Apakah 'Undang-Undang Keselamatan Data China'? Penjelasan Langkah-langkah yang Perlu Diambil oleh Syarikat Jepun
Undang-Undang Keselamatan Data China adalah undang-undang dalam bidang data di China yang telah dikuatkuasakan pada bulan September 2021. Ia terpakai kepada semua pemprosesan data yang dilakukan di dalam negara China, oleh itu, syarikat-syarikat yang mengembangkan perniagaan di China atau yang merancang untuk memasuki pasaran China pada masa hadapan perlu mengkaji semula dan mengemaskini peraturan dan dasar pengurusan yang sedia ada. Namun, ada kalangan yang mungkin tidak memahami undang-undang ini atau bingung tentang langkah-langkah yang perlu diambil.
Dalam artikel ini, kami akan menjelaskan gambaran umum Undang-Undang Keselamatan Data China, poin-poin penting untuk memahaminya, hukuman yang dikenakan, dan langkah-langkah yang perlu diambil di Jepun.
Apakah Undang-Undang Keselamatan Data China?
Undang-Undang Keselamatan Data China (Undang-Undang Keselamatan Data Republik Rakyat China) adalah undang-undang yang berkaitan dengan keselamatan data di China, yang mulai diberlakukan pada bulan September 2021. Undang-undang ini, sama seperti Undang-Undang Keselamatan Siber China yang diberlakukan pada bulan Jun 2017, telah ditetapkan untuk melindungi keselamatan negara.
Undang-Undang Keselamatan Siber China: Undang-undang yang melindungi keselamatan “jaringan” di China
Tujuan Undang-Undang Keselamatan Data China dinyatakan seperti berikut (Pasal 1):
- Peraturan aktiviti pengendalian data
- Pengesahan keselamatan data
- Penggalakan pembangunan dan penggunaan data
- Pengesahan hak dan kepentingan sah individu dan organisasi
- Perlindungan kedaulatan, keselamatan, dan kepentingan pembangunan negara
Walaupun Undang-Undang Keselamatan Siber China mengatur data elektronik, Undang-Undang Keselamatan Data China ini mencirikan dirinya dengan mengatur bukan sahaja data elektronik tetapi juga data bukan elektronik seperti data kertas (Pasal 3). Undang-Undang Keselamatan Data China menetapkan mengenai pengelasan data, pembangunan sistem pengesahan keselamatan data, dan kewajiban perlindungan keselamatan data.
Memahami Aspek Kunci Undang-Undang Keselamatan Data China
Undang-Undang Keselamatan Data China mengandungi pelbagai peraturan yang mungkin sukar difahami oleh sesetengah orang. Di sini, kami akan menjelaskan secara terperinci mengenai lima aspek kunci Undang-Undang Keselamatan Data tersebut.
- Objek Regulasi
- Pembentukan Norma Pengelasan dan Penilaian Data
- Pengurusan Keselamatan Data
- Regulasi Penghantaran Data
- Semakan Keselamatan Kebangsaan
Objek Peraturan
Data yang diatur oleh undang-undang adalah semua ‘pemprosesan data’ yang dilakukan di dalam negeri China. Aktiviti pemprosesan data yang dilakukan di luar China juga akan tertakluk kepada peraturan ini jika ia membahayakan keselamatan negara China, kepentingan umum, atau kepentingan warga dan organisasi.
‘Data’ merujuk kepada rekod informasi yang dibuat secara elektronik atau dengan cara lain, termasuk rekod dalam bentuk kertas, yang memerlukan perhatian khusus. ‘Pemprosesan data’ termasuk pengumpulan, penyimpanan, penggunaan, pemprosesan, penghantaran, penyediaan, dan pendedahan data, dan individu yang melakukan tindakan tersebut akan dikenali sebagai ‘pemproses data’.
Mengenai Penubuhan Norma Pengelasan dan Penarafan Data
Pengendali data harus memastikan keselamatan data berdasarkan sistem perlindungan berperingkat. Sistem perlindungan berperingkat merupakan sistem penilaian awam untuk struktur pengurusan keselamatan rangkaian, dan tindakan yang perlu diambil berbeza mengikut peringkat. Selain itu, data harus diklasifikasikan berdasarkan tahap kerugian yang ditimbulkan kepada keselamatan negara, kepentingan awam, individu, atau organisasi akibat kehancuran atau kebocoran data.
