PERLINDUNGAN DATA KOMPREHENSIF BARU CHINA

January 14, 2022 0 Comments

PERLINDUNGAN DATA KOMPREHENSIF BARU CHINA – Kongres Rakyat Nasional (NPC) Tiongkok mengadopsi pada 20 Agustus 2021 undang-undang perlindungan data komprehensif Tiongkok pertama, Undang-Undang Perlindungan Informasi Pribadi (PIPL), kurang dari setahun setelah rancangan undang-undang pertama diterbitkan. NPC dengan demikian menyelesaikan proses legislatifnya yang melihat dua markup tambahan hukum sejak Oktober tahun lalu. PIPL akan mulai berlaku pada 1 November 2021 , tetapi banyak perusahaan di China sudah berkoordinasi dengan lembaga penegak hukum terkait untuk mematuhinya. Adopsi PIPL terjadi setelah pengawasan yang ditingkatkan atas sektor teknologi oleh pemerintah Cina, dan dalam waktu satu tahun sejak berlakunya KUH Perdata baru yang mencakup ketentuan khusus untuk perlindungan informasi pribadi.

PERLINDUNGAN DATA KOMPREHENSIF BARU CHINA

33bits.org – PIPL mewakili salah satu pilar arsitektur perlindungan data yang muncul di China yang mencakup segudang undang-undang lain, peraturan khusus industri, dan standar. Misalnya, Undang-Undang Keamanan Data (DSL) yang baru-baru ini diberlakukan menetapkan daftar lengkap persyaratan terkait keamanan dan kemampuan transfer jenis data lainnya. Ini juga membentuk “pasar untuk data” untuk memungkinkan pertukaran data dan digitalisasi. Selain itu, PIPL secara eksplisit mengacu pada Konstitusi China untuk memberikan dasar hukum yang lebih kuat untuk implementasi tujuan perlindungan datanya (Pasal 1). Dengan demikian, PIPL tidak boleh dilihat secara terpisah melainkan diperiksa dalam kaitannya dengan perangkat peraturan lain yang berfungsi sebagai pelengkap, meskipun dengan tujuan yang berbeda.

PIPL terutama akan berfungsi sebagai undang-undang perlindungan data komprehensif Tiongkok, dalam hal ini mengikuti pendekatan Eropa yang secara jelas membedakan perlindungan privasi dari perlindungan individu sehubungan dengan pemrosesan informasi pribadi mereka (“perlindungan data”). Tujuan yang dinyatakan secara resmi adalah sebagai berikut:

untuk melindungi hak dan kepentingan individu,

untuk mengatur aktivitas pemrosesan informasi pribadi,

untuk menjaga hukum dan “aliran teratur” data (untuk menjaga arus informasi pribadi yang sah, teratur dan bebas),

untuk memfasilitasi penggunaan informasi pribadi yang wajar (Pasal 1).

Sepanjang proses legislatif, para ahli dan profesional privasi telah berkontribusi pada pekerjaan pembuat undang-undang, antara lain berdasarkan pengalaman mereka yang dihasilkan dari implementasi Peraturan Perlindungan Data Umum (GDPR) UE, yang menjadi referensi dalam latihan ini seperti dalam penyusunan peraturan perlindungan data sebelumnya seperti Spesifikasi Informasi Pribadi . Perlu dicatat bahwa bukan hal yang aneh bagi anggota parlemen Tiongkok untuk mengambil inspirasi dari teks dan kode dari tradisi hukum kontinental Eropa, Tiongkok sendiri merupakan yurisdiksi hukum perdata.

Namun PIPL melayani beberapa tujuan lain, yang membedakannya dari mayoritas undang-undang perlindungan data yang diadopsi hingga saat ini di seluruh dunia. Seperti versi persiapan sebelumnya, undang-undang tersebut memiliki cita rasa ‘keamanan nasional’ yang berbeda, terutama seputar ketentuannya tentang lokalisasi dan transfer lintas batas.

