Le chemin vers la conformité pour les sous-traitants : interprétation de la réglementation sur la gestion de la sécurité des données des réseaux (projet pour commentaires)

Temps de sortie :2023-06-19 13:13:00 Vues :2308

【résumé】En 2021, le Code civil de la République populaire de Chine, la Loi sur la sécurité des données de la République populaire de Chine et la Loi sur la protection des informations personnelles de la République populaire de Chine sont entrés en vigueur, portant la protection et la gouvernance des données à un niveau sans précédent d’un point de vue législatif. En outre, une série de règlements ministériels relatifs aux données (y compris un projet pour commentaires) et de réglementations gouvernementales locales sur les mégadonnées ont été publiées dans le passé et récemment, enrichissant et améliorant le système juridique de protection des données et de gouvernance des données, et établissant une base juridique solide pour le développement de l’économie numérique. Le 14 novembre 2021, l’Administration chinoise du cyberespace (CAC) a publié le Règlement sur la gestion de la sécurité des données du réseau (projet de sollicitation de commentaires). En tant que règlement administratif, le règlement sur la gestion de la sécurité des données en réseau complète et améliore le droit, et consolide plus clairement et sans ambiguïté les devoirs et obligations des sous-traitants. Cet article analyse les devoirs et obligations des sous-traitants en interprétant le Règlement sur la gestion de la sécurité des données des réseaux (projet pour commentaires), en vue de fournir une référence pour la pratique juridique.

【Mots clés】Conformité du sous-traitant : Interprétation de la réglementation sur la gestion de la sécurité des données des réseaux (projet pour commentaires).

Le Règlement sur la gestion de la sécurité des données du réseau (Projet pour commentaires) (ci-après dénommé le « Règlement ») est formulé conformément à la Loi sur la cybersécurité de la République populaire de Chine, à la Loi sur la sécurité des données de la République populaire de Chine, à la Loi sur la protection des informations personnelles de la République populaire de Chine et à d’autres lois.

Par rapport à la loi sur la cybersécurité et à la loi sur la protection des informations personnelles, qui se concentrent sur la sécurité et la protection des réseaux, des informations et des données, et se concentrent sur la normalisation du traitement et la garantie de la sécurité des données et des réseaux, les règlements se concentrent davantage sur la consolidation des principales responsabilités et obligations des sous-traitants de données par le biais d’une structure et d’un contexte clairs, afin de promouvoir la conformité de la protection de la sécurité des données, des activités de traitement des données et des flux de données, et d’assurer le développement stable et sûr de l’économie numérique.

Première section Responsabilités générales des sous-traitants en matière de conformité

1. Les responsables du traitement assument la responsabilité des entités de protection de la sécurité des données

Le paragraphe 5 de l’article 73 du Règlement stipule que « les sous-traitants désignent les personnes physiques et morales qui déterminent de manière indépendante la finalité et la méthode du traitement dans les activités de traitement des données », et cette détermination des sous-traitants basée sur « l’autonomie des finalités et des méthodes de traitement » est propice à la définition des différentes entités responsables et de leurs responsabilités et droits dans le processus des activités du cycle de vie des données.

En plus des entreprises de plate-forme Internet généralement connues, les processeurs de données comprennent également, mais sans s’y limiter, les entités suivantes : ministères et institutions publiques ; Fournir de la R&D, des produits et des services de produits SAAS, des systèmes de gestion et des systèmes techniques ; les opérateurs d’infrastructures d’information critiques ; les opérateurs de plateformes Internet et les opérateurs sur la plateforme ; collecteurs, stockeurs, utilisateurs de données ; fabrication et autres entités, etc.

Dans le cadre des activités du cycle de vie des données, le principal organe qui assume la responsabilité de la protection de la sécurité des données est le sous-traitant, qui assume la responsabilité de la protection de la sécurité des données, accepte la surveillance gouvernementale et sociale et assume la responsabilité sociale. Par conséquent, les sous-traitants doivent d’abord se positionner et en préciser deux :

1. Clarifier un et/ou plusieurs rôles inchangés et/ou susceptibles de changer dans le processus de traitement des données, ainsi que les responsabilités et obligations des différents rôles, par exemple, dans le processus de traitement d’une certaine donnée, un sous-traitant peut être un sous-traitant de données important, un sous-traitant de données transfrontalier, un sous-traitant d’informations personnelles sensibles ou un opérateur de plateforme Internet ;

2. Clarifier les différentes relations de traitement des données concernées, et définir les droits, les devoirs et les obligations des différents responsables du traitement des données en fonction de la finalité, du contenu et des méthodes de traitement des données, les clarifier par le biais de documents juridiques et les réglementer par des moyens techniques.

