Hukum Perlindungan Informasi Pribadi Tiongkok dan Dampak Globalnya – The Diplomat
China Power

Hukum Perlindungan Informasi Pribadi Tiongkok dan Dampak Globalnya – The Diplomat

Pada 20 Agustus, Undang-Undang Perlindungan Informasi Pribadi (PIPL) Tiongkok menerima pembacaan terakhirnya dan secara resmi disahkan menjadi undang-undang. Undang-undang ini menandai upaya hukum komprehensif pertama China untuk mendefinisikan informasi pribadi (PI) dan mengatur penyimpanan, transfer, dan pemrosesan informasi pribadi. Ini memiliki implikasi besar bagi perusahaan yang mengandalkan data untuk operasi mereka di China. Penerapan undang-undang tersebut akan memberikan landasan hukum untuk perlindungan informasi pribadi untuk operasi perusahaan asing di China. Namun, ini juga berpotensi membatasi transfer lintas batas informasi tersebut, terutama untuk data yang terkait dengan infrastruktur informasi penting (CII) karena implikasi keamanan nasional. Komunitas bisnis perlu memahami dampak hukum terhadap operasi data mereka.

Informasi Pribadi: Mengisi Kesenjangan Hukum

Sebelum undang-undang itu disahkan, China tidak memiliki undang-undang komprehensif yang mengatur perlindungan informasi pribadi. PIPL mengisi celah itu. Ini menawarkan definisi rinci tentang “informasi pribadi” dan mengklarifikasi konsep “informasi pribadi yang sensitif.” Selain itu, persyaratan audit fleksibel undang-undang memudahkan perusahaan untuk menerapkan pemantauan internal proaktif untuk menghindari kegiatan kriminal terkait PI.

Tidak seperti undang-undang sebelumnya, seperti UU Keamanan Siber, KUH Perdata, UU Keamanan Data, dan UU E-Commerce, PIPL mendefinisikan konsep dan ruang lingkup informasi pribadi, dan memperkenalkan prinsip minimalisasi (Pasal 28-30). Undang-Undang Keamanan Siber mulai tahun 2017 tidak memasukkan persyaratan khusus tentang proses peninjauan yang harus dilakukan oleh pemroses informasi, juga tidak mengatur mekanisme penegakan peraturan tersebut. KUHPerdata hanya menyebutkan asas-asas hukum dasar perlindungan PI, namun tanpa detail pelaksanaannya. Undang-Undang Keamanan Data berfokus pada prinsip-prinsip umum mengenai keamanan data tanpa referensi khusus untuk informasi pribadi. Undang-undang E-Commerce hanya memiliki fokus sempit pada informasi pribadi terkait e-commerce.

Sebagai perbandingan, PIPL dengan jelas mendefinisikan PI dan PI sensitif, dan mempertajam fokus pada transfer informasi. Selain itu, seperti Peraturan Perlindungan Data Umum (GDPR) UE, PIPL menyatakan bahwa informasi pribadi yang dikumpulkan oleh perusahaan harus dibatasi hingga jumlah minimum yang diperlukan oleh tujuan data (Pasal 6). Ini akan mengurangi kemungkinan penyalahgunaan PI di masa depan.

Menikmati artikel ini? Klik di sini untuk berlangganan untuk akses penuh. Hanya $5 per bulan.

Mandat PIPL tentang tinjauan mandiri perusahaan dirancang untuk membantu perusahaan mencegah kegiatan kriminal terkait PI. Menurut undang-undang, perusahaan yang memproses PI harus melakukan audit internal secara berkala dan menilai tingkat risiko ketika informasi tersebut sensitif (Pasal 54). Regulator berwenang untuk mengamanatkan audit perusahaan jika ada keluhan (Pasal 61 dan 64). Hal ini disebabkan oleh penyalahgunaan informasi pribadi yang melanggar hukum, terutama kegiatan kriminal karena kurangnya perlindungan informasi pribadi, dan meluapnya informasi pribadi dengan pesatnya pertumbuhan raksasa teknologi.

Pada tahun 2016, seorang mahasiswa China yang terikat perguruan tinggi meninggal karena serangan jantung setelah tabungan keluarganya dikosongkan oleh penipuan telepon yang difasilitasi oleh kebocoran informasi pribadinya. Kasus ini menarik perhatian luas di China dan memfasilitasi pengesahan undang-undang di tengah permintaan publik. Persyaratan audit PIPL memungkinkan perusahaan untuk secara fleksibel membangun sistem pemantauan mandiri mereka untuk menghindari kebocoran PI semacam itu.

