Compte public WeChat
${match[2]}-${match[3]}
${match[4]} :${match[5]} :${match[6]}
`;
container.appendChild (superposition) ;
}
});Police :
Perspective professionnelle|La route vers la conformité pour les traiteurs de données : interprétation des règlements sur l’administration de la sécurité des données réseau (Brouillon à commentaires).
【Résumé】En 2021, le Code civil de la République populaire de Chine, la Loi sur la sécurité des données de la République populaire de Chine et la Loi sur la protection des renseignements personnels de la République populaire de Chine ont été appliqués successivement, élevant la protection des données et la gouvernance des données à un niveau sans précédent d’un point de vue législateur. De plus, une série de ministères et commissions liés aux données (y compris des projets de commentaires) et de réglementations sur le big data des gouvernements locaux ont été publiées par le passé et récemment, enrichissant et améliorant le système juridique de protection et de gouvernance des données, et posant une base juridique solide pour le développement de l’économie numérique. Le 14 novembre 2021, l’Administration du cyberespace de Chine (Administration du cyberespace de Chine) a annoncé le Règlement sur l’administration de la sécurité des données réseau (projet de commentaires). En tant que règlement administratif, le Règlement sur l’administration de la sécurité des données réseau complète et améliore la loi, et consolide de manière plus claire et sans ambiguïté les responsabilités et obligations des prestataires de traitement. Cet article interprète le Règlement sur l’administration de la sécurité des données réseau (projet de commentaires) afin de clarifier les responsabilités et obligations des traiteurs de données, afin de fournir une référence pour la pratique juridique.
【Mots-clés]Interprétation de la conformité par les processeurs de données des règlements sur l’administration de la sécurité des données réseau (projet de commentaires).
Le Règlement sur l’administration de la sécurité des données réseau (Projet de commentaires) (ci-après dénommé les « Règlements ») est formulé conformément à la Loi sur la cybersécurité de la République populaire de Chine, à la Loi sur la sécurité des données de la République populaire de Chine, à la Loi sur la protection des renseignements personnels de la République populaire de Chine et à d’autres lois.
Comparés à la Loi sur la cybersécurité et à la Loi sur la protection des informations personnelles, qui se concentrent sur la sécurité et la protection des réseaux, de l’information et des données, et standardisent le traitement et garantissent la sécurité des données et des réseaux, les Règlements se concentrent davantage sur la consolidation des principales responsabilités et obligations des traiteurs de données à travers une structure et un contexte clairs, afin de promouvoir la conformité à la protection de la sécurité des données, aux activités de traitement des données et à la circulation des données, et d’assurer le développement stable et sûr de l’économie numérique.
Section 1 Responsabilités générales de conformité des traiteurs de données
1. Les traiteurs de données assument la responsabilité des entités de protection de la sécurité des données
L’article 73, paragraphe 5 du Règlement stipule que « les traiteurs de données désignent des individus et organisations qui déterminent de manière indépendante l’objectif et la méthode de traitement dans les activités de traitement des données ».
En plus des entreprises de plateforme Internet généralement connues, les traitements de données incluent également, sans s’y limiter, les entités suivantes : départements gouvernementaux et institutions publiques ; des entreprises technologiques qui fournissent des produits et services pour les produits SAAS, les systèmes de gestion et les systèmes techniques ; les opérateurs d’infrastructures d’information critiques ; les opérateurs de plateformes Internet et les opérateurs au sein de la plateforme ; collecteurs de données, enregistreurs, utilisateurs ; Entreprises manufacturières et autres entités, etc.
Dans le processus d’activités du cycle de vie des données, l’organe principal chargé de la protection des données est le traiteur des données, qui assume la responsabilité de la protection des données, accepte la supervision gouvernementale et sociale, et assume la responsabilité sociale. Par conséquent, les traiteurs de données doivent d’abord se positionner et clarifier deux points :
1. Clarifier un et/ou plusieurs rôles dans le processus de traitement des données, ainsi que les responsabilités et obligations de différents rôles, tels qu’un traiteur de données pouvant être un traiteur de données important, un traiteur transfrontalier, un traiteur d’informations personnelles sensibles, ou un opérateur de plateforme Internet dans le processus de traitement de certaines données ;
2. Clarifier les différentes relations liées au traitement des données en jeu, définir les droits, responsabilités et obligations des différents traiteurs de données selon l’objectif, le contenu et la méthode de traitement des données, les clarifier par des documents juridiques et les réglementer par des moyens techniques.
