Pada tahun 2021, terjadi perubahan besar pada sistem proteksi data di China daratan. Secara khusus, Undang-Undang Keamanan Data (DSL) dan Undang-Undang Perlindungan Informasi Pribadi (PIPL) mulai berlaku masing-masing pada 1 September 2021 dan 1 November 2021. Ini memiliki berbagai implikasi bagi organisasi, terutama yang menyediakan produk dan layanan kepada pelanggan yang berbasis di Cina daratan. Kehati-hatian harus dilakukan untuk mematuhi DSL dan PIPL saat mentransfer data dari Tiongkok daratan ke yurisdiksi lain, termasuk Hong Kong. Artikel ini berfokus pada beberapa masalah penting yang harus dipertimbangkan oleh organisasi yang melakukan bisnis di Cina daratan atau dengan organisasi yang melakukan bisnis di Cina daratan.

Apa peraturan utama tentang ekspor data dari China daratan?

Ada beberapa undang-undang dan peraturan mengenai ekspor data dari China daratan. Hukum utamanya adalah Cybersecurity Law (CSL), DSL, dan PIPL.

Di bawah DSL, ekspor data penting yang dikumpulkan atau dihasilkan oleh Operator Infrastruktur Informasi Penting China Daratan (CIIO) harus sesuai dengan CSL. Ekspor data lain yang dikumpulkan atau dihasilkan oleh pemroses data di Tiongkok daratan harus mematuhi langkah-langkah implementasi yang berlaku.

Di bawah CSL, informasi pribadi dan data penting (secara luas didefinisikan sebagai data yang terkait erat dengan keamanan nasional, pembangunan ekonomi, atau kepentingan publik) yang dikumpulkan dan dihasilkan oleh CIIO selama operasi di China daratan tersedia. Harus disimpan di China daratan. Jika persyaratan bisnis memerlukan penyediaan informasi dan data tersebut kepada pemangku kepentingan asing, penilaian keamanan akan dilakukan sesuai dengan langkah-langkah yang dikembangkan oleh Dewan Negara Republik Rakyat Tiongkok (CAC) bekerja sama dengan departemen terkait di Dewan Negara. untuk melakukannya. Kecuali ditentukan lain oleh hukum atau aturan administratif.

Berdasarkan PIPL, CIIO memproses informasi pribadi (didefinisikan sebagai berbagai jenis data terkait orang yang dapat diidentifikasi atau diidentifikasi yang direkam secara elektronik atau lainnya, tidak termasuk data yang diproses secara anonim) Pemroses informasi pribadi CAC, yang memproses informasi pribadi yang melebihi ambang batas tertentu yang ditentukan oleh, dan , harus menyimpan informasi pribadi yang dikumpulkan atau dibuat di Tiongkok daratan di dalam negeri. Pemroses informasi pribadi yang ingin mentransfer informasi tersebut ke luar Tiongkok daratan harus melakukan salah satu dari yang berikut:

• Lulus evaluasi keamanan.
• Dapatkan sertifikasi dari lembaga khusus sesuai dengan aturan yang ditetapkan oleh CAC.
• Menyelesaikan kontrak standar dengan penerima di luar negeri, menyatakan hak dan kewajiban mereka.juga
• Mematuhi hukum, peraturan, atau ketentuan lain yang diberlakukan oleh CAC.

Selain itu, dengan persetujuan khusus dari pihak-pihak terkait, identitas dan informasi kontak penerima, tujuan dan metode pemrosesan, jenis informasi pribadi yang ditransfer, dan hak-hak pihak terkait harus dikomunikasikan.

Pada tanggal 29 Oktober 2021, rancangan langkah-langkah CAC untuk penilaian keamanan transfer data lintas batas (draft langkah-langkah transfer data) untuk memberikan aturan yang lebih rinci untuk persyaratan penilaian keamanan di bawah CSL, DSL, dan PIPL.1 telah diterbitkan. Jika Anda lulus draft langkah-langkah transfer data, Anda akan memerlukan pengolah data yang memenuhi salah satu kondisi berikut untuk lulus penilaian keamanan sebelum mengekspor data ke luar wilayah daratan Cina.