Undang-undang tersebut juga memasukkan ketentuan yang menegaskan niat China untuk mempertahankan kedaulatan digitalnya : entitas luar negeri yang melanggar hak-hak warga negara China atau membahayakan keamanan nasional atau kepentingan publik China akan dimasukkan dalam daftar hitam dan setiap transfer informasi pribadi warga negara China untuk entitas ini akan dibatasi atau bahkan dilarang. Tiongkok juga akan membalas terhadap negara atau wilayah yang mengambil “tindakan diskriminatif, melarang atau membatasi terhadap Tiongkok sehubungan dengan perlindungan informasi pribadi” (Pasal 43).

Last but not least, PIPL dengan jelas menyatakan ambisi China untuk mengambil bagian penuh dalam diskusi perlindungan data internasional dan dengan demikian menegaskan pengaruhnya sepadan dengan ukuran ekonominya dan kemampuan teknologinya yang berkembang. Secara khusus, PIPL menyatakan tujuan China untuk secara aktif berkontribusi pada penetapan standar perlindungan data global ‘dengan negara, kawasan, dan organisasi internasional lain’ (Pasal 12). Ketentuan terkait PIPL menggemakan ambisi yang dinyatakan untuk mempengaruhi negosiasi internasional yang berhubungan langsung atau tidak langsung dengan transfer data internasional. Oleh karena itu, ketentuan yang relevan harus dibaca dalam perspektif yang lebih luas dari Inisiatif Sabuk & Jalan(BRI) dan ketentuan yang berkaitan dengan transfer data yang termasuk dalam Regional Comprehensive Economic Partnership ( RCEP ), dipahami sebagai “cadangan regional” dari negosiasi aturan e-trade WTO, atau disebut negosiasi JSI.

Baca Juga : Sedikit Informasi Tentang Hukum Privasi

IKHTISAR PIPL

Pada tingkat yang lebih luas, seperti kebanyakan undang-undang perlindungan data yang dimodelkan setelah GDPR dan undang-undang perlindungan data modern lainnya, PIPL menetapkan serangkaian kewajiban, pedoman administratif, dan mekanisme penegakan sehubungan dengan pemrosesan informasi pribadi. Misalnya, ini berlaku untuk “informasi pribadi” (PI) yang didefinisikan secara sangat luas – yang mencakup elemen “yang dapat diidentifikasi” dari GDPR, termasuk alasan yang sah untuk diproses setelah model GDPR, tetapi dengan “kepentingan yang sah” terutama hilang, dan berlaku untuk “ penanganan” PI yang mencakup “pengumpulan” PI, artinya diperlukan landasan yang sah bahkan sebelum menyentuh data.

Selain itu, PIPL memiliki aturan untuk “penangan”, “penanganan bersama” dan “pihak yang dipercayakan” dengan penanganan atas nama penangan (pengendali, pengontrol bersama, pemroses), termasuk perjanjian yang akan dibuat serupa dengan Art. 26 dan Seni. 28 perjanjian dalam GDPR. Ini juga berlaku di sektor publik, serta di sektor swasta , dan memiliki persyaratan pelokalan data terkait PI yang diproses oleh organ negara, operator infrastruktur penting, dan penangan lain yang mencapai volume tertentu dari PI yang diproses.

Undang-undang mengatur transfer informasi pribadi di luar China dengan memberlakukan kewajiban pada penangan sebelum mentransfer data ke luar negeri seperti mematuhi penilaian keamanan oleh otoritas terkait. Ini juga mengamanatkan penilaian risiko (mirip dengan Penilaian Dampak Perlindungan Data ) untuk pemrosesan tertentu termasuk pengambilan keputusan dan penanganan otomatis yang dapat memiliki “pengaruh besar pada individu.” Penangan data juga harus menunjuk Petugas Perlindungan Data (DPO) dalam situasi tertentu, tergantung pada volume PI yang diproses, dan melakukan pelatihan kepatuhan secara teratur.

Individu diberikan sejumlah besar “ hak dalam aktivitas penanganan informasi pribadi ”. PIPL memberikan hak individu yang sangat mirip dengan “hak subjek data” GDPR, seperti penghapusan dan akses, dan secara khusus mencakup hak untuk mendapatkan penjelasan dan hak untuk portabilitas data , yang terakhir diperkenalkan di akhir versi ketiga dari RUU tersebut.

