MONOLITH LAW OFFICE+81-3-6262-3248Hari Minggu 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Apakah 'Undang-Undang Perlindungan Data Peribadi China'? Penjelasan Mengenai Latar Belakang Penubuhan dan Langkah-langkah yang Perlu Diambil oleh Syarikat-syarikat Jepun

General Corporate

Apakah 'Undang-Undang Perlindungan Data Peribadi China'? Penjelasan Mengenai Latar Belakang Penubuhan dan Langkah-langkah yang Perlu Diambil oleh Syarikat-syarikat Jepun

Bagi para pegawai yang bertanggungjawab dalam bidang undang-undang di syarikat yang merancang untuk mengembangkan perniagaan di China, atau yang sudah mempunyai operasi perniagaan di sana, mungkin sering menghadapi kebimbangan mengenai perlindungan data peribadi di China.

Artikel ini akan menyediakan gambaran menyeluruh mengenai peraturan-peraturan yang perlu diketahui ketika mengembangkan perniagaan di China. Kami juga akan menjelaskan cara-cara untuk menghadapi isu ini dan poin-poin penting yang perlu ditangani oleh syarikat-syarikat Jepun. Sila gunakan artikel ini sebagai rujukan untuk memahami undang-undang perlindungan data peribadi China dan memulakan langkah-langkah perlindungan.

Latar Belakang dan Tujuan Penggubalan Undang-Undang Perlindungan Data Peribadi China

Bendera China

Sebelum ini, China tidak memiliki undang-undang yang secara menyeluruh menetapkan perlindungan data peribadi seperti Undang-Undang Perlindungan Data Peribadi Jepun. Namun, telah ada usaha untuk merangka undang-undang perlindungan data peribadi sejak dahulu, dan pada 1 November 2021, ‘Undang-Undang Perlindungan Data Peribadi China’ telah dikuatkuasakan sebagai undang-undang pertama di China yang mengatur perlindungan data peribadi secara menyeluruh.

Walaupun ‘Undang-Undang Keselamatan Siber’ dan ‘Undang-Undang Keselamatan Data’ memiliki unsur keselamatan negara yang kuat, Undang-Undang Perlindungan Data Peribadi China lebih menekankan pada perlindungan hak individu.

Kerangka Undang-Undang Perlindungan Data Peribadi China tampaknya sangat dipengaruhi oleh peraturan-peraturan negara lain yang terkini seperti ‘Peraturan Perlindungan Data Umum EU (GDPR)’. Namun, kerana terdapat perbezaan dalam aspek-aspek seperti dasar keabsahan dan hak-hak subjek data, pendekatan khusus diperlukan untuk mematuhi undang-undang ini.

Objektif Regulasi Undang-Undang Perlindungan Data Peribadi China

Sasaran

Bab ini akan menerangkan objektif regulasi undang-undang perlindungan data peribadi China.
Jika memenuhi syarat-syarat di bawah, aktiviti tersebut akan menjadi subjek regulasi, jadi perlu berhati-hati.

  • Jika tujuannya adalah untuk menyediakan barang atau perkhidmatan kepada individu di dalam China
  • Jika tujuannya adalah untuk menganalisis atau menilai tingkah laku individu di dalam China
  • Keadaan lain yang ditetapkan oleh undang-undang

Undang-Undang Perlindungan Data Peribadi China, dalam beberapa kes, tidak hanya berkuasa di dalam negeri tetapi juga dapat mempengaruhi entiti di luar negeri. Selain itu, walaupun berada di luar negeri, jika menjalankan bisnis penjualan atau analisis tingkah laku yang menargetkan ‘individu’ yang berada di China, undang-undang tersebut akan dikenakan, jadi perlu berhati-hati.

Memahami Undang-Undang Perlindungan Data Peribadi China: 8 Aspek Utama

Bab ini akan menerangkan lapan aspek utama yang perlu difahami dalam perlindungan data peribadi di China.

Asas Kepatuhan Undang-undang

Syarikat hanya boleh mengendalikan maklumat peribadi jika ia memenuhi salah satu asas kepatuhan yang ditetapkan oleh Undang-Undang Perlindungan Maklumat Peribadi China.

Asas-asas tersebut adalah seperti berikut:

  • Persetujuan subjek data
  • Pelaksanaan kontrak
  • Pemenuhan kewajipan undang-undang
  • Kesihatan awam
  • Kepentingan awam
  • Pemprosesan maklumat peribadi yang telah diumumkan
  • Keadaan lain yang ditetapkan oleh undang-undang dan peraturan

Seperti yang dapat dilihat, ‘kepentingan yang sah’ yang terdapat dalam GDPR tidak termasuk di dalamnya. Oleh itu, dijangkakan akan ada lebih banyak situasi di mana persetujuan individu diperlukan sebagai asas untuk mengendalikan maklumat peribadi berbanding dengan GDPR.

Selain itu, persetujuan itu sendiri mesti didefinisikan sebagai sesuatu yang ‘dapat ditarik balik oleh subjek data pada bila-bila masa dengan mudah’. Oleh itu, perlu ada pertimbangan seperti membuat antaramuka pengguna (UI) yang memudahkan penarikan balik persetujuan dan menyediakan penjelasan yang ringkas dan mudah difahami mengenai cara penarikan balik persetujuan tersebut.