2. Les traitements de données doivent disposer de capacités techniques et de niveaux de sécurité réseau correspondants
L’article 73, paragraphe 2 du Règlement stipule : « Les activités de traitement des données concernent la collecte, le stockage, l’utilisation, le traitement, la transmission, la provision, la divulgation, la suppression et d’autres activités. » Le Règlement adopte le contenu de traitement de la Loi sur la protection des informations personnelles et, comparé à la Loi sur la sécurité des données, l’étape de « suppression » est ajoutée, améliorant ainsi le contenu de protection des activités du cycle de vie des données.
Dans l’ensemble du processus de traitement des données, les traités doivent disposer des capacités techniques correspondantes et prendre des mesures techniques correspondantes, notamment la sauvegarde, le chiffrement, le contrôle d’accès, etc., afin de protéger les données contre la fuite, le vol, la falsification, les dommages, la perte et l’utilisation illégale, et être capables de répondre aux incidents de sécurité des données, de prévenir les pirates informatiques, virus et autres activités illégales et criminelles, ainsi que de maintenir et garantir l’intégrité, la confidentialité, la disponibilité et la légalité des données. Si vous ne disposez pas des capacités techniques correspondantes, cela peut entraîner des dommages aux données, entraînant des violations de plusieurs parties, et vous assumerez la responsabilité en cas d’infraction ou de rupture de contrat.
En même temps, établir un mécanisme de protection technique correspondant.
Lorsque les traitements de données utilisent des outils automatisés pour accéder et collecter des données, ils doivent évaluer l’impact sur la performance et la fonctionnalité des services réseau, et si des violations se produisent, affectent les fonctions de la politique des services réseau ou des infractions, ils cessent d’accéder et de collecter des données et prennent des mesures correctives.
Les organes d’État et les opérateurs d’infrastructures d’information critiques doivent réussir des évaluations de sécurité organisées par le département d’État du cyberespace en collaboration avec les départements concernés du Conseil d’État pour l’acquisition de services d’informatique en nuage.
De plus, les traiteurs de données doivent renforcer la protection de la sécurité réseau en termes de systèmes de traitement des données, de systèmes de transmission de données, d’environnements de stockage de données, etc., fournir une protection de niveau de sécurité réseau et des mesures de protection des infrastructures d’information critiques supérieures au niveau 3 pour les « données importantes », protéger strictement les données de base et utiliser des « mots de passe » pour protéger les données importantes et les données de base.
3. Les traiteurs de données doivent établir des systèmes de gestion de la sécurité des données, des interventions d’urgence, des mécanismes de plainte et d’autres mécanismes
1. Mettre en place un système de gestion de la sécurité des données
De bonnes capacités de gestion de la sécurité et de la conformité des processeurs de données poseront des bases solides pour la transformation numérique des entreprises. Puisque la gouvernance des données doit prendre en compte à la fois les exigences de conformité et les coûts de conformité, les traitements de données doivent classer et classer leurs données conformément aux exigences obligatoires des lois, réglementations, normes nationales et normes industrielles, établir et améliorer le système de gestion de la sécurité des données adapté à l’organisation, et l’évaluer, l’améliorer et l’améliorer continuellement en temps opportun afin de mettre en œuvre les responsabilités de protection de la sécurité des données et de la protection des données.
2. Établir un mécanisme de réponse aux urgences en matière de sécurité des données
Le Règlement stipule clairement les obligations et obligations de conformité des prestataires de données sous différents événements, comme décrit dans le Tableau 1 :
|
|
Événement |
Responsabilités et obligations de conformité des données |
|
1 |
Les produits et services réseau présentent des défauts ou des vulnérabilités de sécurité, ou menacent la sécurité nationale ou mettent en danger les intérêts publics |
Des mesures correctives doivent être prises immédiatement |
|
2 |
Les incidents de sécurité causent des dommages aux individus et aux organisations |
Les parties prenantes doivent être informées dans un délai de 3 jours ouvrables |
|
3 |
Fuite, dommage ou perte de données importantes ou d’informations personnelles de plus de 100 000 personnes |
Le rapport doit être soumis dans les huit heures suivant le survenu de l’incident, et le rapport d’enquête et d’évaluation doit être soumis dans les cinq jours ouvrables suivant la résolution de l’incident |
Tableau 1 Devoirs et obligations des prestataires de traitement de données sous différents événements
3. Établir des canaux de plainte et de signalement
Les traitements de données doivent établir des canaux pour les plaintes et rapports de sécurité des données, et accepter et traiter rapidement les plaintes et rapports.
