Compte public WeChat
${match[2]}-${match[3]}
${match[4]} :${match[5]} :${match[6]}
`;
container.appendChild (superposition) ;
}
});Police :
Analyse de la situation actuelle de la supervision administrative de la protection des informations personnelles dans notre pays
La loi sur la protection des informations personnelles ne crée pas d’organe de surveillance distinct et indépendant pour superviser la protection des informations personnelles, mais met en place un modèle de supervision de « supervision collaborative (1+X) sous supervision globale », incluant l’Administration du cyberespace de Chine, le Ministère de l’Industrie et des Technologies de l’Information, le Ministère de la Sécurité Publique et l’Administration d’État pour la régulation des Marchés, ainsi que les départements concernés du Conseil d’État et des gouvernements locaux. D’après les actions réglementaires passées, la supervision administrative de la protection des informations personnelles a montré des tendances telles que des mesures d’application spéciales, de maintien des liens de liaison, des notifications à haute fréquence, ainsi qu’une application plus scientifique et technologique, mais il existe aussi des problèmes tels que la supervision dispersée, des responsabilités réglementaires floues, des procédures floues, un manque de professionnalisme et d’indépendance, qui doivent être résolus en urgence.
[Mots-clés] protection des informations personnelles ; supervision administrative ; exécution par liaison ; Fragmentation de la réglementation
À l’ère de l’économie numérique, l’information personnelle, en tant que nouveau facteur de production, joue un rôle de plus en plus important, affectant non seulement les droits et intérêts personnels ainsi que les opérations commerciales, mais aussi en lien avec les intérêts publics et la sécurité nationale. Avec le développement des technologies de l’information, la collecte et l’utilisation illégales d’informations personnelles sont devenues de plus en plus graves, et le nombre d’activités illégales et criminelles d’informations personnelles augmente également. La supervision administrative est la principale méthode et la force de protection des informations personnelles, entre civil et pénal, qui peuvent généralement être supervisées plus rapidement et efficacement, mieux prévenir et prévenir les risques, punir ou corriger en temps utile une manipulation inappropriée des informations personnelles, et les forces de l’ordre administratif peuvent également fournir des conseils et des références en matière de conformité aux entreprises impliquées dans le traitement des informations personnelles. Ces dernières années, les régulateurs ont continuellement puni et supervisé les violations et crimes liés aux informations personnelles à travers diverses actions policières, obtenant de bons résultats. Cependant, il existe de nombreuses agences administratives de régulation pour la protection des informations personnelles, et il existe des problèmes tels que des normes différentes et des domaines réglementaires peu clairs, ce qui peut non seulement conduire à des recours flous pour les personnes concernées lorsqu’elles sont enfreintes, mais aussi empêcher les entreprises de protéger véritablement les informations personnelles en raison de leur fatigue à gérer la supervision. Par conséquent, clarifier la situation actuelle et les problèmes de supervision administrative de la protection des informations personnelles favorise la supervision administrative jouant le rôle de préprévention, de supervision en cours et de post-traitement tout au long de la protection des informations personnelles[]pour mieux protéger les droits et intérêts liés aux informations personnelles.
1. La situation actuelle de la supervision administrative de la protection des informations personnelles
La supervision administrative de la protection des informations personnelles a toujours été le phénomène du « contrôle des inondations de Kowloon », et le département du cyberespace, le département des télécommunications, le département de la sécurité publique, le département de supervision des marchés, ainsi que les départements concernés dans les finances, l’éducation, les transports, les soins médicaux, la santé et d’autres domaines connexes sont tous responsables de la supervision. Dans le cadre du processus législatif de la loi sur la protection des informations personnelles, de nombreux experts et chercheurs ont réclamé la création d’une agence de régulation unifiée et spécialisée, mais la loi sur la protection des informations personnelles vient d’être promulguée[]Il n’existe pas d’agence distincte pour superviser la protection des informations personnelles, et le professeur Zhou Hanhua, expert juridique profondément impliqué dans la législation sur la protection des informations personnelles et la promeuvant, le regrette également[]。 Le modèle de supervision administrative de la protection des informations personnelles établi par la Loi sur la protection des renseignements personnels n’est pas très différent du modèle réglementaire actuel, mais il a évolué. Il n’y a pas beaucoup de différence, ce qui signifie que la Loi sur la protection des informations personnelles n’établit pas d’agence de régulation unifiée et spécialisée, et perpétue le modèle précédent de supervision multipartite, tandis que ce changement signifie que, bien que la Loi sur la protection des informations personnelles poursuive le modèle de la supervision multipartite, elle clarifie le statut global de coordination et le rôle du département national du cyberespace dans la supervision de la protection des informations personnelles.