II. Les responsables du traitement des données disposent des capacités techniques et des niveaux de sécurité du réseau correspondants

Le paragraphe 2 de l’article 73 du Règlement stipule que « les activités de traitement des données désignent les activités telles que la collecte, le stockage, l’utilisation, le traitement, la transmission, la fourniture, la divulgation et l’effacement des données. Le règlement adopte le contenu de traitement de la loi sur la protection des informations personnelles et, par rapport à la loi sur la sécurité des données, l’étape de « suppression » est ajoutée, ce qui améliore le contenu de protection des activités du cycle de vie des données.

Dans l’ensemble du processus de traitement des données, les responsables du traitement des données doivent disposer des capacités techniques correspondantes et prendre les mesures techniques correspondantes, y compris la sauvegarde, le cryptage, le contrôle d’accès, etc., pour garantir que les données sont protégées contre les fuites, le vol, la falsification, les dommages, les pertes et l’utilisation illégale, et être en mesure de répondre aux incidents de sécurité des données, de prévenir les pirates informatiques, les virus et autres activités illégales et criminelles, et de maintenir et de sauvegarder l’intégrité, la confidentialité, la disponibilité et la légalité des données. S’il ne dispose pas des capacités techniques correspondantes, il peut entraîner des dommages aux données, entraînant la violation de plusieurs parties, et celles-ci seront responsables de la violation ou de la rupture de contrat.

Dans le même temps, établir un mécanisme de protection technique correspondant.

Lorsque les responsables du traitement des données utilisent des outils automatisés pour accéder aux données ou les collecter, ils doivent évaluer l’impact sur les performances et les fonctions des services de réseau et, en cas de violations, d’impact sur les fonctions des politiques de service de réseau ou d’infractions, ils doivent cesser l’accès et la collecte, et employer des mesures correctives.

Les organes de l’État et les opérateurs d’infrastructures d’information critiques doivent réussir une évaluation de la sécurité organisée par le Département d’information Internet de l’État en collaboration avec les départements compétents du Conseil des Affaires d’État pour l’achat de services d’informatique en nuage.

En outre, conformément aux exigences relatives à la protection de la sécurité des réseaux classifiés, les responsables du traitement des données doivent renforcer les mesures de sécurité des réseaux dans des domaines tels que les systèmes de traitement des données, les systèmes de transmission de données et les environnements de stockage de données, en fournissant des mesures de protection de la sécurité des réseaux de niveau 3 ou plus et des mesures de protection de la sécurité des infrastructures d’information critiques pour les « données importantes », en protégeant strictement les données essentielles et en utilisant des « mots de passe » pour protéger les données importantes et les données essentielles.

III. Les responsables du traitement des données mettent en place des mécanismes tels que des systèmes de gestion de la sécurité des données, des réponses d’urgence et des plaintes

1. Mettre en place un système de gestion de la sécurité des données

Les bonnes capacités de gestion de la sécurité et de la conformité d’un processeur de données constitueront une base solide pour la transformation numérique des entreprises. Étant donné que la gouvernance des données doit prendre en compte à la fois les exigences de conformité et les coûts de conformité, les sous-traitants doivent classer et classer leurs données conformément aux exigences obligatoires des lois, des réglementations, des normes nationales et des normes industrielles, établir et améliorer un système de gestion de la sécurité des données adapté à l’organisation, et évaluer, améliorer et améliorer continuellement en temps opportun, afin de mettre en œuvre les responsabilités en matière de protection de la sécurité des données et de protéger la sécurité des données.

2. Mettre en place un mécanisme d’intervention d’urgence en matière de sécurité des données

Le Règlement énonce des dispositions claires et détaillées sur les devoirs et obligations de conformité des sous-traitants dans différents cas, comme indiqué dans le tableau 1 :

	événement	Devoirs et obligations en matière de conformité des données
1	Les produits et services réseau présentent des failles ou des vulnérabilités en matière de sécurité, menacent la sécurité nationale ou mettent en danger l’intérêt public	Des mesures correctives doivent être prises immédiatement
2	Les incidents de sécurité causent des dommages aux personnes et aux organisations	Les parties intéressées doivent être informées dans un délai de 3 jours ouvrables
3	Fuite, endommagement ou perte de données importantes ou d’informations personnelles de plus de 100 000 personnes	Un rapport doit être fait dans les 8 heures suivant la survenance de l’incident, et un rapport d’enquête et d’évaluation doit être soumis dans les 5 jours ouvrables suivant la fin de l’incident

Tableau 1 Responsabilités et obligations des sous-traitants dans le cadre de différents événements

3. Établissez des canaux pour les plaintes et les signalements

Les responsables du traitement des données établissent des canaux pour les plaintes et les signalements relatifs à la sécurité des données, et acceptent et traitent rapidement les plaintes et les signalements.

