Cyberthreat.id - Perusahaan yang beroperasi di China bakal mendapat tekanan besar karena otoritas setempat mensyaratkan persiapan keamanan siber yang ditinjau dan disertifikasi berdasarkan rancangan undang-undang (RUU) yang rencananya disahkan tahun depan. RUU keamanan data China itu mengharuskan perusahaan untuk mengungkapkan rincian tentang keamanan jaringan yang beroperasi di luar China.

Pemerintah mengatakan regulasi ini bertujuan untuk melindungi "data penting" yang, jika bocor, dapat memengaruhi secara langsung keamanan nasional, keamanan ekonomi, stabilitas sosial, atau kesehatan masyarakat.

RUU ini diterbitkan pada Kamis (2 Juli 2020) oleh Komite Tetap Kongres Rakyat China. RUU ini disebut sebagai upaya pertama kali China menggunakan otoritas hukum terhadap perusahaan di luar yurisdiksinya.

"China sedang mempertimbangkan untuk memberlakukan hukum yang memiliki efek ekstra-teritorial dan belum pernah kita lihat sebelumnya," kata Yan Luo, mitra di firma hukum Covington & Burling di Beijing dilansir ComputerWeekly, Jumat (3 Juli 2020).

"Mereka ingin menangkal dampak ekstra-teritorial hukum AS," ujar Yan.

RUU tersebut masih dimungkinkan untuk berubah signifikan yang rencananya diberlakukan akhir 2021. Perusahaan yang beroperasi di China bakal diminta untuk memiliki operasi keamanan cyber yang disertifikasi oleh lembaga sertifikasi yang ditunjuk pemerintah.

Perusahaan dengan operasi di China juga diminta untuk mengungkapkan rincian keamanan jaringan mereka di luar negeri agar memenuhi syarat untuk sertifikat. Artinya, RUU ini memberi wewenang kepada badan pemerintah pusat dan daerah untuk mendefinisikan apa yang disebut sebagai "data penting" untuk berbagai daerah dan industri.

Organisasi/perusahaan yang memproses data ini akan diminta untuk memenuhi standar keamanan yang lebih tinggi.

Sanksi Denda

Kepolisian China bakal memiliki wewenang untuk mengeluarkan denda $ 150.000 pada perusahaan yang melanggar undang-undang keamanan cyber Cina serta berhak menutup organisasi yang tidak patuh.

Untuk memberlakukan UU ini China juga harus mampu melampaui audit teknis keamanan siber perusahaan. Misalnya untuk mempertimbangkan apakah perusahaan di luar negeri mematuhi sanksi AS sehingga itu mengganggu keamanan nasional China.

"(Regulasi) ini tidak hanya tinjauan teknis tentang perlindungan yang sudah ditetapkan, tetapi bisa menjadi elemen politik," kata Yan Luo.

RUU ini juga memiliki arahan yang memungkinkan China untuk mengambil tindakan balasan terhadap negara yang bertindak secara diskriminatif terhadap China, terkait perdagangan atau investasi yang berhubungan dengan data.

Satu klausa mengatakan organisasi dan individu di luar China yang melakukan kegiatan yang dapat membahayakan keamanan, keamanan nasional, atau kepentingan publik China juga dapat dikenai RUU ini. Tidak jelas bagaimana China akan mengambil tindakan penegakan hukum terhadap organisasi di luar perbatasannya yang dianggap merusak keamanan nasional negara itu.

Klausul lain mengharuskan individu dan organisasi untuk mematuhi permintaan data dari lembaga penegak hukum ketika diminta untuk menyelidiki kejahatan atau demi alasan keamanan nasional.

Sebaliknya ketika permintaan data dilakukan oleh pemerintah asing ke organisasi/perusahaan China, RUU ini akan mewajibkan perusahaan China untuk melaporkan permintaan tersebut dan meminta persetujuan dari otoritas setempat.

RUU mencakup data yang mungkin penting bagi industri kritis, tetapi tidak termasuk data pribadi tentang individu, informasi militer, atau rahasia negara.[]