Section II Responsabilités et obligations de conformité des prestataires de données dans différents scénarios
1. Obligations et obligations de conformité dans le contexte du traitement des informations personnelles
En ce qui concerne les exigences relatives au traitement des informations personnelles, le Règlement affine, complète et améliore la loi sur la protection des informations personnelles. En plus de respecter les obligations stipulées dans la Loi sur la protection des informations personnelles ainsi que dans d’autres lois, réglementations et règles, les prestataires de données doivent également se conformer aux exigences suivantes de protection des informations personnelles :
1. Formuler des règles pour la gestion des informations personnelles et les afficher publiquement, de manière facile d’accès et le contenu clair, spécifique, concis et populaire. Les exigences de contenu des « Règles de gestion des informations personnelles » du Règlement sont indiquées dans le Tableau 2.
|
|
Matière |
Règles de gestion des informations personnelles |
|
1 |
Faites une liste |
Spécifiez les informations personnelles requises selon la fonction du produit ou service, et listez la finalité, la finalité, la méthode, le type, la fréquence, le moment et le lieu de stockage des informations personnelles pour chaque fonction, ainsi que l’impact du refus de traiter les informations personnelles sur les individus. |
|
2 |
Période de stockage |
La période de stockage des informations personnelles ou la méthode de détermination de la période de stockage des informations personnelles, ainsi que la méthode de traitement après expiration. |
|
3 |
Modes et méthodes de consentement |
Moyens et méthodes permettant aux individus d’accéder, de copier, de corriger, de supprimer, de restreindre le traitement, de transférer des informations personnelles, ainsi que d’annuler des comptes et de retirer son consentement au traitement des informations personnelles. |
|
4 |
Affichage centralisé des informations tierces |
Expliquez les noms de tous les codes et plug-ins tiers qui collectent des informations personnelles intégrées dans les produits et services, ainsi que l’objectif, la méthode, le type, la fréquence ou le moment de collecte d’informations personnelles pour chaque code ou plug-in tiers, et les règles de gestion des informations personnelles de manière pratique pour les utilisateurs. |
|
5 |
Fourniture d’informations à des tiers |
Circonstances de fourniture d’informations personnelles à des tiers, leur objectif, méthode et type, informations sur le destinataire des données, etc. |
|
6 |
Mesures de sécurité |
Risques de sécurité des informations personnelles et mesures de protection. |
|
7 |
Mécanisme de résolution des différends |
Canaux pour les plaintes et signalements de problèmes de sécurité des informations personnelles, ainsi que les coordonnées de la personne responsable de la protection des informations personnelles. |
Tableau 2 Exigences du Règlement sur les « Règles de traitement des informations personnelles »
2. Remplir d’autres obligations et obligations de conformité (voir Tableau 3)
|
|
Matière |
Responsabilités et obligations de conformité des données |
|
1 |
Collecte d’informations |
La « collecte » d’informations personnelles doit respecter les principes de légalité, de légitimité, de nécessité et de moindre impact, et respecter les exigences d’interdiction de « ne doit pas ». |
|
2 |
D’accord |
Avec le consentement des individus, les traiteurs de données ne peuvent utiliser de termes généraux, imposer un consentement individuel ou en masse de quelque manière que ce soit, ni dépasser le champ d’application de l’autorisation. La charge de la preuve incombe au traiteur quant à la validité du « consentement » de l’individu. |
|
3 |
Fourniture d’informations personnelles à des tiers |
Lors de la transmission d’informations personnelles à un tiers, le traiteur doit informer pleinement l’individu, obtenir son consentement séparé et clarifier ses responsabilités et obligations respectives en matière de sécurité des données via un contrat avec le destinataire. Les registres de consentement personnel, les registres de journal et les dossiers d’approbation doivent être conservés pendant au moins 5 ans. |
|
4 |
Obligations de renvoi |
Les traiteurs de données doivent supprimer ou anonymiser les informations personnelles dans un délai de 15 jours ouvrables selon les circonstances et les méthodes de traitement qui doivent être « supprimées ». |
|
5 |
Réponse à l’exercice des droits d’un individu |
Les traiteurs de données doivent répondre activement aux demandes raisonnables des individus pour « accéder, copier, corriger, compléter, restreindre et supprimer » leurs informations personnelles, ainsi que traiter et fournir des retours dans un délai de 15 jours. |
|
6 |
Transfert d’information |
En plus de fournir des services de transfert, les traités de données doivent également fournir des avertissements de risque raisonnables pour les demandes de transfert et avoir le droit de facturer les professions dépassant une plage raisonnable. |
|
7 |
Évaluation des risques |
Pour les prestataires de données qui utilisent la biométrie pour l’authentification de l’identité personnelle, ils doivent effectuer une évaluation des risques de nécessité et de sécurité, et la biométrie ne doit pas être collectée de manière obligatoire comme seule méthode d’authentification d’identité personnelle. |