Chapitre II Responsabilités et obligations des sous-traitants en matière de conformité dans différents scénarios

1. Devoirs et obligations de conformité dans le cadre du traitement des informations personnelles

En ce qui concerne les exigences en matière de traitement des renseignements personnels, le Règlement affine, complète et améliore la Loi sur la protection des renseignements personnels. En plus de se conformer aux obligations stipulées dans la Loi sur la protection des informations personnelles et dans d’autres lois, réglementations et règles, les sous-traitants doivent également se conformer aux exigences de conformité suivantes en matière de protection des informations personnelles :

1. Formuler des règles pour le traitement des informations personnelles et les afficher de manière centralisée et publique, de manière à ce qu’elles soient faciles d’accès et que le contenu soit clair, spécifique, concis et populaire. Les exigences relatives au contenu des « Règles sur le traitement des renseignements personnels » du Règlement sont présentées au tableau 2.

	Questions	Contenu des règles de traitement des informations personnelles
1	Faites une liste	Clarifier les renseignements personnels requis en fonction de la fonction du produit ou du service, et énumérer l’objectif, l’utilisation, la méthode, le type, la fréquence ou le moment du traitement des renseignements personnels pour chaque fonction, ainsi que le lieu de stockage, ainsi que l’impact du refus de traiter les renseignements personnels sur les individus.
2	Durée de conservation	La période de conservation des renseignements personnels ou la méthode de détermination de la période de conservation des renseignements personnels, et la méthode de traitement de ces renseignements après l’expiration.
3	Voies et moyens du consentement	Moyens et méthodes permettant aux individus d’accéder, de copier, de corriger, de supprimer, de restreindre le traitement et de transférer des informations personnelles, ainsi que d’annuler des comptes et de retirer leur consentement au traitement des informations personnelles.
4	Centralisez les informations des tiers	Expliquez les noms de tous les codes et plug-ins tiers qui collectent des informations personnelles intégrées dans les produits et services, ainsi que l’objectif, la méthode, le type, la fréquence ou le moment de la collecte d’informations personnelles par chaque code ou plug-in tiers, ainsi que les règles de traitement des informations personnelles, de manière à faciliter l’accès de l’utilisateur, comme l’affichage centralisé.
5	Fourniture d’informations à des tiers	Les circonstances dans lesquelles des informations personnelles sont fournies à un tiers, ainsi que l’objectif, la méthode et le type d’informations personnelles fournies à un tiers, ainsi que des informations sur le destinataire des données.
6	Mesures de sécurité	Risques de sécurité des renseignements personnels et mesures de protection.
7	Mécanisme de règlement des différends	Canaux de plaintes, de signalements et de solutions aux problèmes de sécurité des renseignements personnels, et coordonnées de la personne responsable de la protection des renseignements personnels.

Tableau 2 Exigences relatives au contenu du Règlement sur les « Règles sur le traitement des renseignements personnels ».

2. S’acquitter d’autres obligations et obligations en matière de conformité (voir le tableau 3)

	Questions	Devoirs et obligations en matière de conformité des données
1	Collecte d’informations	La « collecte » de renseignements personnels doit être conforme aux principes de légalité, de légitimité, de nécessité et d’impact minimal, ainsi qu’aux exigences prohibitives qui « ne doivent pas être mises en œuvre ».
2	accepter	Les sous-traitants obtiennent le consentement des individus et ne doivent pas utiliser de conditions générales, ne doivent pas utiliser de méthode pour contraindre les individus à consentir individuellement ou par lots, et ne doivent pas dépasser la portée de l’autorisation. La charge de la preuve incombe au sous-traitant de la validité du « consentement » de l’individu.
3	Fourniture d’informations personnelles à des tiers	Lorsque les responsables du traitement des données fournissent des informations personnelles à des tiers, ils doivent en informer pleinement les personnes et obtenir leur consentement distinct, et clarifier leurs responsabilités et obligations respectives en matière de sécurité des données par le biais de contrats avec les destinataires des données, dont les responsables du traitement ont le droit de superviser les destinataires ; Les dossiers de consentement individuel, les registres et les dossiers d’approbation doivent être conservés pendant au moins 5 ans.
4	Obligations de suppression	Les responsables du traitement des données doivent supprimer ou anonymiser les informations personnelles dans un délai de 15 jours ouvrables conformément aux circonstances et aux méthodes de traitement qui doivent être « supprimées ».
5	Réponses à l’exercice des droits par les individus	Les responsables du traitement des données doivent répondre activement aux demandes raisonnables des individus pour « l’accès, la copie, la correction, le supplément, la restriction et la suppression » de leurs informations personnelles, et traiter et donner des commentaires dans les 15 jours.
6	Transfert d’informations	En plus de fournir des services de transfert, le sous-traitant doit également fournir un avertissement de risque raisonnable pour la demande de transfert et a le droit de facturer le nombre de fois au-delà de la plage raisonnable.
7	évaluation du risque	Lorsque les responsables du traitement des données utilisent la biométrie pour effectuer l’authentification de l’identité personnelle, une évaluation des risques de nécessité et de sécurité est requise, et la biométrie ne doit pas être obligatoirement collectée comme seule méthode d’identification personnelle.
8	Audits de conformité	Les responsables du traitement des données doivent retenir les services d’un organisme professionnel d’audit de la sécurité des données pour effectuer périodiquement des audits de conformité de leur traitement des informations personnelles conformément aux lois et réglementations administratives.
9	Déclaration, enquête et évaluation de la survenance d’événements à risque	Lorsque des incidents de sécurité des données tels que la fuite, la destruction ou la perte d’informations personnelles de 100 000 personnes ou plus se produisent, les responsables du traitement des données doivent en informer le service d’information sur Internet au niveau de la ville du district dans les 8 heures et soumettre un rapport d’enquête et d’évaluation sur les causes, les conséquences préjudiciables, le traitement des responsabilités, les mesures d’amélioration et tout autre contenu de ce type dans les 5 jours ouvrables suivant le traitement de l’incident.
10	Traitement des informations personnelles de plus d’un million de personnes	Il doit également se conformer aux devoirs et obligations de conformité du chapitre 4 « Sous-traitants importants » [données réputées importantes].
11	Examen de la cybersécurité des annonces étrangères	Lorsque les responsables du traitement de données qui traitent plus d’un million d’informations personnelles sont rendus publics à l’étranger, ils doivent demander un examen de la sécurité du réseau.