• Pemroses data yang memproses data pribadi dan sensitif yang dikumpulkan dan dihasilkan oleh CIIO.
• Pengolah data yang mengekspor data penting.
• Pengolah data pribadi yang telah memproses lebih dari 1 juta informasi pribadi.
• Pemroses data yang secara kumulatif mengekspor lebih dari 100.000 informasi pribadi, atau pemroses data yang secara kumulatif mengekspor lebih dari 10.000 data pribadi sensitif.
• Pemroses data yang disediakan oleh CAC yang berlaku untuk situasi lain.

Selain pembatasan di atas, DSL dan PIPL juga melarang penyediaan data dan/atau data pribadi yang disimpan di Tiongkok daratan kepada otoritas peradilan atau penegak hukum asing tanpa persetujuan dari otoritas Tiongkok daratan terkait. Ada larangan serupa pada Securities Act (direvisi pada 2019) untuk mengekspor dokumen dan informasi yang terkait dengan aktivitas bisnis sekuritas di luar negeri tanpa persetujuan dari China Securities Regulatory Commission.

Data industri mana yang relatif sensitif?

Organisasi dapat memperoleh panduan dari DSL, CSL, PIPL, dan penerapannya terhadap tipe data yang lebih sensitif dan industri yang kemungkinan memiliki data tersebut.

DSL mendefinisikan data yang terkait erat dengan keamanan nasional, pembangunan ekonomi, kehidupan masyarakat, atau kepentingan publik sebagai data inti nasional (dan karenanya memerlukan perlindungan yang lebih ketat). DSL tidak secara khusus mendefinisikan data penting, tetapi dengan jelas mengamanatkan perlunya perlindungan yang lebih besar untuk data penting. Karena data penting didefinisikan sebagai data yang mungkin berdampak langsung pada keamanan nasional, keamanan ekonomi, stabilitas sosial, kesehatan dan keamanan publik, organisasi mengusulkan langkah-langkah implementasi untuk manajemen keamanan data. ) 3 dapat dirujuk. Contohnya termasuk informasi pemerintah swasta dan sejumlah besar data yang terkait dengan populasi, genetika, medis, geografis, dan/atau sumber daya mineral.

CSL menunjuk operator jaringan di industri berikut sebagai CIIO, bersama dengan Peraturan Keamanan Infrastruktur Informasi Kritis (Peraturan CII) (efektif 1 September 2021) 4, dan kerahasiaan data yang dimilikinya. Layanan informasi, energi, transportasi, air, keuangan, layanan publik, e-government, teknologi pertahanan 5, dll. Industri lain dengan fasilitas yang sangat merugikan keamanan nasional, perekonomian nasional, kehidupan masyarakat, dan/atau kepentingan umum jika musnah, hilang fungsi, atau bocor datanya.

PIPL juga mengidentifikasi jenis informasi pribadi tertentu sebagai informasi pribadi yang sensitif. Ini termasuk informasi pribadi yang, setelah diungkapkan atau digunakan secara ilegal, dapat membahayakan martabat dan keamanan individu atau propertinya. Contohnya termasuk karakteristik biometrik, keyakinan agama, sebutan khusus, catatan kesehatan dan medis, akuntansi keuangan, informasi pelacakan lokasi, dan informasi pribadi anak di bawah usia 14 tahun.

Bagaimana organisasi perlu mempersiapkan?

DSL dan PIPL yang baru-baru ini diperkenalkan, dikombinasikan dengan CSL, menyediakan sistem perlindungan data komprehensif di China daratan yang mengelola seluruh siklus data perusahaan yang beroperasi di China daratan. Organisasi perlu memantau penegakan hukum secara ketat dalam jangka panjang melalui peraturan penegakan dan langkah-langkah penegakan. Karena regulator industri (juga dikenal sebagai “departemen perlindungan”) telah didelegasikan wewenang untuk mengembangkan aturan implementasi untuk mengidentifikasi CII, organisasi secara hati-hati memantau aturan implementasi ini dan operasinya termasuk dalam klasifikasi CII. Anda perlu mengevaluasi apakah akan melakukannya. Selain itu, sangat penting bahwa organisasi, terutama yang terlibat dalam operasi lintas batas, merancang dan menerapkan kerangka kerja tata kelola data yang komprehensif untuk memastikan kepatuhan dalam lingkungan peraturan yang terus berkembang.