Pengelasan dibahagikan kepada tiga kategori: ‘Data Umum’, ‘Data Penting’, dan ‘Data Terpusat’. Menurut ‘Peraturan Keselamatan Data Rangkaian (Draf Permintaan Pendapat)’, data penting didefinisikan sebagai data yang, jika diubah, dihancurkan, bocor, diperoleh secara haram, atau digunakan secara haram, berpotensi membahayakan keselamatan negara atau kepentingan awam. Data terpusat adalah data yang berkaitan dengan keselamatan negara, urat nadi ekonomi rakyat, kehidupan penting rakyat, atau kepentingan awam utama (Artikel 21).
Pada masa penulisan, belum ada senarai khusus untuk data penting atau data terpusat, jadi adalah baik untuk mengklasifikasikan data yang diuruskan dengan merujuk kepada contoh data penting yang dinyatakan dalam ‘Peraturan Keselamatan Data Rangkaian (Draf Permintaan Pendapat)’. Selain itu, penting untuk memantau senarai yang diterbitkan oleh jabatan berkuasa.
Mengenai Pengurusan Keselamatan Data
Tanggungjawab yang diharapkan daripada pengendali data termasuklah perkara-perkara berikut:
- Pelaksanaan pendidikan dan latihan keselamatan data
- Kewajipan perlindungan keselamatan data berdasarkan sistem perlindungan berperingkat
- Pelaksanaan pemantauan risiko secara berterusan
- Penubuhan sistem pengurusan keselamatan sepanjang kitaran hayat data
- Penetapan individu bertanggungjawab
- Langkah-langkah teknikal
Secara asasnya, ia serupa dengan keperluan ‘Sistem Pengurusan Keselamatan Maklumat (ISMS)’, namun perlu diberi perhatian khusus terhadap langkah-langkah pengurusan yang disesuaikan mengikut klasifikasi data.
Sekiranya insiden berlaku, tindakan segera mesti diambil dan laporan harus dibuat kepada pengguna serta pihak berkuasa dengan segera. Selain itu, apabila mengendalikan data penting, adalah perlu untuk menjalankan penilaian risiko secara berkala dan mengemukakan laporan penilaian risiko kepada jabatan berkenaan yang berkuasa.
Mengenai Peraturan Pemindahan Data
Peraturan pemindahan data dikenakan terutama pada data penting. Pengendali fasilitas infrastruktur maklumat penting yang memperoleh atau menghasilkan data penting dalam operasi mereka di dalam China, perlu mematuhi peruntukan Undang-Undang Keselamatan Siber (Cybersecurity Law) apabila memindahkan data tersebut ke luar negara.
Fasilitas infrastruktur maklumat penting: Pengendali fasilitas yang, jika rosak atau bocor data, boleh mengancam keselamatan negara dalam bidang-bidang seperti tenaga, pengangkutan, kewangan, dan perkhidmatan awam, dan boleh menyebabkan kerugian besar kepada keselamatan negara, kehidupan rakyat, dan kepentingan awam.
Jika anda bukan pengendali fasilitas infrastruktur maklumat penting tetapi seorang pemproses data, anda perlu mengikuti ‘Undang-Undang Penilaian Keselamatan Pemindahan Data ke Luar Negeri’ dan lulus penilaian keselamatan yang dilakukan oleh pihak berkuasa sebelum memindahkan data tersebut.
Menurut ‘Peraturan Pengurusan Keselamatan Data Rangkaian (Draf untuk Konsultasi)’, walaupun data yang bukan data penting hendak dipindahkan ke luar negara, dalam situasi berikut, penilaian keselamatan oleh pihak berkuasa diperlukan dan perlu lulus penilaian tersebut:
- Jika data yang dipindahkan merentasi sempadan mengandungi data penting
- Jika pengendali fasilitas infrastruktur maklumat penting, atau pemproses data yang mengendalikan maklumat peribadi lebih dari satu juta orang, menyediakan maklumat peribadi ke luar negara
Di samping itu, tanggungjawab mereka yang memindahkan data ke luar negara termasuklah perkara-perkara berikut:
- Tidak menyediakan maklumat peribadi ke luar negara melebihi tujuan, skop, kaedah, jenis data, dan saiz yang dinyatakan dalam laporan penilaian kesan perlindungan maklumat peribadi yang diserahkan kepada jabatan maklumat rangkaian
- Tidak menyediakan maklumat peribadi dan data penting ke luar negara melebihi tujuan, skop, jenis data, dan saiz yang ditetapkan dalam penilaian keselamatan oleh jabatan maklumat rangkaian
- Menerima dan mengendalikan aduan pengguna berkaitan dengan eksport data
- Menyimpan rekod log berkaitan dan rekod kebenaran eksport data selama lebih dari tiga tahun
- Jika eksport data menyebabkan kerugian kepada hak dan kepentingan sah individu, organisasi, atau kepentingan awam, pemproses data bertanggungjawab mengikut undang-undang
Apabila memindahkan data ke luar negara, anda juga bertanggungjawab untuk menyediakan laporan keselamatan eksport data dan melaporkannya kepada jabatan maklumat rangkaian di wilayah tersebut.