Tableau 3 Autres devoirs et obligations des sous-traitants

II. Obligations de conformité dans les scénarios importants de traitement des données

Selon l’article 5 du Règlement, « l’État établit un système de protection classifiée et hiérarchique des données, conformément à la classification des données générales, des données importantes et des données essentielles, et différentes mesures de protection sont adoptées à différents niveaux, et l’État assure la protection clé des informations personnelles et des données importantes, et met en œuvre une protection stricte des données essentielles ». Toutes les régions et tous les ministères doivent respecter les exigences nationales en matière de classification et de classement catégoriels et hiérarchiques des données afin d’assurer la gestion catégorielle et hiérarchique des données pour cette région, ce ministère et les industries et domaines connexes. « Les sous-traitants doivent, sur la base des données importantes et des catalogues de données de base formulés par l’État, les régions, les ministères et les commissions, trier le niveau des données qu’ils traitent, identifier s’il existe des « données importantes », des « données essentielles » et des « informations personnelles sensibles », et employer différentes mesures de conformité pour les « données importantes », les « données essentielles » et les « informations personnelles sensibles ».

La classification des données, parce qu’elle est liée à des objectifs de gestion et à des besoins de gestion, peut avoir différentes dimensions et différentes méthodes de classification, et le « Règlement » ne les énumère pas spécifiquement. En pratique, les sous-traitants peuvent d’abord procéder à une classification préliminaire par secteur d’activité et par domaine, puis classer les données traitées en fonction de leur circulation, de leur nature, de leurs caractéristiques, de leur cycle de vie et de leurs scénarios commerciaux.

Les définitions des données importantes, des données de base et des informations personnelles sensibles, telles que stipulées dans le Règlement, la Loi sur la sécurité des données et la Loi sur la protection des informations personnelles, sont les suivantes (voir le tableau 4) :

	classement	définition
1	Ordonnance sur les informations importantes	Les données importantes désignent les données qui peuvent mettre en danger la sécurité nationale ou l’intérêt public dès lors qu’elles ont été falsifiées, détruites, divulguées, obtenues ou utilisées illégalement : 1. Données non divulguées sur les affaires gouvernementales, les secrets de travail, les données de renseignement et les données policières et judiciaires ; 2. Les données de contrôle des exportations, les données relatives aux technologies de base, aux schémas de conception, aux processus de production, etc., liées aux articles contrôlés à l’exportation, et les données sur les réalisations scientifiques et technologiques dans des domaines tels que la cryptographie, la biologie, l’information électronique et l’intelligence artificielle qui ont un impact direct sur la sécurité nationale et la compétitivité économique ; 3. Les lois nationales, les règlements administratifs et les règles ministérielles stipulent clairement qu’il est nécessaire de protéger ou de contrôler la diffusion des données sur les opérations économiques nationales, des données importantes sur les entreprises de l’industrie, des données statistiques, etc. ; 4. Données sur la production et le fonctionnement sûrs dans des industries et des domaines clés tels que l’industrie, les télécommunications, l’énergie, les transports, la conservation de l’eau, la finance, l’industrie des sciences et technologies de la défense nationale, les douanes, la fiscalité, etc., ainsi que des données sur les composants clés du système et les chaînes d’approvisionnement en équipements ; 5. Les données nationales de base sur la population et la santé, les ressources naturelles et l’environnement, telles que la génétique, la géographie, les minéraux, la météorologie, etc., qui atteignent l’échelle ou la précision prescrite par les départements d’État compétents ; 6. Données sur la construction, l’exploitation et la sécurité des infrastructures nationales et des infrastructures d’information critiques, ainsi que des données sur l’emplacement géographique et la situation de sécurité de zones importantes et sensibles telles que les installations de défense nationale, les régions administratives militaires et les unités de recherche et de production scientifiques de la défense nationale ; 7. D’autres données susceptibles d’affecter la sécurité nationale, politique, territoriale, militaire, économique, culturelle, sociale, scientifique et technologique, écologique, des ressources, des installations nucléaires, des intérêts à l’étranger, biologique, spatiale, polaire, des grands fonds marins et autres.
2	Données de base : Législation/réglementation sur la sécurité des données	Fait référence aux données liées à la sécurité nationale, à la bouée de sauvetage de l’économie nationale, aux moyens de subsistance des personnes importantes et aux principaux intérêts publics.
3	Informations personnelles sensibles : Loi sur la protection des informations personnelles	Il s’agit d’informations personnelles qui, une fois divulguées ou utilisées illégalement, sont susceptibles d’entraîner une violation de la dignité personnelle des personnes physiques ou une mise en danger de la sécurité personnelle et matérielle, y compris la biométrie, les croyances religieuses, les identités spécifiques, les informations médicales et de santé, les comptes financiers, les allées et venues et les localisations, et les informations personnelles des mineurs de moins de 14 ans.

