Disahkan pada bulan Agustus, Undang-Undang Perlindungan Informasi Pribadi mulai berlaku pada tanggal 1 November. Berisiaturan seputar pengumpulan, penggunaan, dan penyimpanan data, serta apa yang harus dilakukan perusahaan internasional saat mereka mentransfer data ke luar negeri.
Personal Information Protection Law (PIPL) China sekarang berlaku, menetapkan aturan dasar tentang bagaimana data dikumpulkan, digunakan, dan disimpan. Ini juga menguraikan persyaratan pemrosesan data untuk perusahaan yang berbasis di luar China, termasuk lulus penilaian keamanan yang dilakukan oleh otoritas negara.
Perusahaan multinasional atau Multinational corporations (MNC) yang memindahkan informasi pribadi ke luar negeri juga harus mendapatkan sertifikasi perlindungan data dari lembaga profesional, menurut PIPL.
Undang-undang itu disahkan pada Agustus, setelah melalui beberapa revisi sejak pertama kali diajukan pada Oktober tahun lalu. Efektif mulai 1 November, undang-undang baru diperlukan untuk mengatasi “kekacauan” data yang telah dibuat, dengan platform online mengumpulkan data pribadi secara berlebihan, kata pemerintah China kemudian.
Informasi pribadi didefinisikan sebagai semua jenis data yang direkam baik secara elektronik atau bentuk lain, yang berhubungan dengan orang yang diidentifikasi atau dapat diidentifikasi. Itu tidak termasuk data yang dianonimkan.
PIPL juga berlaku untuk organisasi asing yang memproses data pribadi di luar negeri untuk tujuan, antara lain, menyediakan produk dan layanan kepada konsumen Tiongkok serta menganalisis perilaku konsumen Tiongkok. Mereka juga harus membentuk lembaga yang ditunjuk atau menunjuk perwakilan yang berbasis di China untuk bertanggung jawab atas hal-hal yang berkaitan dengan perlindungan data pribadi.
Undang-undang baru mencakup bab yang berlaku khusus untuk transfer data lintas batas, yang menyatakan bahwa perusahaan yang perlu memindahkan informasi pribadi keluar dari China harus terlebih dahulu melakukan “penilaian dampak perlindungan informasi pribadi”, menurut Kantor Komisaris Privasi untuk Pribadi Hong Kong. Data (PCPD).
Mereka juga perlu mendapatkan persetujuan terpisah dari individu terkait dengan transfer informasi pribadi mereka dan memenuhi salah satu dari beberapa persyaratan. Ini termasuk menyetujui “kontrak standar” yang dikeluarkan oleh pihak berwenang yang mengawasi masalah dunia maya dan memenuhi persyaratan yang digariskan dalam undang-undang dan peraturan lain yang ditetapkan oleh pihak berwenang, kata PCPD.
Perusahaan multinasional ini juga harus menerapkan langkah-langkah yang diperlukan untuk memastikan pihak asing lainnya yang terlibat dalam pemrosesan data mematuhi standar keamanan data yang ditetapkan oleh PIPL.
Belum Jelas Penilaian Keamanan Apa yang Dibutuhkan
Leo Xin, rekan senior dengan firma hukum Pinsent Masons, menggambarkan undang-undang tersebut sebagai “tonggak sejarah” dalam rezim hukum perlindungan data China dan mendesak perusahaan multinasional untuk memberikan perhatian khusus pada aturan tentang transfer data lintas batas.
Leo mengatakan dalam sebuah posting: “Masih ada area tertentu yang masih belum jelas dan memerlukan aturan implementasi yang terperinci, seperti bagaimana penilaian keamanan harus ditangani, seperti apa model klausul untuk transfer data yang dirumuskan oleh China Cyberspace Administration, seperti apa persetujuannya. prosedurnya adalah [jika] ada permintaan informasi pribadi oleh badan peradilan di luar negeri atau lembaga penegak hukum.”
Undang-undang lebih lanjut menyerukan penanganan data pribadi menjadi jelas, masuk akal, dan terbatas pada “lingkup minimum yang diperlukan” untuk mencapai tujuan mereka dalam memproses informasi.
Pengacara merekomendasikan agar perusahaan multinasional mulai mengevaluasi dampak potensial PIPL pada infrastruktur TI dan aktivitas pemrosesan data mereka.
Menurut PCPD, undang-undang baru ini juga mencakup pemrosesan data “pengambilan keputusan otomatis”, di mana sistem TI digunakan untuk secara otomatis menganalisis dan membuat keputusan tentang perilaku konsumen serta kebiasaan, minat, keuangan, dan kesehatan konsumen.
Di sini, perusahaan harus memastikan proses pengambilan keputusan tersebut transparan dan adil. Konsumen juga harus diberikan opsi untuk tidak menerima konten yang dipersonalisasi. Penilaian dampak keamanan harus dilakukan dan laporan ini disimpan setidaknya selama tiga tahun.
Perusahaan yang melanggar aturan PIPL dapat diberikan perintah untuk perbaikan atau peringatan. Pihak berwenang China juga dapat menyita “penghasilan yang melanggar hukum”, menurut PCPD.
Sanksi
Pelanggar yang gagal mematuhi perintah untuk memperbaiki pelanggaran akan menghadapi denda hingga 1 juta yuan ($ 150.000), sementara orang yang bertanggung jawab untuk memastikan kepatuhan dapat didenda antara 10.000 yuan ($ 1.500) dan 100.000 yuan ($ 15.000).
Untuk kasus-kasus “serius”, pihak berwenang China juga memberikan denda hingga 50 juta yuan ($ 7,5 juta) atau 5% dari omset tahunan perusahaan untuk tahun fiskal sebelumnya. Selain itu, kegiatan usahanya dapat dihentikan sementara atau izin usaha dan izinnya dicabut.
sumber: ZDNET