|
8 |
Audits de conformité |
Les traiteurs de données confient à un établissement professionnel d’audit de la sécurité des données la réalisation régulière d’audits de conformité de leur conformité aux lois et réglementations administratives relatives au traitement des informations personnelles. |
|
9 |
Reportage, enquête et évaluation des événements de risque |
En cas d’incident de sécurité des données, tel que la fuite, les dommages ou la perte d’informations personnelles de plus de 100 000 personnes, le traitement de données doit signaler au département municipal du cyberespace dans un délai de huit heures, et soumettre un rapport d’enquête et d’évaluation sur la cause, les conséquences nuisibles, la gestion des responsabilités, les mesures d’amélioration et tout autre contenu dans les cinq jours ouvrables suivant la fin de l’incident. |
|
10 |
Traiter les informations personnelles de plus d’un million de personnes |
Elle doit également respecter les obligations et obligations de conformité du Chapitre 4 « Traiteurs de données importants » [Données considérées comme importantes]. |
|
11 |
Examen de cybersécurité pour les listes étrangères |
Les traiteurs de données qui traitent plus d’un million d’informations personnelles devront demander un contrôle de cybersécurité s’ils deviennent publics à l’étranger. |
Tableau 3 Autres devoirs et obligations des traiteurs de données
2. Obligations de conformité dans des scénarios importants de traitement de données
Selon l’article 5 du Règlement : « L’État établit un système de classification des données et de protection hiérarchique, selon la classification des données générales, des données importantes et des données centrales, et différentes mesures de protection doivent être prises à différents niveaux. Toutes les régions et départements doivent classifier et gérer les données dans leurs propres régions, départements et industries et domaines connexes, conformément aux exigences nationales de classification et de classification des données. Les prestataires de données doivent trier le niveau de données qu’ils traitent selon le catalogue des données importantes et des données de base formulées par l’État, la région, les ministères et commissions, identifier s’il existe des « données importantes », des « données de base » et des « informations personnelles sensibles », et adopter différentes mesures de conformité pour les « données importantes », les « données de base » et les « informations personnelles sensibles ».
La classification des données, parce qu’elle est liée aux objectifs et besoins de gestion, peut avoir différentes dimensions et différentes méthodes de classification, et les Règlements ne les énumérent pas spécifiquement. En pratique, les processeurs de données peuvent d’abord classer par secteur et domaine, puis classer les données traitées selon la circulation, la nature, les caractéristiques, le cycle de vie et les scénarios métier.
Le Règlement, la Loi sur la sécurité des données et la Loi sur la protection des informations personnelles définissent les données importantes, les données de base et les informations personnelles sensibles comme suit (voir Tableau 4) :
|
|
Grade |
Définition |
|
1 |
Réglementations sur les données importantes |
Les données importantes désignent des données pouvant mettre en danger la sécurité nationale et les intérêts publics une fois modifiées, détruites, fuitées ou obtenues ou utilisées illégalement : 1. Données non divulguées des affaires gouvernementales, secrets du travail, données de renseignement, ainsi que données d’application de la loi et judiciaires ; 2. Données de contrôle des exportations, données liées aux technologies clés, schémas de conception, processus de production, etc. impliqués dans les éléments de contrôle des exportations, et données sur les réalisations scientifiques et technologiques dans les domaines de la cryptographie, de la biologie, de l’information électronique, de l’intelligence artificielle, etc., ayant un impact direct sur la sécurité nationale et la compétitivité économique ; 3. Les lois nationales, règlements administratifs et règles départementales stipulent clairement que les données nationales d’exploitation économique, les données importantes sur les entreprises industrielles et les données statistiques doivent être protégées ou contrôlées ; 4. Données sur la production et l’exploitation sûres dans des industries et des domaines clés tels que l’industrie, les télécommunications, l’énergie, les transports, la conservation de l’eau, la finance, la science et la technologie de la défense nationale, les douanes et la fiscalité, ainsi que les données sur la chaîne d’approvisionnement des composants et équipements clés du système ; 5. Données nationales de base sur la population et la santé, les ressources naturelles et l’environnement telles que les gènes, la géographie, les minéraux, la météorologie, etc., qui répondent à l’échelle ou à la précision spécifiée par les départements nationaux concernés ; 6. Infrastructures nationales, infrastructures d’information critiques sur la construction, exploitation et données de sécurité, localisation géographique et données de sécurité de domaines sensibles importants tels que les installations de défense nationale, les zones de gestion militaire et les unités de recherche scientifique et de production de défense nationale ; 7. D’autres données pouvant affecter la sécurité de la politique nationale, du territoire, de l’armée, de l’économie, de la culture, de la société, des sciences et technologies, de l’écologie, des ressources, des installations nucléaires, des intérêts étrangers, des biologiques, de l’espace, des régions polaires, des grandes profondeurs, etc. |