Tableau 4 Définitions des données à différents niveaux

Les sous-traitants importants doivent remplir les devoirs et obligations de conformité suivants (voir Tableau 5) :

	Questions	Devoirs et obligations en matière de conformité des données
1	Archivage des données importantes	Une fois que les responsables du traitement des données ont identifié leurs données importantes, ils doivent les déposer auprès du service d’information sur Internet au niveau de la ville dans un délai de 15 jours ouvrables.
2	Mettre en place des postes de gestion de la sécurité des données	Clarifier et mettre en place des leaders et des postes de sécurité des données, établir des organes de gestion de la sécurité des données et effectuer des tâches de gestion de la sécurité des données, notamment en formulant des recommandations pour les décisions importantes, en formulant des plans d’urgence, en effectuant une surveillance des risques et en gérant les incidents, en organisant des formations et en acceptant les plaintes.
3	Formation à la sécurité	Élaborer des plans de formation, organiser et mettre en œuvre l’éducation et la formation à la sécurité des données pour tous les employés, et le temps de formation du personnel technique et connexe ne doit pas être inférieur à 20 heures par an.
4	Partage, négoce et traitement des envois Données importantes	(1) Consentement séparé. Informer pleinement l’individu et obtenir son consentement distinct, et mettre en œuvre les méthodes, les canaux et le contenu de leurs responsabilités et obligations respectives en matière de sécurité des données avec le destinataire des données par le biais de contrats, dont le sous-traitant a le droit de superviser le destinataire ; Les dossiers de consentement individuel, les registres et les dossiers d’approbation doivent être conservés pendant au moins 5 ans.
		(2) Effectuer une évaluation de la sécurité. Le contenu clé de l’évaluation de la sécurité est de fournir la légalité, la légitimité et la nécessité des données importantes, les dommages, les fuites, la falsification et l’abus des données importantes, ainsi que les risques pour la sécurité nationale, le développement économique et les agents d’intérêt public, l’intégrité et le respect de la loi du destinataire des données, sa capacité à protéger la sécurité, les accords contractuels, les mesures de gestion et de prévention et de contrôle des risques techniques, etc.
		(3) Le consentement du service d’information sur Internet au niveau de la ville du district ou au-dessus doit être obtenu.
5	Rapport d’évaluation annuel	Effectuer une évaluation annuelle de la sécurité des données par eux-mêmes ou en confiant à un tiers le soin d’effectuer une évaluation annuelle de la sécurité des données par eux-mêmes ou en confiant à un tiers le soin d’effectuer une évaluation annuelle de la sécurité des données, et communiquer le rapport d’évaluation au service d’information sur Internet au niveau de la ville par district avant le 31 janvier de chaque année. Le rapport d’évaluation des risques est conservé pendant au moins 3 ans.
6	Signalement et enquête sur la survenance d’événements à risque	En cas d’incidents de sécurité des données tels que des fuites, des dommages ou la perte de données et d’informations importantes, les responsables du traitement des données doivent le signaler au service d’information Internet au niveau de la ville du district dans les 8 heures et soumettre un rapport d’enquête et d’évaluation sur les causes, les conséquences préjudiciables, le traitement des responsabilités, les mesures d’amélioration et tout autre contenu dans les 5 jours ouvrables suivant la fin de l’incident.