Mengenai Semakan Keselamatan Negara
Perlu diambil perhatian bahawa terdapat peruntukan yang menyatakan jika aktiviti pemprosesan data dianggap membahayakan keselamatan negara oleh kerajaan China, semakan keselamatan negara akan dilaksanakan. Keputusan semakan keselamatan negara adalah muktamad dan tidak boleh dibantah melalui proses rayuan administratif atau litigasi.
Hukuman di bawah Undang-Undang Keselamatan Data
Jika melanggar Undang-Undang Keselamatan Data, seseorang boleh dikenakan arahan pembetulan dan amaran, denda, penghentian operasi bisnes untuk pembetulan, penghentian kerja berkaitan, dan pembatalan lesen perniagaan.
Sebagai contoh, di bawah Artikel 27, 29, dan 30 Undang-Undang Keselamatan Data China, jika seseorang gagal memenuhi kewajipan yang ditetapkan, selain daripada arahan pembetulan dan amaran, denda antara 50,000 Yuan hingga 500,000 Yuan boleh dikenakan kepada pengurus yang bertanggungjawab secara langsung dan staf lain yang bertanggungjawab secara langsung.
Perlu diperhatikan bahawa bukan sahaja badan korporat yang melanggar Undang-Undang Keselamatan Data akan dikenakan hukuman, tetapi juga pengurus yang bertanggungjawab secara langsung dan staf lain yang memikul tanggungjawab langsung. Jika dikenakan hukuman kerana pelanggaran, ini boleh memberi kesan besar kepada seluruh organisasi, oleh itu, adalah penting untuk mengambil langkah-langkah pencegahan terhadap undang-undang ini.
Langkah-langkah yang Perlu Diambil oleh Syarikat Jepun dalam Mematuhi Undang-undang Keselamatan Data
Undang-undang Keselamatan Data, yang dikenakan ke atas semua proses data di dalam China, memerlukan banyak syarikat Jepun untuk mengambil tindakan. Artikel ini akan menjelaskan secara terperinci langkah-langkah yang perlu diambil oleh syarikat-syarikat Jepun dalam mematuhi Undang-undang Keselamatan Data.
Pengurusan Data
Pertama sekali, kita perlu meninjau pengurusan data. Syarikat perlu memahami jenis data apa yang dihasilkan, disimpan, dan dihapus dalam organisasi mereka, serta mengenal pasti keadaan semasa pengendalian data. Penting juga untuk melakukan pemetaan data untuk mengklasifikasikan data, memantau keadaan pemindahan data ke luar China, dan mengesahkan langkah-langkah pengurusan data yang ada.
Di bawah Undang-undang Keselamatan Data China, data penting dan data teras memerlukan langkah-langkah perlindungan yang berbeza. Oleh itu, mungkin perlu untuk mendefinisikan semula klasifikasi kerahsiaan maklumat mengikut klasifikasi tersebut.
Walau bagaimanapun, pada masa ini, tahap keselamatan untuk setiap klasifikasi masih tidak jelas. Oleh kerana kemungkinan akan ada penjelasan lebih lanjut di masa depan, penting untuk memantau senarai yang diterbitkan oleh pihak berkuasa China. Pada masa yang sama, adalah bijak untuk menetapkan tahap keselamatan yang mempertimbangkan klasifikasi tersebut, termasuk kawalan akses, pengesahan, keselamatan komunikasi, dan langkah-langkah fizikal.
Selain itu, syarikat perlu mengkaji semula dasar keselamatan mereka dan menerapkan polisi yang sesuai dengan klasifikasi data yang telah dipetakan.
Pelaksanaan dan Pelaporan Penilaian Risiko
Setelah melakukan pemetaan data, jika syarikat menentukan bahawa mereka mengendalikan data penting, mereka perlu melakukan penilaian risiko terhadap pemprosesan data tersebut. Hasil penilaian itu juga perlu dilaporkan kepada pihak berkuasa.