Maklumat Penyampaian

Sebelum mengendalikan maklumat peribadi, syarikat mesti memberitahu individu terlibat dengan terma yang jelas dan mudah difahami mengenai perkara yang dikehendaki oleh Undang-Undang Perlindungan Maklumat Peribadi China.

Selain daripada tujuan pengendalian, syarikat juga diwajibkan untuk menyediakan maklumat terperinci seperti kaedah pemprosesan, jenis maklumat peribadi, tempoh penyimpanan, serta cara dan prosedur untuk melaksanakan hak-hak individu tersebut.

Perjanjian dengan Pihak yang Diberi Kuasa

Apabila menyerahkan pengendalian data peribadi kepada pihak yang diberi kuasa, adalah perlu untuk bersetuju terlebih dahulu mengenai tujuan pemprosesan, tempoh, kaedah pemprosesan, dan langkah-langkah perlindungan melalui kontrak pengendalian atau seumpamanya.

Selain itu, anda juga akan memikul tanggungjawab pengawasan terhadap pemprosesan yang diberi kuasa. Apabila mengendalikan data peribadi bersama dengan syarikat lain, seperti dalam kes pemberian kuasa, pastikan anda telah bersetuju terlebih dahulu mengenai tujuan dan kaedah pengendalian data peribadi serta hak dan kewajipan kedua-dua pihak.

Peraturan Penghantaran Rentas Sempadan

Apabila menyediakan maklumat peribadi yang dikumpul di dalam China kepada pihak ketiga di luar negara, dua tindakan berikut diperlukan:

Langkah pertama adalah memberitahu nama dan maklumat hubungan penerima maklumat peribadi, tujuan pemprosesan, kaedah pemprosesan, jenis maklumat peribadi, cara dan prosedur yang boleh digunakan oleh individu untuk melaksanakan hak mereka terhadap penerima. Selain itu, persetujuan individu harus diperoleh secara berasingan.

Langkah kedua adalah melaksanakan salah satu daripada empat langkah berikut:

  • Lulus penilaian keselamatan negara
  • Mendapatkan pengesahan perlindungan maklumat peribadi oleh badan profesional
  • Mengadakan kontrak dengan penerima di luar wilayah berdasarkan kontrak standard
  • Memenuhi syarat lain yang ditetapkan oleh jabatan maklumat internet negara

Bergantung pada kandungan maklumat peribadi yang dipindahkan, penilaian keselamatan negara mungkin diperlukan. Oleh itu, sebelum memilih langkah yang harus diambil, pastikan sama ada penilaian keselamatan negara diperlukan mengikut ‘Metode Penilaian Keselamatan Penghantaran Data Luar Negara’ (Japanese Data Outflow Security Assessment Method).

Mengenai Hak

Undang-undang Perlindungan Data Peribadi China mengiktiraf pelbagai hak untuk individu, termasuk hak untuk mengetahui, hak untuk melihat, hak untuk menyalin, hak untuk menarik balik, portabiliti, hak untuk membetulkan, dan hak untuk menghapuskan data.

Selain itu, undang-undang ini juga mengiktiraf ‘hak orang yang telah meninggal dunia’, yang tidak diiktiraf oleh GDPR. ‘Hak orang yang telah meninggal dunia’ membolehkan waris terdekat untuk melaksanakan hak tersebut bagi pihak individu yang telah meninggal. Oleh itu, penting untuk kita juga memperhatikan perlindungan maklumat bagi mereka yang telah tiada.

Kewajipan Melaporkan Insiden

Untuk mencegah kebocoran maklumat peribadi, syarikat dikehendaki mengambil tindakan yang serupa dengan yang diperlukan oleh ISMS (Sistem Pengurusan Keselamatan Maklumat).

Berikut adalah contoh tindakan yang dikehendaki:

  • Pembangunan peraturan dalaman
  • Pengurusan klasifikasi berdasarkan tahap kerahsiaan
  • Penyulitan mengikut keperluan
  • Pelaksanaan pseudonimisasi
  • Pelaksanaan pendidikan kepada pekerja
  • Pembangunan proses respons insiden dan lain-lain

Langkah-langkah pengurusan keselamatan juga ditetapkan dalam undang-undang keselamatan siber dan undang-undang keselamatan data, oleh itu, disarankan untuk mengatur dan mengesahkan langkah-langkah berdasarkan keperluan ketiga-tiga undang-undang tersebut dengan teliti.

Artikel berkaitan: Apa itu Undang-Undang Keselamatan Siber China? Penerangan mengenai Poin Kepatuhan[ja]

Artikel berkaitan: Apa itu Undang-Undang Keselamatan Data China? Langkah-langkah yang Perlu Diambil oleh Syarikat Jepun[ja]

Kewajipan Penubuhan DPO dan Wakil

Syarikat diwajibkan untuk melantik DPO (Data Protection Officer) apabila jumlah maklumat peribadi yang diuruskan mencapai kuantiti tertentu.