Tableau 5 : Devoirs et obligations de conformité des principaux sous-traitants de données

Les « règlements » relient le passé et le suivant, compensent l’absence et la limite des lois existantes sur la classification des « données importantes », font de la classification des données une norme de réglementation administrative de haut niveau et font de la gestion hiérarchique des données une ligne directrice opérationnelle, ce qui est d’une grande importance pour assurer la sécurité et la conformité des données et promouvoir le développement de l’économie numérique.

III. Devoirs et obligations de conformité dans les scénarios de traitement transfrontalier des données

En ce qui concerne le traitement transfrontalier des données, la DSL prévoit la juridiction extraterritoriale, le contrôle des exportations, les lois de blocage, ainsi que des règles pour l’exportation de données et la juridiction transfrontalière, dans lesquelles les opérateurs d’infrastructures d’information critiques doivent stocker les données obtenues en Chine sur le territoire ; En ce qui concerne les informations personnelles transfrontalières, la loi sur la cybersécurité et la loi sur la protection des informations personnelles stipulent les conditions préalables à « l’évaluation de la sécurité, la certification de la protection, le contrat type, etc. », le « consentement séparé », l'« entraide judiciaire internationale » et le « système de liste noire » dans la gestion transfrontalière des données importantes. Le Règlement complète et affine le droit.

L’article 35 du Règlement stipule qu’un sous-traitant fournissant des données en dehors du territoire de la République populaire de Chine doit d’abord remplir les conditions correspondantes, c’est-à-dire qu’il doit réussir l’évaluation organisée par l’Administration du cyberespace de Chine ou le sous-traitant et que le destinataire doit réussir la certification de protection des informations personnelles ou conclure un contrat conformément au contrat type de la CAC.

Deuxièmement, les sous-traitants doivent également se conformer aux devoirs et obligations de conformité suivants (voir tableau 6) :

	Objet	traitement des données activité	Devoirs et obligations en matière de conformité des données
1	Sous-traitants	Fourniture d’informations personnelles à l’étranger	Les personnes doivent être informées de questions telles que le nom et les coordonnées du destinataire à l’étranger, la finalité et la méthode de traitement des informations, le type d’informations et les méthodes d’exercice des droits de la personne concernée, et obtenir le consentement distinct de la personne.
2	Sous-traitants	Mise à disposition de données à l’étranger	Il ne dépasse pas l’objectif, la portée, la méthode, le type et l’échelle de données spécifiés dans le rapport d’évaluation ; prendre des mesures efficaces pour surveiller l’utilisation des données par les destinataires ; recevoir les plaintes ; la responsabilité pour les dommages causés aux individus, aux organisations ou à l’intérêt public ; Les registres d’approbation de sortie sont conservés pendant plus de 3 ans.
3	(1) Sous-traitants	Les données sortantes contiennent des données importantes	Il sera organisé par le département d’information de l’État sur InternetÉvaluation de la sécurité de l’exportation de données。 Contenu clé de l’évaluation de la sécurité : fournir la légalité, la légitimité et la nécessité des données importantes, les dommages, les fuites, la falsification et l’abus des données importantes, ainsi que les risques pour la sécurité nationale, le développement économique et les agents d’intérêt public, l’intégrité et la nature respectueuse de la loi du destinataire des données, la relation de coopération entre les gouvernements étrangers, le fait qu’il ait été sanctionné par le gouvernement chinois et d’autres contextes, sa capacité à protéger la sécurité, les accords contractuels, les mesures de prévention et de contrôle des risques, etc.
	(2) Opérateurs d’infrastructures d’information critiques	Fourniture d’informations personnelles à l’étranger
	(3) Traitement de plus d’un million d’informations personnelles Sous-traitants	Fourniture d’informations personnelles à l’étranger
4	Sous-traitants	Fourniture d’informations personnelles à l’étranger et Données importantes	Le contenu suivant doit être fourni au service d’information sur l’Internet au niveau de la ville par district avant le 31 janvier de chaque annéeRapport annuel sur la sécurité de l’exportation de donnéesLe nom et les coordonnées de tous les destinataires des données, le type, le tri et la finalité des données, le lieu, la période, l’étendue et le mode d’utilisation des données en dehors du pays, le mécanisme de protection de la sécurité et le mécanisme de traitement des litiges, et le retransfert des données.
5	Sous-traitants répertoriés à l’étranger	Traitement annuel des données	Ils le font une fois par an, seuls ou en confiant à un tiers, des contenus tels que le traitement des données importantes, l’identification et le traitement des risques de sécurité des données, la situation des incidents de sécurité des données et leur élimination, ainsi que le système de gestion de la sécurité des donnéesÉvaluation annuelle de la sécurité des donnéeset sera au plus tard le 31 janvier de chaque annéeRapport d’évaluation annuelFaites rapport au service d’information sur Internet au niveau de la ville du district.
6	Traitement des informations personnelles de plus d’un million de personnes Sous-traitants	Répertorié à l’étranger	Un examen de la sécurité du réseau doit être signalé.
7	Sous-traitants	Cotation à Hong Kong, affectant ou susceptible d’affecter la sécurité nationale	Un examen de la sécurité du réseau doit être signalé.