Akhirnya, PIPL memiliki sistem penegakan yang kompleks , termasuk denda (yang bisa mencapai 5% dari omset perusahaan) dan tindakan administratif (termasuk perintah untuk menghentikan pemrosesan, atau penyitaan keuntungan yang diperoleh secara tidak sah), hak individu untuk mendapatkan kompensasi, dan perkara litigasi kepentingan umum perdata melalui penuntut umum.

PIPL dibagi menjadi delapan bab substantif. Di bawah ini kami merangkum aspek-aspek kunci dari undang-undang tersebut dan memberikan analisis awal.

  1. Data Tercakup: Informasi Pribadi, Informasi Sensitif

Hukum berlaku untuk “penanganan” “informasi pribadi”, baik di sektor swasta maupun publik. Berbeda dengan GDPR dan Pasal 4-nya, PIPL tidak memuat ketentuan umum yang mendefinisikan istilah-istilah kunci dari undang-undang tersebut. Sebaliknya, definisi penting tersebar di seluruh teks dan kadang-kadang dimasukkan secara langsung dalam ketentuan yang lebih spesifik. Sebagian besar definisi yang terkandung dalam undang-undang serupa dengan, atau menggunakan beberapa kata yang identik dengan GDPR, dengan variasi yang mencolok.

Definisi Luas Informasi Pribadi

Informasi pribadi (PI) mengacu pada “semua jenis informasi elektronik atau informasi yang direkam terkait dengan orang yang dapat diidentifikasi atau dapat diidentifikasi” (Pasal 4). Definisi ini sebagian besar mencerminkan yang ditetapkan di bawah Hukum Keamanan Siber dan Kode Sipil Tiongkok, yang mendefinisikan informasi pribadi sebagai “berbagai jenis informasi elektronik atau yang direkam yang dapat digunakan secara terpisah atau dalam kombinasi dengan informasi lain untuk mengidentifikasi orang asli.” Terkait, ini menyerupai definisi luas “data pribadi” dalam GDPR sebagai “informasi apa pun yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi.”

Buka Daftar Informasi Sensitif.

Undang-undang lebih lanjut menetapkan bahwa informasi sensitif berarti “informasi pribadi yang pernah bocor atau digunakan secara ilegal dapat menyebabkan diskriminasi terhadap individu atau kerusakan serius pada keamanan pribadi atau properti , termasuk informasi tentang ras, etnis, keyakinan agama, fitur biometrik individu, kesehatan medis, akun keuangan , pelacakan lokasi individu, dll.” (Pasal 28). Penangan informasi hanya dapat memproses informasi pribadi yang sensitif untuk tujuan tertentu dan bila cukup diperlukan (Pasal 28). Penangan selanjutnya harus mendapatkan persetujuan khusus jika mereka mengandalkan persetujuan individu untuk pemrosesan (Pasal 29).

Khususnya, definisi informasi sensitif berbeda dari “kategori khusus” data pribadi GDPR, yang merupakan daftar tertutup dari jenis data pribadi tertentu (lihat Pasal 9). PIPL memiliki daftar data sensitif yang terbuka, memusatkan definisinya pada gagasan tentang bahaya dan potensi dampak diskriminatif data tersebut pada individu. Berbeda dengan GDPR, PIPL tidak memuat ketentuan khusus mengenai pemrosesan PI terkait dengan hukuman dan pelanggaran pidana. Sebaliknya, informasi keuangan dan data lokasitermasuk dalam ruang lingkup PI sensitif, dengan efek menundukkan penanganan mereka untuk mendapatkan persetujuan khusus individu. Perluasan cakupan informasi sensitif untuk mencakup informasi keuangan telah dicatat di yurisdiksi lain seperti India.

Akhirnya, PIPL memperlakukan data biometrik sebagai PI sensitif. Kualifikasi ini sesuai dengan ketentuan khusus dalam undang-undang tentang pengenalan wajah (lihat di bawah).