|
2 |
Loi/Réglementation sur la sécurité des données de base |
Il fait référence à des données liées à la sécurité nationale, au moteur vital de l’économie nationale, aux moyens de subsistance des personnes importantes et aux grands intérêts publics. |
|
3 |
Loi sur la protection des informations personnelles |
Il s’agit d’informations personnelles qui, une fois divulguées ou utilisées illégalement, peuvent facilement entraîner une atteinte à la dignité personnelle des personnes physiques ou la mise en danger de la sécurité personnelle et des biens, y compris les données biométriques, les croyances religieuses, les identités spécifiques, les soins médicaux et de santé, les comptes financiers, les localisations et autres informations, ainsi que les informations personnelles de mineurs de moins de 14 ans. |
Tableau 4 Définitions des données à différents niveaux
Les principaux prestataires de traitement doivent remplir les obligations et obligations de conformité suivantes (voir Tableau 5) :
|
|
Matière |
Responsabilités et obligations de conformité des données |
|
1 |
Classement des données importantes |
Après avoir identifié ses données importantes, les prestataires de données doivent déposer leur dossier auprès du département municipal du cyberespace dans un délai de 15 jours ouvrés. |
|
2 |
Mettre en place des postes de gestion de la sécurité des données |
Clarifier et mettre en place des responsables et des postes en sécurité des données, créer des organisations de gestion de la sécurité des données et accomplir des tâches de gestion de la sécurité des données, y compris la prise de décisions majeures, l’élaboration de plans d’urgence, la surveillance des risques et la gestion des incidents, la formation et l’acceptation des plaintes. |
|
3 |
Formation à la sécurité |
Élaborer des plans de formation, organiser et assurer l’éducation et la formation à la sécurité des données pour tous les employés, et le temps de formation pour le personnel technique et associé ne doit pas être inférieur à 20 heures par an. |
|
4 |
Partage, échange, transfert Données importantes |
(1) Consentement séparé. Informer pleinement les individus et obtenir leur consentement distinct pour mettre en œuvre leurs responsabilités et obligations respectives en matière de sécurité des données vis-à-vis du destinataire via des contrats, dans lesquels le traiteur a le droit de superviser le destinataire ; Les registres de consentement personnel, les registres de journal et les dossiers d’approbation doivent être conservés pendant au moins 5 ans. |
|
(2) Effectuer une évaluation de la sécurité. Contenus clés de l’évaluation de la sécurité : la légalité, la légitimité et la nécessité de fournir des données importantes, les dommages, fuites, falsifications et abus de données importantes, ainsi que les risques pour la sécurité nationale, le développement économique et les agences d’intérêt public, l’intégrité et le respect de la loi du destinataire des données, ses capacités de protection de la sécurité, les accords contractuels, les mesures de gestion et de prévention et de contrôle technique des risques, etc. |
||
|
(3) Le consentement du département d’information internet au niveau de la ville par district ou supérieur doit être obtenu. |
||
|
5 |
Rapport d’évaluation annuel |
Effectuer une évaluation annuelle de la sécurité des données de son propre chef, en confiant à un tiers la réalisation d’une évaluation annuelle de la sécurité des données de son propre chef, ou en confiant à un tiers la gestion des données importantes, les mesures d’identification et d’élimination des risques de sécurité des données, les incidents et situations d’élimination des données, ainsi que les systèmes de gestion de la sécurité des données, et rapporter le rapport d’évaluation au département municipal du cyberespace districtuel avant le 31 janvier de chaque année. Le rapport d’évaluation des risques doit être conservé pendant au moins 3 ans. |
|
6 |
Reportage, enquête et évaluation des événements de risque |
En cas d’incident de sécurité des données, tel que la fuite, les dommages ou la perte de données et d’informations importantes, le traitement de données doit signaler au service municipal du cyberespace dans un délai de huit heures, et soumettre un rapport d’enquête et d’évaluation sur les causes, les conséquences nuisibles, la gestion des responsabilités, les mesures d’amélioration et d’autres contenus dans les cinq jours ouvrables suivant la fin de l’incident. |
Tableau 5 Obligations et obligations de conformité des traités de données importants
Les Règlements compensent l’absence et les limites des lois existantes sur les normes de classification des « données importantes », de sorte que la classification des données dispose de normes de haut niveau dans les réglementations administratives, et font de la gestion hiérarchique des données une ligne directrice d’exploitation, ce qui est d’une grande importance pour garantir la sécurité et la conformité des données, ainsi que pour promouvoir le développement de l’économie numérique.