Tableau 6 Autres responsabilités et obligations des sous-traitants transfrontières

4. Scénarios de fonctionnement de la plate-forme Internet

Le paragraphe 9 de l’article 73 du Règlement stipule qu’un opérateur de plateforme Internet désigne un sous-traitant de données qui fournit aux utilisateurs des services de plateforme Internet tels que la publication d’informations, les réseaux sociaux, le commerce, le paiement et l’audiovisuel. Le paragraphe 10 stipule que les « opérateurs de plateformes Internet à grande échelle » désignent les opérateurs de plateformes Internet comptant plus de 50 millions d’utilisateurs, de grandes quantités d’informations personnelles et de données importantes, ainsi que de fortes capacités de mobilisation sociale et une domination du marché.

Le règlement stipule les systèmes de protection de la sécurité des données suivants pour les opérateurs de plateformes internet (voir tableau 7) :

	Objet	activité	Devoirs et obligations en matière de conformité des données
1	Plateformes Internet	Divulgation de l’information et règles	Mettre en place un système de divulgation des règles de la plateforme, des politiques de confidentialité et des stratégies d’algorithmes liées aux données, et divulguer rapidement les procédures de formulation et d’évaluation des procédures, afin de garantir que les règles, les politiques de confidentialité et les algorithmes de la plateforme sont équitables, ouverts et justes ; Les règles de la plateforme et les politiques de confidentialité doivent être ouvertes aux commentaires du public, souvent pendant au moins 30 jours ouvrables ;
2	Plateformes Internet à grande échelle avec plus de 100 millions d’utilisateurs actifs quotidiens (super plateformes)	Révisions institutionnelles	Lorsque des règles de plateforme ou des politiques de confidentialité sont rédigées ou que des révisions ont une incidence majeure sur les droits et les intérêts des utilisateurs, elles doivent être évaluées par un organisme tiers et signalées aux services d’information sur Internet et aux services de télécommunications aux fins d’approbation au niveau provincial ou supérieur.
3	Opérateurs de plateformes Internet	Les activités de traitement des données sont réalisées à l’aide de nouvelles technologies telles que l’intelligence artificielle, la réalité virtuelle et la synthèse profonde	Une évaluation de la sécurité devrait être effectuée.
4	Opérateurs de plateformes Internet	Exploitez les informations personnelles et les algorithmes push personnalisés	Il faut obtenir le consentement individuel, régler des options d’arrêt à un bouton faciles à utiliser, etc.
5	Opérateurs de plateformes Internet	Fournir des services aux organes de l’État et participer à la construction d’infrastructures publiques et de systèmes de services publics	Les données collectées et générées ne seront pas utilisées à d’autres fins.
6	Opérateurs de plateformes Internet	Responsabilité des tiers au sein de la Plateforme	Assumer la responsabilité de la gestion de la sécurité des données pour les produits et services tiers connectés à la plateforme, et assumer une responsabilité prioritaire pour l’indemnisation des dommages causés aux utilisateurs par des produits et services tiers.
7	Opérateurs de plateformes Internet	La concurrence déloyale est interdite	Il n’est pas permis de commettre des actes de « destruction de mégadonnées » ou de « nuire à une concurrence loyale », et il ne doit y avoir aucune fraude, coercition, tromperie ou atteinte aux droits de décision des utilisateurs ; Les petites et moyennes entreprises sur la plateforme ne doivent pas être empêchées d’obtenir des données sur l’industrie et le marché générées par la plateforme par divers moyens.
8	Opérateurs de plateformes Internet	Identification personnelle	Les services d’identification personnelle utilisant l’infrastructure de service public d’authentification d’identité du réseau national devraient être soutenus et prioritaires.
9	Opérateurs de grandes plateformes Internet	/	Réaliser des audits annuels de la sécurité des données de la plateforme, de la mise en œuvre des règles et engagements, de la protection des informations personnelles, du développement et de l’utilisation des données, etc., et de l’obligation de divulgation des résultats des audits.
10	Plateformes Internet à grande échelle Opérateur	Mettre en place des sièges sociaux, des centres d’opérations et des centres de R&D à l’étranger	Il doit être signalé au département d’information Internet de l’État et aux départements compétents.
11	Fournir des services de distribution d’applications Opérateurs de plateformes Internet	/	Des règles d’audit des applications doivent être établies et divulguées, et des audits de sécurité doivent être effectués sur les applications.
12	Une plateforme Internet qui fournit des services de messagerie instantanée Opérateur	Échange de données utilisateur	Des interfaces de données sont fournies pour les services de messagerie instantanée d’autres opérateurs de plateformes internet, et l’échange de données d’utilisateurs entre différents services de messagerie instantanée est pris en charge.
13	Les opérateurs de plateformes Internet qui regroupent et possèdent une grande quantité de ressources de données liées à la sécurité nationale, au développement économique et à l’intérêt public	Réalisation de fusions, de réorganisations ou de séparations qui affectent ou peuvent avoir une incidence sur la sécurité nationale	Un examen de la sécurité du réseau doit être signalé.