Dampak UU Terhadap Perusahaan Asing

PIPL menandai upaya terbaru Beijing untuk mengatur perusahaan yang memiliki data pribadi. Pembatasan undang-undang tentang transfer data lintas batas mungkin tidak memengaruhi pengecer yang beroperasi di dalam negeri, dan karenanya tidak perlu mentransfer informasi ke luar negeri. Namun, ceritanya sangat berbeda untuk dua jenis perusahaan: mereka yang memiliki sejumlah besar informasi pribadi dan mereka yang memiliki informasi tentang infrastruktur penting. Selain itu, PIPL menyatakan bahwa otoritas regulator domestik menggantikan otoritas perjanjian internasional.

PIPL akan membantu perusahaan asing yang beroperasi di China tanpa transfer data lintas batas untuk mengembangkan kebijakan privasi sesuai dengan hukum. Sebelum PIPL, kurangnya undang-undang perlindungan PI domestik menyebabkan adopsi luas GDPR UE sebagai kebijakan privasi di antara perusahaan asing. Namun, pengambilan keputusan GDPR didasarkan pada kesepakatan di antara negara-negara anggota UE, yang tidak berlaku dalam kasus China. Karena PIPL akan mulai berlaku pada November 2021, perusahaan asing di China perlu merevisi kebijakan privasi mereka agar sesuai dengan persyaratan undang-undang baru.

Untuk perusahaan yang memiliki sejumlah besar informasi pribadi atau data pada infrastruktur informasi penting, akan lebih sulit untuk mentransfer data dari China ke negara lain karena penilaian keamanan wajib oleh Cyberspace Administration of China (CAC). Saat ini, tidak jelas apakah penilaian keamanan seperti itu, jika berhasil diselesaikan, akan memberikan perusahaan persetujuan satu kali untuk transfer data atau lisensi untuk periode tertentu.

Lebih lanjut, Komite Tetap Kongres Rakyat Nasional, badan pembuat undang-undang tertinggi China, baru-baru ini berpendapat bahwa perlindungan terhadap PI yang ditransfer ke luar negeri harus mengikuti standar yang tidak kalah kuatnya dengan standar domestik. Ini berarti bahwa jika sebuah perusahaan telah terdaftar dalam perjanjian sukarela regional seperti Aturan Privasi Lintas Batas (CBPR), itu tidak akan dapat mentransfer informasi pribadi ke negara mana pun dengan standar perlindungan PI yang lebih rendah karena CAC tidak akan menyetujui perjanjian semacam itu. transfer.

Masalah Masa Depan

Sementara beberapa perusahaan akan menghadapi kesulitan yang meningkat dalam transfer data ke luar negeri, yang lain mungkin mendapat manfaat dari PIPL. Dalam jangka pendek, komunitas bisnis harus mengamati praktik penegakan, berpotensi melalui keterlibatan dengan pemangku kepentingan termasuk CAC mengenai transfer data yang disetujui secara spesifik.

Setelah rilis PIPL, komunitas bisnis harus mengidentifikasi lembaga pemerintah yang bertanggung jawab atas penegakan hukum baru dan terlibat dengan mereka untuk mengamati kendala peraturan tentang transfer PI lintas batas. Meskipun PIPL menetapkan CAC sebagai otoritas utama yang mengawasi perlindungan PI, lembaga pemerintah lainnya – termasuk Kementerian Keamanan Publik – yang terlibat dalam tindakan hukuman baru-baru ini terhadap DiDi, raksasa teknologi China yang mencari IPO di Amerika Serikat. Keterlibatan dengan lembaga pemerintah dapat membantu perusahaan mematuhi persyaratan hukum dengan lebih baik.

Menikmati artikel ini? Klik di sini untuk berlangganan untuk akses penuh. Hanya $5 per bulan.

Negara-negara di seluruh dunia mengambil tindakan legislatif dan administratif untuk memperketat dan mempertahankan kedaulatan data. Tren ini dibuktikan oleh investigasi China terhadap DiDi dan Alibaba, UE yang menjatuhkan perisai privasi UE-AS, dan perintah eksekutif AS yang menargetkan TikTok karena masalah data. Tanpa kepercayaan, undang-undang yang jelas, atau penuntutan kooperatif, bisnis akan layu, dan kami akan melihat masa depan yang nyata dari pelokalan data dan segmentasi bisnis di seluruh dunia.

Posted By : pengeluaran hk 2021