De-identifikasi dan Anonimisasi Didefinisikan Secara Terpisah

“De-identifikasi” dan “anonimisasi” didefinisikan dalam ketentuan substantif terakhir dari PIPL (pasal 73), dengan PI yang dianonimkan secara khusus dikecualikan dari ruang lingkup materi undang-undang (Pasal 4).

De-identifikasi (去标识化) didefinisikan serupa dengan nama samaran GDPR dan mengacu pada “proses informasi pribadi yang sedang ditangani untuk memastikan bahwa tidak mungkin mengidentifikasi orang perorangan tertentu tanpa dukungan informasi tambahan” (Pasal 73). PIPL tidak mendefinisikan de-identifikasi untuk tujuan lain selain untuk membuat daftar de-identifikasi di antara langkah-langkah keamanan teknis yang dapat digunakan oleh penangan PI untuk memenuhi kewajiban keamanan (Pasal 51).

Anonimisasi (匿名化) mengacu pada “tindakan penanganan informasi pribadi untuk membuat tidak mungkin mengidentifikasi orang-orang tertentu dan tidak mungkin untuk dipulihkan”; PI yang telah dianonimkan secara khusus dikecualikan dari ruang lingkup hukum; selain itu, pihak ketiga dilarang untuk mencoba dan mengidentifikasi kembali informasi anonim yang mereka terima dari penangan.

Penanganan Informasi Pribadi Didefinisikan Secara Luas untuk Mencakup Seluruh Siklus Hidup PI

Penanganan PI mencakup “pengumpulan, penyimpanan, penggunaan, pemrosesan, transmisi, penyediaan, penerbitan, dan aktivitas lain semacam itu” dari informasi pribadi (Pasal 4). Ini mirip dengan definisi pemrosesan di bawah GDPR dan itu berarti bahwa aturan yang diusulkan dalam undang-undang berlaku untuk pengumpulan PI serta penggunaan PI . Karena undang-undang menyertakan alasan yang sah untuk menangani PI (lihat di bawah), ini berarti bahwa alasan tersebut harus ada sebelum penangan mengumpulkan data.

  1. Aktor Tertutup, baik di sektor Publik maupun Swasta

Pengendali Informasi atau “Pengendali”; “Pihak yang dipercaya”/Pemroses;

Secara konvensional undang-undang memiliki aturan tentang pengontrol, pengontrol bersama, dan pemroses. Pihak atau individu menjadi penangan informasi pribadi ketika mereka “secara independen menentukan tujuan dan sarana untuk menangani PI.” (Pasal 73). Penangan PI tampaknya berfungsi dengan cara yang sama di bawah rancangan undang-undang Tiongkok sebagai pengontrol data di bawah GDPR. Perhatikan bahwa undang-undang maupun undang-undang lainnya di Tiongkok secara khusus menggunakan istilah “pengendali” (控制者).

Undang-undang tersebut juga memberikan aturan tentang pengendalian bersama , “di mana dua atau lebih penangan PI bersama-sama memutuskan tujuan penanganan dan metode penanganan PI”. Penangan bersama harus “menyetujui” hak dan kewajiban masing-masing, dan perjanjian tidak boleh mempengaruhi kemungkinan seseorang untuk menggunakan hak mereka terhadap salah satu dari mereka; mereka juga bertanggung jawab secara bersama-sama atas pelanggaran (Pasal 21).

Penangan dapat mempercayakan penanganan PI kepada pihak ketiga dalam kondisi yang sangat mirip dengan hubungan pengontrol-prosesor di GDPR. Mereka harus membuat kesepakatan, yang harus mengacu pada tujuan penanganan titipan, cara penanganan, kategori PI, hak dan kewajiban kedua belah pihak, dan lain-lain, termasuk cara “melakukan pengawasan terhadap kegiatan penanganan PI terhadap PI”. pihak yang dipercayakan” (Pasal 22); ini menyerupai klausul audit dalam Art. 28 perjanjian GDPR.

Terakhir, Jika perjanjian pemrosesan data dengan pihak ketiga menjadi tidak efektif atau tidak valid atau diakhiri, pihak ketiga tidak boleh menyimpan informasi pribadi dan mengembalikannya ke pengelola data atau menghapusnya (Pasal 21).