Conformément à l’article 60 de la Loi sur la protection des renseignements personnels, l’Administration du cyberespace de Chine, les départements concernés du Conseil d’État et les départements concernés des gouvernements populaires locaux, au niveau des comtés ou au-dessus, forment conjointement le département de régulation de la protection des informations personnelles dans notre pays, légalement appelé « département exerçant les fonctions de protection des informations personnelles ». Le modèle réglementaire établi par la Loi sur la protection des informations personnelles peut se résumer par le modèle de « supervision collaborative (1+X) » sous supervision globale[]« 1 » désigne le département national du cyberespace, chargé de coordonner la protection des informations personnelles ainsi que la supervision et la gestion associées, et « X » désigne les départements concernés du Conseil d’État et des départements concernés des gouvernements populaires au niveau des comtés, qui sont responsables de la protection, de la supervision et de la gestion des informations personnelles dans le cadre de leurs fonctions respectives conformément aux dispositions des lois et règlements administratifs applicables[]。
En examinant les lois et règlements actuels, on peut déterminer que « X » inclut non seulement les départements concernés du Conseil d’État tels que le Ministère de la Sécurité publique, le Ministère de l’Industrie et des Technologies de l’Information et l’Administration d’État pour la régulation des marchés au niveau horizontal, mais aussi les départements concernés des gouvernements locaux tels que l’Administration du cyberespace de Chine, l’Administration des communications et le département de supervision des marchés au niveau vertical, ainsi que les départements de sécurité nationale dans des domaines et industries spécifiques, la Banque populaire de Chine, la Commission de régulation des banques et des assurances de Chine, ainsi que les départements compétents des transports , les services de santé, les départements de l’éducation, etc. (Voir Tableau 1)
tableau1 Protection des informations personnelles dans notre paysPartieOrganismes de régulation administrative
|
Statut/Fonction |
Champ/Industrie |
Régulateurs |
|
Coordination globale |
Sécurité réseau, gestion du contenu de l’information Internet |
Administration du cyberespace de Chine |
|
Collaboration (Départements concernés du Conseil d’État) |
Télécommunications et Internet |
Ministère de l’Industrie et des Technologies de l’Information |
|
Sécurité réseau et activités illégales et criminelles sur Internet |
Ministère de la Sécurité publique |
|
|
Supervision et gestion du marché, protection des consommateurs |
Administration d’État pour la régulation des marchés |
|
|
Finance (Banque/Assurance) |
Banque du Peuple de Chine, Commission de régulation bancaire et d’assurance de Chine |
|
|
Transport |
Ministère des Transports |
|
|
Soins médicaux et de santé |
Commission nationale de la santé |
|
|
Presse et édition, radio et télévision |
Administration de la presse et des publications d’État, Administration d’État de la radio et de la télévision |
|
|
Éducation |
Ministère de l’Éducation |
|
|
Sécurité nationale |
Ministère de la Sécurité nationale, Administration nationale de la cryptographie |
|
|
Collaboration (Départements pertinents des gouvernements locaux) |
Administration locale du cyberespace, administration des communications, organes de sécurité publique, organes de supervision et de gestion des marchés, bureaux d’éducation, départements de santé, départements des transports, etc |
|
2. Organismes de régulation administrative communs pour la protection des informations personnelles
(1) Administration du cyberespace de la Chine
L’Administration du cyberespace de Chine, nom complet de l’Administration du cyberespace de la République populaire de Chine, a été créée en mai 2011 et est un bureau relevant du Conseil d’État. Selon l’autorisation du Conseil d’État, l’Administration du cyberespace de Chine est principalement responsable de la gestion du contenu des informations Internet dans notre pays, et est responsable de la supervision et de la gestion des forces de l’ordre[]。 Avant la promulgation de la Loi sur la protection des informations personnelles, l’Administration du cyberespace de Chine, en tant que « département national du cyberespace », avec le ministère de la Sécurité publique et le ministère de l’Industrie et des Technologies de l’information, était connue comme la « troïka » de la supervision d’Internet, et jouait un rôle très important dans la supervision de la protection des informations personnelles. Selon les statistiques sur les actions des forces de l’ordre et les affaires liées à la surveillance de la protection des informations personnelles au cours des deux dernières années, l’Administration du cyberespace de Chine peut être décrite comme l’une des agences de régulation de la protection des informations personnelles les plus actives. Après la promulgation de la Loi sur la protection des renseignements personnels, l’Administration du cyberespace de Chine, en tant que département de coordination global pour la protection des informations personnelles, a établi une position dominante relativement claire, s’est vu confier davantage de pouvoirs, et la supervision de la protection des informations personnelles est inévitablement renforcée à l’avenir[]。
En tant que principale agence de régulation pour la protection des informations personnelles, l’Administration du cyberespace de Chine a également publié ces dernières années de nombreux règlements et documents normatifs sur la protection des informations personnelles, notamment les « Dispositions sur la protection des réseaux des informations personnelles des enfants », « Plusieurs dispositions sur la sécurité des données automobiles (essai) », « Mesures pour l’examen de la sécurité des réseaux » et « Réglementations sur la gestion des services d’information des applications Internet mobiles ». De plus, les départements locaux du cyberespace (« bureaux locaux du cyberespace ») ont assumé les responsabilités réglementaires du CAC dans leurs juridictions et sont les principaux régulateurs de la protection des informations personnelles, tout comme le CAC.