3. Obligations et obligations de conformité dans les scénarios de traitement transfrontalier des données
En matière de traitement transfrontalier des données, la loi sur la sécurité des données stipule la juridiction extraterritoriale, le contrôle des exportations, les lois sur le blocage, ainsi que des règles d’exportation transfrontalière et la justice transfrontalière. La Loi sur la cybersécurité et la Loi sur la protection des informations personnelles stipulent les conditions préalables à « l’évaluation de la sécurité, la certification de la protection, les contrats standards, etc. », le « consentement séparé », « l’assistance judiciaire internationale » et le « système de liste noire » en ce qui concerne les informations personnelles transfrontalières. Le règlement complète et affine la loi.
L’article 35 du Règlement stipule que les traiteurs de données fournissant des données en dehors du territoire de la République populaire de Chine doivent d’abord remplir les conditions correspondantes, c’est-à-dire par l’évaluation organisée par l’Administration du cyberespace de Chine, ou si le traiteur et le destinataire réussissent tous deux la certification de protection des informations personnelles ou concluent un contrat conformément au contrat standard du CAC.
Deuxièmement, les traiteurs de données doivent également se conformer aux obligations et obligations de conformité suivantes (voir Tableau 6) :
|
|
Objet |
Traitement des données Activités |
Responsabilités et obligations de conformité des données |
|
1 |
Traitements de données |
Fourniture d’informations personnelles à l’étranger |
La personne doit être informée du nom et des coordonnées du destinataire étranger, de l’objet et du mode de traitement de l’information, du type d’information et de la manière d’exercer les droits de la personne concernée, et d’obtenir le consentement distinct de la personne. |
|
2 |
Traitements de données |
Fournir des données à l’étranger |
Elle ne doit pas dépasser l’objectif, la portée, la méthode, le type de données, l’échelle, etc. spécifiés dans le rapport d’évaluation ; Prendre des mesures efficaces pour surveiller l’utilisation des données par le destinataire ; accepter les plaintes ; responsabilité pour les dommages causés par un individu, une organisation ou un intérêt public ; Les registres d’approbation de sortie doivent être conservés pendant plus de 3 ans. |
|
3 |
(1) Traitements de données |
Les données sortantes contiennent des données importantes |
doit être organisée par le Département national du cyberespaceÉvaluation de la sécurité de la sécurité à l’exportation de données。 Contenus clés de l’évaluation de sécurité : la légalité, la légitimité et la nécessité de fournir des données importantes, les dommages, fuites, falsifications et abus de données importantes, ainsi que les risques pour la sécurité nationale, le développement économique et les agences d’intérêt public, l’intégrité, le respect des lois et la coopération gouvernementale étrangère, la sanction du destinataire des données par le gouvernement chinois, ainsi que d’autres contextes, ses capacités de protection de la sécurité, les contrats, les mesures de prévention et le contrôle des risques, etc. |
|
(2) Opérateurs d’infrastructures d’information critiques |
Fourniture d’informations personnelles à l’étranger |
||
|
(3) Traitement de plus d’un million d’informations personnelles Traitements de données |
|||
|
4 |
Traitements de données |
Fourniture d’informations personnelles à l’étranger et de données importantes |
Le contenu suivant doit être fourni au département municipal d’information internet du district avant le 31 janvier de chaque annéeRapport annuel sur la sécurité des exportations de données: Le nom et les coordonnées de tous les destinataires de données, le type, le tri et l’objet des données, l’emplacement, la période, la portée et la méthode d’utilisation des données à l’étranger, le mécanisme de protection de la sécurité et le mécanisme de résolution des différends, ainsi que le retransfert des données. |
|
5 |
Traitements de données pour les listes à l’étranger |
Traitement annuel des données |
Elle doit être menée une fois par an, seule, ou en confiant à un tiers la gestion des données importantes, les mesures pour identifier et gérer les risques liés à la sécurité des données, les incidents et la gestion de la sécurité des données, ainsi que les systèmes de gestion de la sécurité des donnéesÉvaluation annuelle de la sécurité des données, et avant le 31 janvier de chaque annéeRapport d’évaluation annuelFaites un rapport au service d’information du réseau municipal par districts. |