Selain itu, syarikat yang terkena aplikasi luar wilayah perlu menubuhkan wakil di dalam negeri China, dan mesti melaporkan nama serta maklumat hubungan kepada pihak berkuasa yang bertanggungjawab.

Kewajipan Melaksanakan Penilaian Impak Perlindungan Data Peribadi

Syarikat diwajibkan untuk melakukan penilaian risiko terlebih dahulu dan mengawal risiko dengan sewajarnya jika mereka memenuhi mana-mana satu daripada lima keadaan berikut.

Keadaan yang memerlukan pelaksanaan kewajipan adalah seperti berikut:

  • Mengendalikan maklumat sensitif
  • Melakukan keputusan yang diautomatikkan
  • Mengoutsourkan pengendalian data peribadi atau menyediakan data peribadi kepada pihak ketiga
  • Memindahkan data peribadi ke luar negara
  • Memberi impak yang signifikan terhadap hak dan kepentingan individu

Hukuman di bawah Undang-Undang Perlindungan Data Peribadi di China

Perhatian

Apabila melanggar, terdapat risiko dikenakan sanksi yang tinggi (hingga 50 juta yuan atau 5% dari jumlah jualan tahun sebelumnya). Kerana ia juga diterapkan di luar wilayah, syarikat-syarikat Jepun yang mengembangkan bisnis mereka di China perlu bertindak dengan segera.

Langkah-langkah yang Perlu Diambil oleh Syarikat Jepun untuk Mematuhi Undang-undang Perlindungan Data Peribadi

Semakan

Bab ini akan memperkenalkan empat langkah perlindungan data peribadi yang perlu diambil oleh syarikat Jepun.

Menyemak Semula Struktur Organisasi Syarikat

Pertama, pertimbangkan untuk menyemak semula struktur organisasi syarikat anda. Kerana adanya kewajipan untuk menetapkan wakil atau Pegawai Perlindungan Data (DPO), adalah penting untuk menyemak semula struktur organisasi.

Sebagai contoh, termasuklah penubuhan jabatan khusus untuk urusan kepatuhan data yang mengandungi maklumat peribadi, penyusunan aliran kerja, dan pelaksanaan pemetaan data yang terperinci.

Mengemaskini Peraturan dan Polisi

Mengemaskini peraturan dan polisi juga sangat penting. Perlu untuk mengemaskini peraturan dan polisi yang mematuhi tiga undang-undang data China.

Selain itu, bukan hanya mencipta peraturan yang mencerminkan keperluan undang-undang, tetapi juga penting untuk memastikan semua pekerja dapat melaksanakan operasi yang ditetapkan.

Memahami Realiti Operasi

Memandangkan Undang-undang Perlindungan Data Peribadi telah diperkenalkan pada 1 November 2021 (Reiwa 3), adalah penting untuk memahami realiti operasi dan secara berterusan mengambil langkah-langkah yang sesuai. Selain itu, semua pekerja dalam syarikat juga diwajibkan untuk mengendalikan data dengan betul dan mematuhi undang-undang dengan ketat.

Oleh itu, syarikat harus melaksanakan latihan berkala untuk pekerja dan memastikan mereka memahami undang-undang dan prosedur terkini.

Membina Kerjasama dengan Pakar

Membina dan mengukuhkan kerjasama dengan pakar juga sangat penting. Dengan membina kerjasama dengan pakar yang mahir dalam peraturan undang-undang China, syarikat dapat bertindak dengan cepat. Selain itu, syarikat perlu memantau dan menilai keadaan kepatuhan perlindungan data peribadi secara berkala. Oleh itu, pembinaan kerjasama dengan pakar luar adalah suatu keperluan.

Kesimpulan: Memahami Pelbagai Peraturan Undang-Undang dan Melaksanakan Tindakan yang Tepat

Penerangan Dokumen

Pada 1 November 2021, ‘Undang-Undang Perlindungan Data Peribadi China’ yang pertama kali menyediakan perlindungan data peribadi secara menyeluruh telah dikuatkuasakan di China. Bagi syarikat yang mengembangkan perniagaan secara global, peraturan berkaitan data China (Undang-Undang Keselamatan Siber, Undang-Undang Keselamatan Data, Undang-Undang Perlindungan Data Peribadi) adalah undang-undang yang tidak boleh diabaikan, mengingat kepentingan pasaran dan ketatnya peraturan tersebut. Bergantung pada situasi, marilah kita mempersiapkan sistem yang memadai untuk melaksanakan tugas-tugas yang diperlukan dengan bantuan pakar jika perlu.

Langkah-langkah yang Disediakan oleh Firma Kami

Firma guaman Monolith adalah sebuah firma guaman yang memiliki pengalaman luas dalam IT, khususnya undang-undang internet. Dalam beberapa tahun kebelakangan ini, perniagaan global semakin berkembang, dan keperluan untuk pemeriksaan legal oleh pakar semakin meningkat. Firma kami menyediakan solusi untuk permasalahan hukum internasional.

Bidang yang ditangani oleh Firma Guaman Monolith: Hukum Internasional & Perniagaan Luar Negeri[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Kembali ke Atas