Il convient de mentionner que l’Administration du cyberespace de Chine et l’Administration du cyberespace de Chine sont deux marques d’une même institution et sont incluses dans la séquence d’institutions directement relevant du Comité central du Parti communiste chinois. L’Administration centrale du cyberespace de Chine, nom complet de « Bureau de la Commission de cybersécurité et d’informatisation du Comité central du Parti communiste chinois », est le bureau de la « Commission centrale de cybersécurité et d’informatisation », et la Commission centrale de cybersécurité et d’informatisation est l’ancien « Groupe central dirigeant pour la cybersécurité et l’informatisation » réorganisé conformément au « Plan d’approfondissement de la réforme des institutions du Parti et de l’État », principalement responsable de la conception de haut niveau, de la mise en page globale, de la coordination globale, de la promotion globale et de la supervision de la mise en œuvre des travaux majeurs dans le domaine de la sécurité des réseaux et de l’informatisation dans notre pays. La création de ces institutions a en réalité renforcé le niveau global de coordination de l’Administration du cyberespace de Chine, et est plus favorable au travail de supervision de la protection des informations personnelles du CAC.
(2) Ministère de l’Industrie et des Technologies de l’Information
Le Ministère de l’Industrie et des Technologies de l’Information, également connu sous le nom de « Ministère de l’Industrie et des Technologies de l’Information de la République populaire de Chine », a été créé en 2008 par l’ancien Ministère de l’Industrie de l’Information, la Commission Nationale des Sciences et Technologies de la Défense et le Bureau des Technologies de l’Information du Conseil d’État dans le cadre de la réforme institutionnelle du Conseil d’État. Selon les dernières réglementations du Bureau du Comité de Préparation des Agences Centrales, les principales responsabilités du Ministère de l’Industrie et des Technologies de l’Information incluent la gestion de l’industrie Internet, la gestion de l’information et de la communication, la gestion des réseaux et de la sécurité de l’information, etc[]。 En 2013, le ministère de l’Industrie et des Technologies de l’Information a publié les « Dispositions sur la protection des informations personnelles des télécommunications et des utilisateurs d’Internet », qui ont évoqué de nombreux principes et exigences pour la collecte d’informations des utilisateurs par les opérateurs de télécommunications et les fournisseurs de services d’information Internet, et ont stipulé des sanctions administratives[]。
Le ministère de l’Industrie et des Technologies de l’Information fait également partie de la « troïka », et a à plusieurs reprises mené des actions réglementaires et d’application de la loi sur la protection des informations personnelles, seule ou conjointement avec d’autres départements, y compris une action spéciale de gouvernance pour la collecte et l’utilisation illégales d’informations personnelles par les applications en janvier 2019[]En juillet 2020, une promotion approfondie distincte de l’action spéciale de rectification des applications portant atteinte aux droits et intérêts des utilisateurs a été menée[]。 Dans de nombreuses lois et réglementations, le ministère de l’Industrie et des Technologies de l’Information s’est vu confier la responsabilité de la supervision de la protection des informations personnelles et est l’une des agences réglementaires les plus importantes pour la protection des informations personnelles dans notre pays. De même, le ministère de l’Industrie et des Technologies de l’Information a publié un certain nombre de règlements départementaux et de documents normatifs pour protéger et superviser les informations personnelles liées aux télécommunications et à Internet. En plus du ministère de l’Industrie et des Technologies de l’information, les administrations des communications de toutes les provinces, régions autonomes et municipalités directement sous la responsabilité du gouvernement central et du ministère de l’Industrie et des Technologies de l’information sont collectivement désignées comme « agences de gestion des télécommunications » et assument les responsabilités de supervision du ministère de l’Industrie et des Technologies de l’information dans les juridictions locales.
(3) Ministère de la Sécurité publique
Le ministère de la Sécurité publique, nom complet de « Ministère de la Sécurité publique de la République populaire de Chine », est un département constitutif du Conseil d’État et le plus haut organe dirigeant et organe de commandement des travaux de sécurité publique du pays. Le ministère de la Sécurité publique est un autre responsable de la supervision d’Internet, en plus de l’Administration du cyberespace de Chine et du ministère de l’Industrie et des Technologies de l’information, principalement dans le but de garantir la sécurité des réseaux, et il est responsable de la prévention et de la répression des activités illégales et criminelles sur Internet[]。 Le Bureau de la cybersécurité (« Bureau de la cybersécurité du Ministère de la Sécurité Publique ») est créé au sein du Ministère de la Sécurité Publique, responsable de la supervision et de la gestion de la sécurité d’Internet à travers tout le pays, du maintien de l’ordre public et de la sécurité publique sur Internet, ainsi que de la prévention et de la punition des activités illégales et criminelles sur Internet.
En plus de déposer et d’enquêter sur les actes criminels portant atteinte aux informations personnelles des citoyens conformément au Code pénal et à d’autres dispositions, le Ministère de la Sécurité publique peut également assurer une supervision administrative des actes illégaux liés aux informations personnelles conformément aux dispositions des lois et règlements tels que la Loi sur la cybersécurité, la Loi sur la sécurité des données, la Loi sur la protection des mineurs, la Loi sur la carte d’identité des résidents, les Règlements sur la protection des systèmes informatiques et les Règlements sur la protection des infrastructures d’information critiques, ainsi que d’autres lois et règlements, et prendre des mesures telles que la sanction de la sécurité publique. La participation du ministère de la Sécurité publique et des organes locaux de sécurité publique à la supervision de la protection des informations personnelles peut non seulement renforcer le rôle réglementaire, mais aussi jouer un rôle dissuasif.