|
6 |
Traitement des informations personnelles de plus d’un million de personnes Traitements de données |
Listés à l’étranger |
Une révision de la cybersécurité sera déclarée. |
|
7 |
Traitements de données |
L’inscription à Hong Kong affecte ou peut affecter la sécurité nationale |
Tableau 6 Autres responsabilités et obligations des traiteurs de données transfrontaliers
4. Scénarios d’exploitation de plateforme Internet
L’article 73, paragraphe 9 du Règlement stipule que les opérateurs de plateformes Internet désignent les traiteurs de données qui fournissent aux utilisateurs des services de plateforme Internet tels que la diffusion d’informations, les réseaux sociaux, le commerce, le paiement et l’audiovisuel. Le paragraphe 10 stipule que les opérateurs de grandes plateformes Internet désignent des opérateurs de plus de 50 millions d’utilisateurs, traitant de grandes quantités d’informations personnelles et de données importantes, disposant de fortes capacités de mobilisation sociale et d’une domination du marché.
Le Règlement stipule les systèmes de protection des données suivants pour les opérateurs de plateformes Internet (voir Tableau 7) :
|
|
Objet |
Activités |
Responsabilités et obligations de conformité des données |
|
1 |
Plateforme Internet |
Divulgation d’informations et de règles |
Établir un système de divulgation des règles de la plateforme, des politiques de confidentialité et des politiques d’algorithmes liées aux données, et divulguer rapidement les procédures de formulation et d’adjudication afin d’assurer l’équité, l’ouverture et l’impartialité des règles, politiques de confidentialité et algorithmes des plateformes. Les règles de la plateforme et les politiques de confidentialité doivent être publiquement sollicitées pour des commentaires, souvent au moins 30 jours ouvrés ; |
|
2 |
Une grande plateforme Internet avec plus de 100 millions d’utilisateurs actifs quotidiens (super plateforme) |
Révision du système |
Lorsque des règles de la plateforme, des politiques de confidentialité ou des révisions ayant un impact significatif sur les droits et intérêts des utilisateurs sont formulées, elles doivent être évaluées par une institution tierce et rapportées au département de l’information internet au niveau provincial ou supérieur, ainsi qu’au département des télécommunications compétent pour approbation. |
|
3 |
Opérateurs de plateformes Internet |
Utiliser de nouvelles technologies telles que l’intelligence artificielle, la réalité virtuelle et la synthèse profonde pour mener à bien des activités de traitement des données |
Une évaluation de sécurité doit être réalisée.
|
|
4 |
Opérateurs de plateformes Internet |
Utilisez des informations personnelles et des algorithmes de push personnalisés |
Un consentement séparé doit être obtenu, et des options d’arrêt faciles à utiliser en un clic doivent être mises en place. |
|
5 |
Opérateurs de plateformes Internet |
Fournir des services aux organes d’État et participer à la construction des infrastructures publiques et des systèmes de services publics |
Les données collectées et générées ne doivent pas être utilisées à d’autres fins. |
|
6 |
Opérateurs de plateformes Internet |
Responsabilité des tiers au sein de la plateforme |
Assumer la responsabilité de la gestion de la sécurité des données pour les produits et services tiers accédant à la plateforme, et assumer la responsabilité des indemnisations pour les dommages causés aux utilisateurs par des produits et services tiers. |
|
7 |
Opérateurs de plateformes Internet |
La concurrence déloyale est interdite |
Il n’est pas autorisé à commettre des actes de « destruction des big data » et de « nuire à la concurrence loyale », et ne doit pas commettre de fraude, de coercition ou de comportements trompeurs portant atteinte au droit des utilisateurs à prendre des décisions ; Les petites et moyennes entreprises sur la plateforme ne doivent pas être limitées à l’accès aux données industrielles et de marché générées par la plateforme par divers moyens. |
|
8 |
Opérateurs de plateformes Internet |
Authentification de l’identité personnelle |
Les services d’authentification d’identité personnelle de l’infrastructure nationale d’authentification d’identité d’identité du réseau public doivent être pris en charge et priorisés. |
|
9 |
Les grands opérateurs de plateformes Internet |
/ |
Effectuer des audits annuels de la sécurité des données de la plateforme, de la mise en œuvre des règles et engagements, de la protection des informations personnelles, du développement et de l’utilisation des données, etc., et de divulguer l’obligation de divulguer les résultats des audits. |
