Cyberthreat.id – Komite Tetap Kongres Rakyat Nasional China (NPC) mengesahkan Undang-Undang Keamanan Data pada Kamis (10 Juni 2021).

Undang-undang tersebut bakal diberlakukan mulai 1 September mendatang. Regulasi baru ini semakin menguatkan perlindungan data dalam perspektif keamanan nasional.

“Data adalah sumber daya strategis dasar suatu negara. Tanpa keamanan data, tidak ada keamanan nasional,” ujar Cyberspace Administration of China dalam rilisnya dikutip dari South Morning China Post (SCMP), diakses Senin (14 Juni 2021).

Dengan memperlakukan data sebagai masalah keamanan nasional, data yang disimpan di dalam negeri kini dilindungi dari yurisdiksi AS. Sebab, pada 2018, Presiden AS Donald Trump kala itu meneken UU Cloud (Clarifying Lawful Overseas Use of Data Act) yang memungkinkan lembaga penegak hukum meminta akses ke informasi online, tidak peduli di negara mana pun data itu disimpan.

“Semua bisnis perlu beradaptasi secepat mungkin. Organisasi hanya diberi waktu kurang dari dua setengah bulan sebelum UU itu berlaku,” ujar pakar hukum dari Linklaters,  perusahaan hukum multinasional terkemuka asal London, Alex Roberts.

Berdasarkan regulasi baru itu, perusahaan yang mentransfer “data inti” negara ke luar negeri tanpa izin dari regulator bisa dikenai sanksi hingga 10 juta yuan (US$1,56 juta), bahkan bisa dipaksa tutup—sanksi yang tidak terdapat dalam versi RUU sebelumnya yang diajukan pada April lalu.

Data inti adalah data apa pun yang menyangkut keamanan nasional dan ekonomi, kesejahteraan rakyat, dan kepenting publik yang penting.

Pakar hukum juga pengacara dari kantor hukum Shanghai Shenlun, Xia Hailong, mengatakan, jenis data inti secara garis besar dapat dipahami adalah data inti yang berasal dari industri perusahaan milik negara (BUMN).

Namun, dalam aturan baru itu tidak ada definisi data penting. Hanya, regulasi baru ini bakal mengamanatkan untuk pembentukan sistem klasifikasi data untuk mengatasi di level praktik atau lapangan.

Sementara, bagi perusahaan setempat yang menyerahkan “data penting” ke penegak hukum atau lembaga peradilan asing tanpa izin regulator dikenai denda 5 juta yuan atau naik dari versi RUU sebelumnya hanya 1 juta yuan.

Sanksi kebocoran data hingga akses pemerintah

UU baru tersebut juga menekankan tentang praktik perlindungan data. Perusahaan yang gagal melindungi data mereka dan menyebabkan kebocoran data skala besar bisa dikenai denda hingga 2 juta yuan.

Di tingkat nasional, UU juga mengamanatkan pembentukan sistem “peninjauan keamanan nasional” untuk memeriksa aktivitas data apa pun yang dapat dianggap menimbulkan risiko terhadap keamanan nasional. Keputusan “peninjauan keamanan nasional” bersifat final, artinya tidak bisa diakukan gugatan ke pengadilan, tulis Insider Privacy.

Sementara pada Pasal 35 juga perlu diperhatikan. Dalam pasal ini disebutkan, biro keamanan publik China (polisi China) dan badan keamanan nasional dapat meminta data untuk keamanan nasional dan investigasi kriminal selama prosedur yang tepat diikuti. Bahkan, setiap invidivu dan organisasi wajib memenuhi permintaan tersebut.

Terkait dengan permintaan data dari penegak hukum asing atau luar negeri, UU tersebut menyebutkan perlunya ada perjanjian internasional berdasarkan kesetaraan dan timbal balik. Maka, permintaan data harus ada persetujuan dari otoritas terkait.

Tata kelola data

Pemerintah China mengharapkan sektor digital bisa berperan besar dalam ekonomi negara tersebut. Mereka pun sedang membangun rezim tata kelola data yang menyeimbangkan antara kontrol pemerintah yang kuat, pasar sehat untuk data, dan perlindungan privasi konsumen.

Pada April lalu, pemerintah mengklasifikasikan data sebagai faktor produksi bersamaan dengan modal, tenaga kerja, dan tanah yang bertujuan untuk membantu sirkulasi data lebih baik dalam ekonomi digital.

Namun para ahli hukum mengatakan bahwa undang-undang tersebut sejauh ini hanya menetapkan kerangka kerja yang luas untuk tata kelola data, dan masih diperlukan regulasi terkait. Perusahaan juga perlu menunggu dan melihat bagaimana penerapannya dalam praktik.

“Undang-undang tersebut meminta lembaga pemerintah untuk merumuskan strategi keamanan data nasional, kebijakan, dan mengoordinasikan sistem tata kelola data yang komprehensif di seluruh wilayah dan departemen industri,” kata Roberts.

“Namun, organisasi perlu menunggu aturan implementasi untuk memahami apa artinya ini dalam praktik,” ia menambahkan, dikutip dari SCMP.[]