(4) Administration d’État pour la régulation des marchés
L’Administration d’État pour la régulation des marchés (« Administration d’État pour la régulation des marchés de la République populaire de Chine », est un organisme directement relevant du Conseil d’État, principalement responsable de l’organisation et de la mise en œuvre de la supervision et de la gestion des marchés ainsi que de l’application de la loi. Selon les dispositions des lois et règlements tels que la Loi sur la cybersécurité, la Loi sur le commerce électronique, la Loi sur la protection des droits des consommateurs et les Mesures de sanction des violations des droits et intérêts des consommateurs, le département de supervision et d’administration du marché a le droit de superviser et d’enquêter sur les infractions aux lois et règlements relatifs aux informations personnelles, et est responsable de la supervision de la protection des informations personnelles. En mars 2019, l’Administration d’État pour la régulation des marchés a lancé une action spéciale d’application de la loi intitulée « Protection de la consommation et lutte contre les actes illégaux d’atteinte aux informations personnelles des consommateurs »[]。 Parce que la collecte et l’utilisation illégales d’informations personnelles impliquent généralement des questions de protection des droits des consommateurs et de gestion du marché, le département de supervision et d’administration du marché est également une agence de régulation importante pour la protection des informations personnelles et est largement impliqué dans de nombreuses actions policières liées à la supervision de la protection des informations personnelles. En plus de l’Administration d’État pour la régulation des marchés, les départements de supervision des marchés locaux sont également responsables de la protection des informations personnelles dans leurs juridictions.
(5) Autres institutions pertinentes
D’après les actions et affaires passées des forces de l’ordre, l’Administration du cyberespace de Chine, le ministère de l’Industrie et des Technologies de l’information, le ministère de la Sécurité publique, l’Administration d’État pour la régulation des marchés et leurs branches locales sont des régulateurs communs de la protection des informations personnelles et ont joué un rôle irremplaçable dans la protection des informations personnelles. De plus, il existe certains organismes de régulation courants dans des domaines et secteurs spécifiques, tels que les « Une partie, deux sessions », qui régulent les informations financières personnelles[], la Commission nationale de la santé qui régule la santé personnelle et les informations médicales, le Ministère des Transports qui supervise les informations personnelles sur les transports, le Ministère de l’Éducation qui supervise les informations sur l’éducation personnelle, ainsi que les branches ou agences affectées de ces institutions, etc. Les agences de régulation concernées ont également mené à plusieurs reprises des travaux de protection et de supervision des informations personnelles en formulant des règles départementales, des documents normatifs et en menant des actions spéciales d’application de la loi.
3. Pratique des forces de l’ordre de supervision administrative de la protection des informations personnelles
(1) Principales méthodes et caractéristiques de l’application de la loi
La protection des informations personnelles dans notre pays est en réalité d’abord criminelle, à travers l’amendement du droit pénal (VII) de 2009, l’amendement du droit pénal (9) de 2015 et l’interprétation judiciaire des « Deux Cours suprêmes » de 2017 concernant la violation des informations personnelles des citoyens[]et d’autres dispositions ont établi et amélioré le système de responsabilité pénale pour les « crimes d’atteinte aux informations personnelles des citoyens ». En 2016, Xu Yuyu a été trompé jusqu’à la mort[]Après l’adoption et la mise en œuvre de la Loi sur la cybersécurité en 2017, la question de la protection des informations personnelles a attiré l’attention de toute la société, et les autorités de régulation se sont progressivement intéressées à la protection des informations personnelles. En analysant ces dernières années diverses actions et affaires de maintien de l’ordre des agences réglementaires concernées, il a constaté que les principales méthodes et caractéristiques de la supervision de la protection des informations personnelles incluent :
1.Forces de l’ordre spéciales, conjointes(liaison)La plupart sont des forces de l’ordre.