Tableau 7 Système de protection de la sécurité des données pour les opérateurs de plateformes internet

V. Devoirs et obligations de conformité des sous-traitants en cas de fusion ou de réorganisation (voir tableau 8) :

	situation		Devoirs et obligations de conformité
1	Lorsqu’une fusion, une réorganisation ou une division se produit entre des gestionnaires de données		Le destinataire des données continue à remplir ses obligations en matière de protection de la sécurité des données.
1		Impliquant des données importantes et les informations personnelles de plus d’un million de personnes	Il est signalé au service compétent au niveau d’une ville divisée en districts.
2	Le responsable du traitement des données est dissous ou déclaré en faillite		doit rendre compte au service compétent au niveau d’une ville divisée en districts, et transférer ou supprimer les données ; Lorsque les services compétents ne sont pas clairs, signalez-le au service d’information sur Internet au niveau de la ville par district.

Tableau 8 Responsabilités et obligations des sous-traitants en matière de conformité en cas de fusion ou de réorganisation

Chapitre III épilogue

Après être entré dans le 21ème siècle, le développement économique et social de la Chine a été rapide, en particulier au cours de la période du « 13ème plan quinquennal », la construction de la Chine numérique a fait de grandes réalisations, qu’il s’agisse de l’échelle de la construction de l’infrastructure de l’information ou de la capacité d’innovation des technologies de l’information, elle est dans une position de leader dans le monde.

En 2021, avec la mise en œuvre successive du Code civil de la République populaire de Chine, de la loi sur la sécurité des données de la République populaire de Chine et de la loi sur la protection des informations personnelles de la République populaire de Chine, la protection et la gouvernance des données ont été portées à un niveau juridique sans précédent. En outre, une série de règlements ministériels relatifs aux données (y compris un projet pour commentaires) et de réglementations gouvernementales locales sur les mégadonnées ont été publiées dans le passé et récemment, enrichissant et améliorant le système juridique de protection des données et de gouvernance des données, et établissant une base juridique solide pour le développement de l’économie numérique.

Dans le cadre de la tendance générale de la transformation numérique et de la mise à niveau des entreprises, les ministères et tous les types d’entreprises ont été/seront devenus des « sous-traitants », confrontés à la lourde responsabilité de la gouvernance des données, et assumant les responsabilités et obligations de protection de la sécurité des données. Le chemin vers la conformité commence à vos pieds.

Auteur : Wang Jiao, cabinet d’avocats Sichuan Juheng

Source : Comité professionnel juridique de l’économie privée de l’Association des avocats de Chengdu

Cet article est l’opinion personnelle de l’auteur et ne représente pas la position de l’Association des avocats de Chengdu

Les avocats de la ville sont invités à contribuer activement, et la boîte aux lettres de soumission est la suivante :[email protected]

Professionnalisme|Taxes incluses ou non incluses, telle est la question - une analyse d’un cas

Vision professionnelle|Idées et processus pour la gestion des accidents sur le campus

:Prochain

Liens:

Ministère de la Justice de la République populaire de Chine Association des avocats de Chine Département de la justice de la province du Sichuan Association des avocats du Sichuan Bureau municipal de la justice de Chengdu Tribunal populaire intermédiaire de Chengdu Parquet populaire municipal de Chengdu Commission d’arbitrage de Chengdu

Liens:

Ministère de la Justice de la République populaire de Chine

Association des avocats de Chine

Département de la justice de la province du Sichuan

Association des avocats du Sichuan

Bureau municipal de la justice de Chengdu

Tribunal populaire intermédiaire de Chengdu

Parquet populaire municipal de Chengdu

Commission d’arbitrage de Chengdu

Adresse : Fantasia Meinian Plaza, n° 1388, section centrale de l’avenue Tianfu, Chengdu, JR· Fantasia, salle 1007, 10e étage, édifice B, Fantasia

Adresse : 12e étage, China European Center, n° 1577, section centrale de l’avenue Tianfu, zone de haute technologie, Chengdu

Tél. : 028-86267893 (Département des membres) 86267993 (Protection des droits et sanctions) 61988861 (Bureau du Comité du Parti)
Boîte aux lettres:[email protected]；[email protected](bureau) ;[email protected](Département des adhésions) ;[email protected](Département de la protection des droits et des sanctions)
Heures de bureau : 9h00-12h00 et 13h00-17h00 en semaine

Compte public WeChat