Tiongkok berjuang dengan dua tujuan, yaitu menyeimbangkan keamanan dengan mempromosikan ekonomi data

Pada awal Juni, Tiongkok secara resmi memberlakukan peraturan tentang kontrak standar untuk transfer informasi pribadi lintas batas, yang mengharuskan pemroses data (termasuk perusahaan yang memproses data kurang dari 1 juta orang) untuk memiliki kontrak dengan penerima di luar negeri sebelum mentransfer.

Aturan baru tersebut merupakan bagian dari upaya Beijing untuk memperketat kontrol data domestik atas nama keamanan nasional.

Saat ini, kerangka hukum utama negara untuk manajemen privasi data terdiri dari tiga undang-undang: Undang-Undang Keamanan Siber, Undang-Undang Privasi Data, dan Undang-Undang Perlindungan Informasi Pribadi.

Oleh karena itu, pemerintah pusat telah menetapkan rezim pengelolaan ekspor data pribadi. Selain langkah-langkah dalam kontrak standar, rezim tersebut juga mencakup aturan yang mewajibkan perusahaan untuk melakukan pendaftaran penilaian keamanan kepada otoritas pengawasan internet nasional atau mengajukan sertifikasi perlindungan informasi pribadi dari otoritas yang berwenang.

Xu Ke, direktur pusat penelitian ekonomi digital dan inovasi hukum di Universitas Bisnis dan Ekonomi Internasional, mengatakan regulator sedang berjuang untuk mencapai keseimbangan antara meningkatkan keamanan data dan mendorong pertumbuhan ekonomi berbasis data.

Jumlah perusahaan tinggi, tingkat persetujuan rendah

Berdasarkan langkah-langkah penilaian keamanan pada transfer data lintas batas, yang mulai berlaku pada tanggal 1 September, perusahaan yang memproses data pribadi yang terkait dengan lebih dari 1 juta orang harus menjalani penilaian keamanan jika mereka ingin mentransfer data ke luar negeri.

Perusahaan harus menyerahkan laporan penilaian keamanan mandiri kepada regulator jaringan lokal dan Administrasi Dunia Maya Tiongkok (CAC) untuk dua putaran peninjauan.

Saat ini, pemindahan data ke luar negeri dianggap sah apabila pihak yang memindahkan menandatangani kontrak dengan penerima dan menyerahkan bahwa data yang akan dipindahkan telah lolos uji keamanan dari otoritas yang berwenang.

Meskipun langkah-langkah tersebut mulai berlaku pada bulan September, penerapannya sulit dilakukan karena banyaknya jumlah perusahaan dan kurangnya sumber daya manusia untuk mengevaluasi laporan keamanan mereka.

Pada akhir April, administrasi dunia maya Shanghai telah menerima lebih dari 400 laporan evaluasi, yang mana hanya 0,5 persen yang disetujui oleh CAC.

Situasi serupa terjadi di tempat lain. Di seluruh negeri, pihak berwenang telah menerima lebih dari 1.000 permohonan transfer data ke luar negeri, dan kurang dari 10 di antaranya telah lolos dua putaran peninjauan, ungkap sumber Caixin.

Di tingkat nasional, sebagian besar pekerjaan peninjauan dan persetujuan laporan keamanan dilakukan oleh pusat teknis keamanan siber CNCERT/CC, yang memiliki total staf sekitar 100 orang.

Kriteria yang “tidak jelas”

Selain kendala staf, kurangnya kejelasan dalam kriteria penilaian memperlambat proses persetujuan, karena regulator dan perusahaan tidak sepakat mengenai alasan mengapa transfer data yang diperlukan diperlukan.

Misalnya, pemohon harus menjelaskan mengapa mentransfer data ke pihak asing untuk diproses adalah sah, wajar, dan perlu, tetapi tidak ada panduan lebih lanjut yang diberikan.

Bapak Xu Ke memperingatkan bahwa penerapan mekanisme “all-in-one” dapat menyebabkan pembatasan yang berlebihan pada industri dan sektor tertentu, sehingga menghambat arus data bebas karena tingkat kekhawatiran keamanan nasional yang berbeda-beda.

He Yuan, direktur eksekutif Pusat Penelitian Hukum Data di Universitas Jiao Tong Shanghai, mencatat bahwa beban kerja regulator lokal dapat meningkat secara signifikan karena perusahaan dengan kurang dari 1 juta karyawan juga harus menandatangani kontrak standar mulai bulan Juni.

Sejak 2023, otoritas daratan telah meningkatkan upaya publisitas, seperti melakukan panduan bagi perusahaan untuk membiasakan diri dengan aturan transfer data.

Namun, biaya kepatuhan yang tinggi, kesulitan dalam berkomunikasi dengan penerima di luar negeri, dan ketidakpastian peraturan merupakan beberapa faktor yang belum dapat diselesaikan Beijing bagi bisnis.

Mahal

Untuk menghindari masalah, perusahaan cenderung berkonsultasi dengan lembaga pihak ketiga mengenai penyerahan laporan penilaian keamanan.

Namun, biaya layanan yang dibebankan oleh lembaga konsultan ini dapat dengan mudah mencapai ratusan juta yuan, sehingga merugikan perusahaan kecil. Kualitas layanan yang diberikan oleh lembaga-lembaga ini juga dapat bervariasi.

Bahkan dengan bantuan konsultan, banyak bisnis masih kesulitan mendapatkan persetujuan. Banyak pengajuan pertama kali tidak sepenuhnya memenuhi persyaratan peraturan, kata Zhang Yao, seorang mitra di Sun & Young Partners, sebuah firma hukum yang berbasis di Shanghai.

Meskipun regulator telah mengklarifikasi persyaratan seputar isu-isu inti seperti data apa yang perlu ditransfer ke luar negeri, melalui sistem apa, kepada siapa, dan apakah ada risiko keamanan, “menyelesaikan masalah-masalah ini membutuhkan banyak biaya dan upaya” dari pihak perusahaan.

Dan bagi perusahaan multinasional, bahkan jika mereka berhasil mengirim data pribadi ke luar negeri, mereka masih menghadapi investasi kepatuhan yang berkelanjutan dalam penggunaan selanjutnya, kata Chen Jihong, mitra di Firma Hukum Zhong Lun yang berpusat di Beijing.

Terlebih lagi, pihak yang mentransfer data harus menyerahkan informasi tentang penerima di luar negeri dalam sebuah laporan—sesuatu yang hanya sedikit perusahaan bersedia bagikan. Misalnya, raksasa Microsoft secara terbuka menyatakan bahwa mereka "tidak kooperatif" dengan permintaan penilaian keamanan data Tiongkok.

(Menurut Nikkei Asia)