Depuis 2019, des agences nationales et locales telles que l’Administration du cyberespace de Chine, les agences de régulation des télécommunications, les organes de sécurité publique, les départements de supervision des marchés et les autorités éducatives ont mené plus de 10 actions spéciales d’application de la loi ou de rectification pour assurer une supervision et une application de la loi ou la correction de questions telles que la collecte et l’utilisation illégales d’informations personnelles. La durée des actions spéciales d’application de la loi est grande, la couverture est étendue, et il existe une tendance à une application de la loi interdisciplinaire multi-départements (de liaison) et à une gouvernance globale. (Voir Tableau 2)
Tableau 2 Quelques actions de protection des informations personnelles en matière d’application de la loi de 2019 à 2021
|
Date |
Régulateurs |
Nom de l’action d’exécution |
Méthodes d’application de la loi |
|
23 janvier 2019 |
L’Administration du cyberespace de Chine, le Ministère de l’Industrie et des Technologies de l’Information, le Ministère de la Sécurité Publique et l’Administration d’État pour la Régulation des Marchés |
Annonce de l’Administration du cyberespace de Chine, du Ministère de l’Industrie et des Technologies de l’Information, du Ministère de la Sécurité Publique et de l’Administration d’État pour la régulation des marchés concernant la mise en œuvre d’une gouvernance spéciale sur la collecte et l’utilisation des informations personnelles par les applications en violation des lois et règlements |
Forces de l’ordre spéciales et forces de l’ordre conjointes |
|
23 janvier 2019 |
Ministère de la Sécurité publique |
Action spéciale « Clean Net 2019 » |
Forces de l’ordre spéciales |
|
12 mars 2019 |
Administration d’État pour la régulation des marchés |
Avis du Bureau général de l’Administration de l’État pour la régulation des marchés sur la réalisation d’actions spéciales d’application de la loi pour « protéger la consommation » et réprimer les actes illégaux d’atteinte aux informations personnelles des consommateurs |
Forces de l’ordre spéciales |
|
28 juin 2019 |
Ministère de l’Industrie et des Technologies de l’Information |
Avis du Bureau général du ministère de l’Industrie et des Technologies de l’Information sur l’impression et la diffusion du Plan d’action spécial pour améliorer les capacités de protection des données réseau dans les industries des télécommunications et d’Internet |
Forces de l’ordre spéciales |
|
10 août 2019 |
Le ministère de l’Éducation, l’Administration du cyberespace de Chine, le ministère de l’Industrie et des Technologies de l’information, le ministère de la Sécurité publique, le ministère des Affaires civiles, l’Administration d’État pour la régulation des marchés, l’administration d’État de la presse et de la publication, ainsi que le Bureau du Groupe de travail national sur la « lutte contre la pornographie et les activités illégales » |
« Avis du ministère de l’Éducation et des huit autres départements sur la direction et la régulation du développement ordonné et sain des applications Internet mobiles dans l’éducation » |
Forces de l’ordre spéciales et forces de l’ordre conjointes |
|
31 octobre 2019 |
Ministère de l’Industrie et des Technologies de l’Information |
Avis du Ministère de l’Industrie et des Technologies de l’Information sur la Réalisation d’une Rectification Spéciale des Violations des Droits et Intérêts des Utilisateurs par Application |
Forces de l’ordre spéciales |
|
17 avril 2020 |
Administration provinciale du cyberespace du Jiangsu, Département provincial de la sécurité publique du Jiangsu, Bureau provincial de supervision des marchés du Jiangsu, Administration provinciale des communications du Jiangsu |
Annonce sur la mise en œuvre d’une gouvernance spéciale concernant la collecte et l’utilisation des informations personnelles par les applications en violation des lois et règlements |
Forces de l’ordre spéciales et forces de l’ordre conjointes |
|
22 juillet 2020 |
Ministère de l’Industrie et des Technologies de l’Information |
Avis du Ministère de l’Industrie et des Technologies de l’Information sur la mise en œuvre d’actions spéciales de rectification visant à promouvoir la promotion approfondie des violations des droits et intérêts des utilisateurs par les applications (Lettre de gestion de l’information du Ministère de l’Industrie et des Technologies de l’Information [2020] n° 164) |
Forces de l’ordre spéciales |
|
24 février 2021 |
Commission de régulation des banques et des assurances de Chine, Administration du cyberespace de Chine, Ministère de l’Éducation, Ministère de la Sécurité publique, Banque populaire de Chine |
Avis sur la régulation supplémentaire de la supervision et de la gestion des prêts à la consommation Internet pour les étudiants universitaires |
Forces de l’ordre spéciales et forces de l’ordre conjointes |
|
16 avril 2021 |
Administration du cyberespace de Tianjin, Bureau de la sécurité publique de Tianjin, Commission de supervision du marché de Tianjin, Administration des communications de Tianjin |
Avis sur la mise en œuvre de la gouvernance spéciale de la sécurité des réseaux d’applications à Tianjin en 2021 |
Forces de l’ordre spéciales et forces de l’ordre conjointes |
|
1er juin 2021 |
Administration provinciale du cyberespace du Zhejiang, Département provincial de la sécurité publique du Zhejiang, Bureau provincial de supervision des marchés du Zhejiang, Administration provinciale des communications du Zhejiang |
« Annonce sur la mise conjointe en œuvre de la gouvernance spéciale de la collecte et de l’utilisation des informations personnelles dans la province du Zhejiang en 2021 par des applications en violation des lois et règlements » |
Forces de l’ordre spéciales et forces de l’ordre conjointes |
|
1er septembre 2021 |
Le ministère des Transports, l’Administration du cyberespace de Chine, le Ministère de l’Industrie et des Technologies de l’Information, ainsi que l’Administration d’État pour la régulation des marchés |
« Annonce sur l’interview conjointe de 11 plateformes de car-hailing en ligne par cinq départements » |