Penilaian risiko perlu dilakukan secara berkala, jadi penting untuk menetapkan prosedur yang memungkinkan pelaksanaan yang berterusan.
Pendidikan Pekerja
Di China, peraturan berkaitan keselamatan terus diperkenalkan. Pengurusan data dan penilaian risiko bukanlah aktiviti yang dilakukan sekali sahaja. Oleh itu, penting untuk melakukan kajian dan peningkatan secara berkala agar proses ini dapat diterapkan dengan baik di dalam syarikat, yang memerlukan pendidikan pekerja.
Bukan hanya jabatan undang-undang dan pentadbiran yang terlibat, tetapi juga jabatan pengurusan risiko dan lain-lain, jadi kerjasama antara jabatan adalah penting. Walaupun undang-undang ini masih mempunyai aspek yang tidak jelas, terdapat kes di mana sanksi telah dikenakan kerana pelanggaran, jadi mematuhi Undang-undang Keselamatan Data adalah penting.
Ciri-ciri Tiga Undang-Undang Siber China
Tiga Undang-Undang Siber China merujuk kepada nama kolektif bagi ‘Undang-Undang Keselamatan Siber China’, ‘Undang-Undang Keselamatan Data China’, dan ‘Undang-Undang Perlindungan Maklumat Peribadi China’ yang telah dikuatkuasakan oleh China. Undang-Undang Keselamatan Siber bertujuan untuk menghadapi serangan siber, Undang-Undang Keselamatan Data bertujuan untuk pemeliharaan data, dan Undang-Undang Perlindungan Maklumat Peribadi bertujuan untuk mengukuhkan keselamatan maklumat peribadi.
Artikel berkaitan: Apa itu Undang-Undang Keselamatan Siber China? Memahami Poin Penting untuk Pematuhan[ja]
Walaupun terdapat perbezaan antara satu sama lain, ciri yang menonjol adalah semua undang-undang ini menetapkan hukuman pentadbiran, ganti rugi sivil, dan tanggungjawab jenayah bagi pelanggaran. Selain itu, subjek pelanggaran bukan sahaja terhad kepada badan korporat tetapi juga kepada individu yang bertanggungjawab secara langsung, yang mana mereka boleh dilarang daripada terlibat dalam aktiviti yang sama atau risiko dimasukkan dalam senarai pelanggar negara.
Kesimpulan: Perlu Memberi Perhatian dan Bertindak Cepat terhadap Peraturan Data di China
Undang-Undang Keselamatan Data China adalah undang-undang yang diterapkan pada pemprosesan data di China, yang mengatur tentang pengklasifikasian dan penilaian data, perlindungan, serta penilaian risiko. Bermacam-macam undang-undang telah diperkenalkan termasuk ‘Undang-Undang Keselamatan Siber’, ‘Undang-Undang Perlindungan Maklumat Peribadi’, dan ‘Peraturan Pengurusan Kerentanan Keselamatan Produk Internet’, di mana tindak balas yang sesuai terhadap undang-undang ini adalah penting.
Walaupun terdapat ketidakjelasan seperti tahap keselamatan yang belum diperincikan mengikut klasifikasi, terdapat kes di mana denda telah dikenakan akibat pelanggaran, menunjukkan bahawa tindak balas terhadap undang-undang ini tidak boleh diabaikan. Penting untuk memberi perhatian kepada peraturan di China dan mengambil tindakan yang sesuai sekarang.
Jika anda sedang menjalankan atau merancang untuk memulakan perniagaan di China, kami menyarankan anda untuk berunding dengan peguam yang mahir dalam undang-undang China.
Panduan Langkah-langkah oleh Firma Kami
Firma Guaman Monolith adalah sebuah firma guaman yang memiliki pengalaman luas dalam IT, khususnya internet dan undang-undang. Dalam beberapa tahun kebelakangan ini, perniagaan global semakin berkembang, dan keperluan untuk pemeriksaan legal oleh pakar semakin meningkat. Firma kami menyediakan solusi dalam hal ehwal undang-undang antarabangsa termasuk di negara-negara seperti China, Amerika, dan negara-negara Kesatuan Eropah (EU).
Bidang yang ditangani oleh Firma Guaman Monolith: Undang-undang Antarabangsa & Perniagaan Luar Negara[ja]