Fan Yu
Perusahaan asing yang berbisnis di Tiongkok telah menunggu selama bertahun-tahun untuk kejelasan dari rezim komunis Tiongkok mengenai bagaimana perusahaan asing itu dapat mengekstrak datanya keluar dari Tiongkok.
Perusahaan-perusahaan asing akhirnya mendapatkan apa yang mereka tunggu-tunggu. Tetapi hampir tidak menjelaskan apa pun, dan benar-benar memperkenalkan ranjau-ranjau darat yang baru.
Minggu lalu, Administrasi Dunia Maya Tiongkok merilis serangkaian draf aturan baru yang mengatur langkah-langkah yang harus dilakukan oleh pebisnis untuk mentransfer data mereka di Tiongkok ke luar negeri. Aturan tersebut akan memiliki konsekuensi yang jauh jangkauannya, yang mempengaruhi perusahaan Tiongkok, yang ingin mendaftarkan sahamnya di luar negeri serta perusahaan asing yang beroperasi di Tiongkok dan Hong Kong.
Klarifikasi ini telah diantisipasi dengan kemarahan, karena Beijing mengamanatkan bahwa perusahaan harus menjalani serangkaian “penilaian” keamanan data sebelum perusahaan itu dapat mengirimkan data yang mereka miliki di luar perbatasan Tiongkok, ke pusat perusahaan itu.
Hal tersebut menjernihkan beberapa hal. Pertama-tama, lembaga yang mengawasi data ini adalah Administrasi Dunia Maya Tiongkok, pengawas internet Tiongkok. Aturan juga menentukan jenis perusahaan harus mengajukan penilaian, bagaimana cara mengajukan penilaian, kerangka penilaian umum Administrasi Dunia Maya Tiongkok, dan hukuman untuk kegagalan mendapatkan izin.
Aturan itu juga mencakup semua data meninggalkan “perbatasan” Tiongkok, yang tidak diragukan lagi dalam hal ini berarti Hong Kong. Jadi perusahaan asing yang melakukan bisnis di Hong Kong juga perlu waspada. Sebelumnya dipertanyakan apakah Hong Kong berada di bawah cakupan undang-undang ini, tetapi ahli hukum secara luas memastikan bahwa Hong Kong benar-benar berada di dalam perbatasan Tiongkok untuk tujuan ini.
Tetapi, selain pedoman umum ini, aturan tersebut adalah tidak jelas. Administrasi Dunia Maya Tiongkok menyatakan bahwa semua bisnis yang memproses data yang diperoleh di Tiongkok, harus melakukan tinjauan sendiri dan penilaian risiko secara berkala dalam mentransfer data ke luar negeri, dan perusahaan dalam ruang lingkup mencakup perusahaan “infrastruktur informasi” dan pemilik “data utama.”
Perusahaan yang mengumpulkan data dari lebih dari 100.000 penduduk atau perusahaan yang menyimpan informasi pribadi yang “sensitif”, sebanyak 10.000
penduduk atau lebih, harus menjalani sebuah proses persetujuan oleh Administrasi Dunia Maya Tiongkok sebelum data dapat ditransfer.
Administrasi Dunia Maya Tiongkok mengatakan hal tersebut akan memakan waktu rata-rata 45 hari hingga 60 hari dan pihaknya akan mempertimbangkan perlu tidaknya transfer semacam itu, sensitivitas data, dan risiko kehilangan jika data tersebut adalah membahayakan.
Siapa yang memenuhi syarat sebagai pemilik “data utama,” dan apa yang memenuhi syarat sebagai informasi pribadi yang “sensitif”? Hal tersebut adalah masih belum jelas.
Tetapi, bahasa yang tidak jelas semacam itu akan membuat Administrasi Dunia Maya Tiongkok dan rezim Xi Jinping dengan kekuasaan yang luas untuk membatasi dan menghukum perusahaan. Ada juga peluang yang cukup besar untuk mempolitisasi data semacam itu tanpa peringatan sebelumnya. Meskipun perusahaan harus menjalani penilaian sendiri, Administrasi Dunia Maya Tiongkok adalah hakim.
Sebagian besar perusahaan asing mengumpulkan data–—semua bentuk data—-mengenai pelanggannya di Tiongkok, harus merencanakan secara konservatif dan menganggap data mereka adalah sensitif kecuali diberitahu sebaliknya. Perusahaan Konsumen, teknologi, keuangan, dan perawatan kesehatan sangat cenderung akan terpengaruh.
Tetapi hal itu menjadi lebih rumit lagi.
Aturan-aturan ini sesuai dengan Undang-Undang Privasi Informasi Pribadi Tiongkok yang baru, yang mulai berlaku pada 1 November. Mirip dengan Peraturan Perlindungan Data Umum Uni Eropa, yang diluncurkan pada tahun 2018, Undang-Undang Privasi Informasi Pribadi Tiongkok memberikan hukuman berat bagi para pelanggar dan memiliki dampak ekstrateritorial. Banyak perusahaan, termasuk perusahaan asing tanpa kehadiran di Tiongkok tetapi memiliki pelanggan Tiongkok, dapat menghadapi hukuman berat yang kaku jika terbukti melanggar undang-undang tersebut.
Undang-Undang Privasi Informasi Pribadi Tiongkok, bahkan lebih ketat daripada Peraturan Perlindungan Data Umum Uni Eropa karena Peraturan Perlindungan Data Umum Uni Eropa tidak membatasi transfer-transfer, dan karena pedoman Peraturan Perlindungan Data Umum Uni Eropa, menetapkan bahwa pemerintah tidak dapat memperoleh data semacam itu sesuka hati tanpa panggilan pengadilan atau surat perintah.
Undang-Undang Privasi Informasi Pribadi Tiongkok, tidak memberikan perlindungan semacam itu bagi perusahaan. Baik Privasi Informasi Pribadi Tiongkok maupun aturan ekstradisi data, meninggalkan area abu-abu yang tidak jelas, yang mana cukup luas dalam definisi Partai Komunis Tiongkok untuk menafsirkan dan memberlakukan larangan dan hukuman berat tanpa batas.
Perusahaan asing yang berinteraksi dengan para pelanggan Tiongkok, sekarang menghadapi masalah risiko bisnis yang lebih besar dari sebelumnya. (Vv)