Forces de l’ordre spéciales et forces de l’ordre conjointes |
2. Notification à haute fréquence et publique des violations des lois et règlements.
Selon les statistiques du « Rapport spécial de gouvernance sur la collecte et l’utilisation illégales d’informations personnelles par l’application (2019) »[]Rien qu’en 2019, l’Administration du cyberespace de Chine et quatre autres départements ont conjointement mené l’action spéciale de gouvernance des applications, évalué plus de 1 000 applications couramment utilisées par les utilisateurs, informé les opérateurs de 256 applications, les exhorté à finaliser la correction de 1 267 problèmes clés, et recommandé aux autorités réglementaires compétentes de retirer un total de 11 applications qui n’avaient pas appliqué les exigences de rectification ; Le ministère de l’Industrie et des Technologies de l’Information a mené une action spéciale pour améliorer les capacités de protection des données réseau dans les industries des télécommunications et d’Internet, ainsi qu’une action spéciale de rectification pour les applications portant atteinte aux droits et intérêts des utilisateurs, a émis des avis de rectification à 236 opérateurs d’applications, a notifié publiquement 56 applications et supprimé 3 applications ; Le ministère de la Sécurité publique a mené l’action spéciale « Clean Net 2019 », détectant et évaluant plus de 31 000 applications, enquêtant et vérifiant 3 129 indices de violations et violations d’applications, corrigeant 2 090 applications, enquêtant et sanctionnant 1 121 applications, et se concentrant sur la révélation de 100 applications contenant une collecte et une utilisation illégales d’informations personnelles ; L’Administration d’État pour la régulation des marchés a mené une action spéciale pour « protéger la consommation » et réprimer les actes illégaux portant atteinte aux informations personnelles des consommateurs, et a déposé et enquêté sur 1 474 affaires de diverses infractions aux informations personnelles des consommateurs. Plus de 3,69 millions d’informations impliquées dans l’affaire ont été saisies, et plus de 19,46 millions de yuans ont été condamnés à une amende et confisqués ; 4 225 liens avec les forces de l’ordre ont été organisés et 3 536 entretiens administratifs ont été menés. En septembre 2021, le seul ministère de l’Industrie et des Technologies de l’Information a publié un total de 18 lots d’avis d’application pour violation des droits et intérêts des utilisateurs, exigeant que les applications concernées corrigent leur traitement dans un délai imparti[]。 La surveillance à haute fréquence des forces de l’ordre concernant les violations des informations personnelles et des lois et règlements a attiré une large attention de l’ensemble de la société et a joué un rôle réglementaire important.
3. Les institutions professionnelles participent, et la supervision est plus scientifique et technique.
La supervision de la protection des informations personnelles implique non seulement des questions juridiques, mais aussi des questions commerciales et techniques complexes, telles que les robots d’indexation, SDK, API, intelligence artificielle, big data, algorithmes, etc. Ainsi, dans les actions réglementaires de protection des informations personnelles, les agences de régulation confient souvent ou autorisent des institutions professionnelles ou des organisations techniques concernées à participer à l’évaluation et à l’analyse réelles des violations et violations liées aux informations personnelles. Dans les actions spéciales de gouvernance menées conjointement par l’Administration du cyberespace de Chine et quatre autres départements, le Comité technique national de normalisation de la sécurité de l’information, l’Association des consommateurs de Chine, la Société Internet de Chine et l’Association chinoise de la sécurité du cyberespace ont été chargés de participer aux actions d’application de la loi en tant qu’institutions professionnelles, de participer à la préparation des points d’évaluation conformément aux lois et normes nationales pertinentes, et d’organiser l’évaluation de la collecte et de l’utilisation des informations personnelles pertinentes. Certaines institutions professionnelles participent non seulement à l’évaluation, mais rapportent également les résultats de suivi au monde extérieur[]。 L’intervention des institutions professionnelles rend la supervision plus stricte et plus complète, tout en rendant la supervision plus scientifique et technique, et les entreprises doivent non seulement fournir des documents écrits mais aussi accepter certains tests techniques lors de la supervision, afin de réduire considérablement la situation de « réparation ouverte des routes en planches et secrètement Chen Cang »[]。
(2) Principales mesures réglementaires et conséquences des violations
Avant la promulgation de la Loi sur la protection des renseignements personnels, les lois et règlements tels que la Loi sur la sécurité des données, la Loi sur la cybersécurité, la Loi sur le commerce électronique, la Loi sur la protection des droits des consommateurs et les Règlements sur les télécommunications prévoyaient des dispositions correspondantes sur les mesures réglementaires et les conséquences des activités illégales liées à l’information personnelle. Combinée à la pratique des forces de l’ordre des agences de régulation, celles-ci adoptent généralement des mesures de régulation lorsqu’elles traitent des activités illégales d’informations personnelles, notamment des entretiens informels, des notifications publiques ou une exposition publique, ainsi que la rectification ou la correction formelle dans un délai imparti, amendes, confiscation de gains illégaux, suspension d’activités pertinentes ou retrait de produits associés, suspension d’activité pour rectification, suspension d’accès au service, révocation de licences commerciales ou licences commerciales, etc. Parallèlement, les régulateurs peuvent également enregistrer les violations des lois et règlements dans les dossiers de crédit et les publier. En cas de violations des lois et règlements par les organes et le personnel de l’État, les agences de régulation peuvent ordonner des corrections dans un délai imparti et imposer des sanctions administratives. Des mesures réglementaires différentes signifient que les parties font face à des conséquences différentes en cas de violations, allant d’être informées publiquement ou exposées, à des dommages au crédit ou à des amendes, à la suspension d’activités, au retrait de produits et à la suspension pour rectification, entraînant une interruption d’activité ou de service, à des sanctions plus sévères telles que la révocation d’une licence commerciale ou d’une licence, et finalement l’impossibilité de continuer à fournir des services ou des opérations. C’est le cas du récent « incident Didi », car « Didi Chuxing » a de graves violations des lois et règlements dans la collecte et l’utilisation d’informations personnelles, l’Administration du cyberespace de Chine et d’autres agences de régulation ont mené une revue de la sécurité réseau à ce sujet, et ont pris des mesures réglementaires telles que l’arrêt de l’enregistrement de nouveaux utilisateurs et la notification de la suppression de l’application « Didi Chuxing »[][]。
