalam IT, khususnya internet dan hukum. Dalam beberapa tahun terakhir, bisnis global semakin berkembang, dan kebutuhan akan pemeriksaan hukum oleh para ahli semakin meningkat. Kantor kami menyediakan solusi terkait layanan hukum internasional, termasuk untuk negara-negara seperti Cina, Amerika Serikat, dan negara-negara Uni Eropa.

Bidang layanan Kantor Hukum Monolith: Hukum Internasional & Bisnis Luar Negeri[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke atas