Regulator internet teratas Tiongkok baru saja menerapkan aturan baru mengenai cara perusahaan keuangan harus mengklasifikasikan, memberi label, dan melindungi data. Pedoman tersebut, yang dikeluarkan pada 13 Juni oleh Administrasi Ruang Siber Tiongkok (CAC), merupakan batu bata terbaru dalam dinding regulasi siber yang terus membesar di Beijing.
Kerangka ini berfokus pada penggolongan dan klasifikasi data dalam sektor jasa keuangan. Setiap entitas keuangan yang beroperasi di Tiongkok sekarang memiliki petunjuk yang lebih jelas mengenai apa yang dianggap sebagai data sensitif, apa yang dianggap sebagai data sangat sensitif, dan apa yang harus mereka lakukan untuk setiap kategori.
Apa yang sebenarnya dibutuhkan oleh pedoman tersebut
Aturan baru ini fokus pada cara lembaga keuangan mengklasifikasikan informasi, dengan penekanan khusus pada mengidentifikasi apa yang disebut regulator sebagai “data penting.” Istilah ini memiliki kekuatan hukum dalam ekosistem regulasi Tiongkok, yang memicu kewajiban kepatuhan spesifik terkait penyimpanan, pemrosesan, dan terutama transfer lintas batas.
Penyedia layanan informasi keuangan, termasuk platform yang menyediakan data dan analisis pasar, berada dalam cakupan yang jelas.
Pedoman ini memperkuat kepatuhan terhadap tiga pilar hukum data Tiongkok: Undang-Undang Keamanan Siber, Undang-Undang Keamanan Data, dan Undang-Undang Perlindungan Informasi Pribadi.
Transfer data lintas batas mendapat perhatian khusus. Regulator telah menegaskan bahwa berbagi data keuangan penting di luar perbatasan Tiongkok memerlukan navigasi hati-hati, dengan keamanan nasional dan perlindungan konsumen sebagai perhatian utama.
Sebuah tumpukan regulasi yang telah berkembang selama bertahun-tahun
Otoritas Regulasi Keuangan Nasional (NFRA) memperkenalkan aturan data perbankan dan asuransi pada Desember 2024. Aturan tersebut menetapkan persyaratan khusus sektor tentang bagaimana lembaga keuangan tradisional menangani data pelanggan dan operasional.
Bank Rakyat Tiongkok (PBOC) masuk ke dalam gambar dengan langkah-langkah keamanan datanya sendiri, yang akan berlaku pada 30 Juni 2025.
Pada 24 Januari 2026, CAC telah lebih dahulu menyebarkan draf yang secara khusus menargetkan penyedia layanan informasi keuangan. Draf itu merinci aturan untuk mengklasifikasikan data berdasarkan tingkat risiko, menandakan bahwa pedoman akhir yang dikeluarkan pada Juni akan segera diterbitkan.
Apa yang secara nyata tidak ada, dan apa artinya bagi para investor
Pedoman tersebut tidak secara khusus menyebutkan token kripto atau aset digital. Pengabaian ini menunjukkan bahwa Beijing terus memperlakukan layanan keuangan tradisional dan aset digital sebagai domain regulasi yang terpisah. Kerangka klasifikasi data berlaku untuk bank, perusahaan asuransi, penyedia data pasar, dan entitas serupa.
Bagi perusahaan keuangan tradisional, beban kepatuhan nyata dan terus meningkat. Perusahaan asing yang beroperasi di Tiongkok menghadapi tantangan khusus, karena pembatasan transfer data lintas batas dapat mempersulit segala hal, mulai dari pelaporan rutin kepada perusahaan induk hingga berbagi analitik dengan tim global.
Lapisan regulasi, aturan NFRA, langkah-langkah PBOC, dan sekarang pedoman CAC, menciptakan matriks kepatuhan yang kompleks.