La loi sur la protection des informations personnelles prévoit des dispositions plus détaillées et claires sur les mesures réglementaires et les conséquences en cas de violations d’informations personnelles, y compris des mesures réglementaires telles que l’acceptation de plaintes, de rapports, l’organisation d’évaluations et la publication des résultats d’évaluation, ainsi que des mesures spécifiques que les agences de régulation peuvent prendre, telles que les enquêtes et les enquêtes, l’accès et la reproduction de documents, les inspections sur site, la saisie d’objets, les entretiens et les audits de conformité. Selon l’article 66 de la Loi sur la protection des renseignements personnels, si la personne concernée manipule illégalement des informations personnelles ou ne remplit pas ses obligations de protection des informations personnelles, en plus des sanctions ci-dessus, le superviseur concerné ou la personne directement responsable sera également sanctionné par des restrictions d’interdiction d’activité, c’est-à-dire que le personnel concerné ne peut pas exercer les fonctions d’administrateur, superviseur, cadre supérieur ou personnel de protection des informations personnelles de l’entreprise concernée pendant une période déterminée[]。 En plus des sanctions administratives, la loi sur la protection des informations personnelles établit un système de contentieux d’intérêt public pour la protection des informations personnelles, qui peut être déposé auprès du tribunal populaire conformément à la loi pour manipulation illégale d’informations personnelles et atteinte aux droits et intérêts de nombreuses personnes. Ce système augmente sans aucun doute l’autorité réglementaire des autorités régulatrices, élargit la voie réglementaire et relie efficacement la supervision administrative et la supervision judiciaire.
4. Questions et suggestions pour la supervision administrative de la protection des informations personnelles
(1) Il existe de nombreuses agences de régulation, la supervision est dispersée, et les responsabilités réglementaires doivent être davantage clarifiées
Il existe de nombreuses agences de régulation de la protection des informations personnelles, et le style de supervision multi-chefs de « contrôle des inondations de Kowloon » peut non seulement entraîner le problème d’une supervision fragmentée, les régulateurs se dérobent mutuellement et échappent, mais peut aussi entraîner des problèmes de supervision concurrente et de duplication de supervision. Tout d’abord, bien que la loi sur la protection des informations personnelles établisse un modèle réglementaire « 1+X », stipule que l’administration nationale du cyberespace est l’agence de coordination globale pour la protection des informations personnelles, et fixe les mesures de coordination globales que le département national du cyberespace peut prendre, le département national du cyberespace n’est pas une agence de régulation unifiée et indépendante de la protection des informations personnelles, et il appartient aux départements constitutifs du Conseil d’État aux côtés du Ministère de l’Industrie et des Technologies de l’Information, du Ministère de la Sécurité Publique et de l’Administration d’État pour la régulation des marchés. Il reste à vérifier s’il peut organiser la protection des informations personnelles à l’avenir ; Deuxièmement, il existe près de 20 lois administratives sur la protection des informations personnelles, plus de 50 règles départementales, ainsi que plus de 100 réglementations locales et documents normatifs[]Les responsabilités de l’Administration du cyberespace de Chine et d’autres agences de régulation ne sont pas seulement la supervision de la protection des informations personnelles, mais il reste difficile de déterminer comment chaque organisme de régulation détermine le champ de la surveillance, le contenu des responsabilités et la méthode d’application de la loi, afin d’éviter des droits et responsabilités flous. Enfin, la Loi sur la protection des renseignements personnels stipule que les agences de régulation et les mesures réglementaires ne précisent pas l’objet du pouvoir de sanction d’application, mais seulement les ministères concernés au niveau provincial ou au-dessus[]。
(2) Sans organisme de régulation indépendant, la supervision peut manquer de professionnalisme et d’indépendance
La protection des informations personnelles n’est pas seulement une question juridique, mais aussi une question complexe d’affaires et technique, et la collecte et l’utilisation illégales d’informations personnelles peuvent avoir lieu dans divers secteurs et domaines. De nombreux experts ont à plusieurs reprises demandé et suggéré que notre pays s’inspire des modèles législatifs des pays ou régions d’outre-mer tels que l’Union européenne, le Japon, la Corée du Sud, Hong Kong et Macao afin de mettre en place des régulateurs indépendants et spécialisés en matière de protection des informations personnelles, capables non seulement d’éviter les conflits réglementaires lors de la supervision des agences d’État et de leur personnel, mais aussi de souligner « l’indépendance » et le « professionnalisme » des régulateurs de la protection des informations personnelles. Malheureusement, en raison de la politique de l’État de contrôler strictement la création des agences gouvernementales, la loi sur la protection des informations personnelles n’a finalement pas adopté les recommandations pertinentes.