|
10 |
Grande plateforme Internet Opérateurs |
Installer des quartiers généraux, des centres d’opérations et des centres de R&D à l’étranger |
doit relever du Département national du cyberespace et du Département compétent. |
|
11 |
Fournir des services de distribution d’applications Opérateurs de plateformes Internet |
/ |
Les règles d’audit de la demande doivent être établies, divulguées, et la demande doit être auditée de manière sécurisée. |
|
12 |
Plateforme Internet qui propose des services de messagerie instantanée Opérateurs |
Échange de données utilisateur |
Des interfaces de données devraient être fournies pour les services de messagerie instantanée d’autres opérateurs de plateformes Internet afin de soutenir l’échange de données utilisateur entre différents services de messagerie instantanée. |
|
13 |
Rassemblez des opérateurs de plateformes Internet disposant d’un grand nombre de ressources de données liées à la sécurité nationale, au développement économique et aux intérêts publics |
Mettre en œuvre des fusions, réorganisations, séparations affectant ou susceptibles d’affecter la sécurité nationale |
Une révision de la cybersécurité sera déclarée. |
Tableau 7 Système de protection de la sécurité des données des opérateurs de plateformes Internet
5. Obligations et obligations de conformité des prestataires de traitement de données en cas de fusions et de restructurations (voir Tableau 8) :
|
|
Situation |
Obligations et devoirs de conformité |
|
|
1 |
Le traitement de données a été fusionné, réorganisé ou séparé |
|
Le destinataire des données doit continuer à remplir ses obligations de protection des données. |
|
Impliquant des données importantes et des informations personnelles de plus d’un million de personnes |
doit relever du département compétent au niveau de la ville par district. |
||
|
2 |
Le traitement de données est dissous ou déclaré en faillite |
|
doit se présenter au département compétent au niveau du district pour transférer ou supprimer les données ; Si le département compétent n’est pas clair, il doit relever du Département Municipal du Cyberespace Districtual. |
Tableau 8 Obligations et obligations de conformité des prestataires de données en cas de fusions et restructurations
Section III Épilogue
Après l’entrée au XXIe siècle, le développement économique et social rapide de notre pays, notamment durant la période du « XIIIe Plan quinquennal », a permis de réaliser de grandes avancées dans la construction de la Chine numérique, qu’il s’agisse de l’ampleur de la construction des infrastructures de l’information ou de la capacité d’innovation des technologies de l’information, il occupe une position de leader mondiale.
En 2021, avec la mise en œuvre du Code civil de la République populaire de Chine, de la Loi sur la sécurité des données de la République populaire de Chine et de la Loi sur la protection des informations personnelles de la République populaire de Chine, la protection des données et la gouvernance des données ont atteint un niveau juridique sans précédent. De plus, une série de ministères et commissions liés aux données (y compris des projets de commentaires) et de réglementations sur le big data des gouvernements locaux ont été publiées par le passé et récemment, enrichissant et améliorant le système juridique de protection et de gouvernance des données, et posant une base juridique solide pour le développement de l’économie numérique.
Dans le cadre de la tendance générale de la transformation numérique et de la modernisation des entreprises, les départements gouvernementaux et tous types d’entreprises ont été/ou deviendront des « traiteurs de données », tous confrontés à la lourde responsabilité de la gouvernance des données et à l’assumement des responsabilités et obligations de la protection de la sécurité des données. Le chemin vers la conformité commence au pied.
Auteur : Wang Jiao, cabinet d’avocats Sichuan Juheng
Source : Comité professionnel privé de droit économique de l’Association des avocats de Chengdu
Cet article est l’opinion personnelle de l’auteur et ne représente pas la position de l’Association des avocats de Chengdu
Les avocats de la ville sont invités à soumettre leurs soumissions, et l’email de soumission : cdlxxc@163.com
Adresse : Fantasia Plaza, n° 1388, section centrale de l’avenue Tianfu, Chengdu, JR· Chambre Fantasia 1007, 10e étage, Bâtiment B, Huayang Jinjiang
©2019-2022 Association des avocats de Chengdu Tous droits réservés |Le Sichuan ICP est 17040215 numéro | Support technique : création de site web en bambou