Les principales raisons pour lesquelles l’absence d’organismes de régulation indépendants peut entraîner un manque de professionnalisme et d’indépendance dans la supervision sont : premièrement, les agences de régulation ne peuvent pas accorder une attention à long terme et ciblée à diverses questions commerciales et techniques complexes en matière de protection des informations personnelles en raison de leurs nombreuses responsabilités et de leur orientation biaisée, et manquent même de professionnalisme dans la supervision ; Deuxièmement, les institutions réellement responsables de la protection des informations personnelles doivent encore exister dans les départements concernés, ce qui est difficile à garantir sur le plan organisationnel, humain et financier de l’indépendance, ce qui affectera particulièrement l’équité et l’efficacité des forces de l’ordre dans les cas où les organes de l’État agissent en tant que gestionnaires individuels[]。
(3) Procédures réglementaires et d’application de la loi peu claires, méthodes d’application de la loi peu claires, et absence de systèmes de recours administratifs
Si les droits d’un individu sont violés mais qu’il n’y a pas de recours adéquat, cela nuira non seulement à ses droits, mais réduira aussi l’autorité de la loi et la crédibilité du gouvernement[]。 La loi sur la protection des informations personnelles précise en détail les mesures réglementaires que les agences de régulation peuvent prendre et les conséquences illégales auxquelles les parties peuvent faire face, mais ne précise pas les procédures spécifiques d’application de la loi ni les méthodes d’application de la loi des agences de régulation en matière de supervision de la protection des informations personnelles, ainsi que les droits de recours administratifs et les méthodes d’exercice dont jouissent les parties. Dans le domaine de la protection des consommateurs, l’Administration d’État pour la régulation des marchés a promulgué les « Mesures de sanction des violations des droits et intérêts des consommateurs », qui précisent les procédures pour imposer des sanctions administratives en cas de violation des droits et intérêts des consommateurs ; Dans le domaine de la sécurité des infrastructures d’approvisionnement des infrastructures d’information critiques et du contenu de l’information réseau, l’Administration du cyberespace de Chine a promulgué les « Mesures pour l’examen de la cybersécurité » et les « Dispositions sur les procédures d’application administrative du droit pour la gestion du contenu de l’information Internet », qui précisent des dispositions claires sur l’acquisition de produits et services réseau par les opérateurs d’infrastructures d’information critiques, la mise en œuvre d’un examen de la sécurité réseau lorsque les traitements de données effectuent des activités de traitement des données, ainsi que la gestion du contenu de l’information Internet. Cependant, jusqu’à présent, notre pays n’a pas émis de procédures réglementaires d’application de la loi, de méthodes et de recours après que les parties ont été soumises à des sanctions administratives liées à la protection des informations personnelles. Dans le cas d’une supervision multiple, s’il n’existe pas de système d’application de la loi unifié et standardisé, le risque que les régulateurs abusent du pouvoir des forces de l’ordre, qu’une application de la loi soit erronée ou qu’une application arbitraire de la loi augmentera. L’absence d’un système de recours clair peut également entraîner une perte pour les parties face aux risques liés à l’application de la loi mentionnés ci-dessus, et leurs droits ne peuvent être efficacement réparés.
Les problèmes ci-dessus dans la supervision administrative de la protection des informations personnelles sont liés à la mise en œuvre et à l’effet de la loi sur la protection des renseignements personnels de notre pays, et peuvent affecter la promotion et l’évaluation globale du travail de protection des informations personnelles de notre pays, qui doit être résolu en urgence. Avec l’entrée en vigueur de la Loi sur la protection des informations personnelles et la détermination essentielle des principaux modèles et mécanismes de supervision de la protection des informations personnelles, le CAC doit pleinement jouer à son rôle dans la planification et la coordination globales, et clarifier la portée de la supervision, des responsabilités, des procédures, méthodes et recours de chaque organisme de régulation par la formulation de règles ou de réglementations de mise en œuvre. Parallèlement, le département national du cyberespace devrait collaborer dès que possible avec les autres autorités de régulation pour établir un mécanisme unifié de liaison et de coordination au niveau national, et élaborer des méthodes de supervision coordonnée et de résolution des conflits par les agences de régulation, afin de garantir que les organismes de régulation puissent résoudre les problèmes réglementaires en temps opportun. Enfin, notre pays peut continuer à explorer la création d’agences de régulation indépendantes ou d’autres mécanismes efficaces de supervision de la protection des informations personnelles, et améliorer continuellement le système de supervision administrative pour la protection des informations personnelles.
Auteur : Cabinet d’avocats Sichuan Ruiliheng Wu Jinxi
Source : Comité des professionnels juridiques en réseau et en haute technologie de l’Association des avocats de Chengdu
Cet article est l’opinion personnelle de l’auteur et ne représente pas la position de l’Association des avocats de Chengdu
Les avocats de la ville sont invités à soumettre leurs soumissions, et l’email de soumission : cdlxxc@163.com
Précédent:
Perspective professionnelle|D’une décision de la Cour populaire suprême, la « pénétration » de la fiscalité substantielle dans les relations civiles
Perspective professionnelle|La validité de l’accord d’arbitrage peut-elle être étendue au débiteur - l’intersection de l’article 5520 du Code civil et de la loi sur l’arbitrage
:Prochain
Adresse : Fantasia Plaza, n° 1388, section centrale de l’avenue Tianfu, Chengdu, JR· Chambre Fantasia 1007, 10e étage, Bâtiment B, Huayang Jinjiang
©2019-2022 Association des avocats de Chengdu Tous droits réservés |Le Sichuan ICP est 17040215 numéro | Support technique : création de site web en bambou