The year 2021 proved to be a milestone for data protection and cybersecurity in China. Most notably, the Personal Information Protection Law (“PIPL”) and theSécurité des données Law (“DSL”) came into force in September and November respectively. The PIPL, the DSL and the Cyber Security Law (“CSL”) together represent the “troika” of the Chinese data protection and cybersecurity regulatory framework. Beyond the troika, implementing rules have sprung up, and the gloves are coming off in enforcement. As we are heading into 2022, what are the new challenges for businesses? Let’s take a closer look at these developments and what we can expect from them in the year 2022.
Dans ce deuxième article, nous organiserons les faits saillants de l'année et des prédictions de 2022 en termes de sécurité des données, de cybersécurité ainsi que de développement sectoriel.Cliquez ici si vous avez raté notre premier article où nous avons donné un aperçu du cadre réglementaire de protection des données et de cybersécurité en Chine et de développement dans la protection de l'information personnelle.
Partie III.Sécurité des données
1.Développements réglementaires
Nous avons vu d'autres développements dans l'identification et la protection des données importantes, le système de classification des données à plusieurs niveaux et le régime d'examen de la sécurité des données et son impact sur les listes à l'étranger, qui ont toutes été provoquées par la DSL en vigueur.
1) The PRCSécurité des données Law
Le DSL a été officiellement adopté par le Comité permanent du National People’s Congress le 10 juin 2021 et est entré en vigueur le 1er septembre 2021.Les principaux points forts du DSL incluent
(i) améliorer la protection des données importantes, e.g.Évaluation des risques, rendez-vous des agents de sécurité des données, régime de protection des données classifié à plusieurs niveaux, règles d'importance d'exportation de données et création d'une nouvelle catégorie de données qui seront offertes à la protection d'un niveau encore plus élevé par rapport aux données importantes, à savoir les données de base;
(ii) proposer d'établir un système de classification des données;
(iii) renforcer les obligations de protection de la sécurité des données des processeurs de données, e.g.SYSTÈME DE RAPPORT DE SUCHANTATION ET DE SÉCURITÉ DES DONNÉES;
(iv) imposant des mesures affectant les personnes liées à l'étranger, e.g.Revue de la sécurité nationale, contrôle des exportations, contre-mesures contre le traitement déloyal, approbation sur la demande de données par les organismes judiciaires ou les forces de l'ordre étrangers;et
(v) Encourager la publication et l'utilisation des données gouvernementales.Les entreprises qui font des affaires en Chine doivent prendre des actions actives et rapides pour évaluer si et comment le DSL s'applique à leurs activités de traitement des données à l'intérieur et à l'extérieur de la Chine, et quelles mesures régissant les données devraient mettre en place davantage.(Cliquez ici pour nos opinions sur le DSL)
2) Protection améliorée des données importantes
Le terme «données importantes» ainsi que les restrictions sur son traitement ont été introduites pour la première fois par la CSL en vigueur en 2017, par laquelle les opérateurs d'opérateurs d'information critique des infrastructures («CII») sont tenus de localiser des données importantes et de passer par une évaluation gouvernementale avant d'exporterToutes les données importantes.Le CSL est suivi par un projet de réglementation et de lignes directrices tentant de définir et de réglementer les données importantes.
Le DSL impose une série d'obligations de protection à tous les processeurs de données Traitement des données importantes mais ne définit pas les données importantes.Cependant, le DSL prévoit que l'État coordonnera les régulateurs régionaux et sectoriels pour émettre des catalogues de données importantes, qui sont applicables aux secteurs et industries concernés.
Notamment, un projet de directives non obligatoires pour identifier d'important a été officiellement publiée par le Comité technique national de standardisation de la sécurité de l'information («TC260») le 13 janvier 2022 pour la consultation publique.Le projet définit les données importantes comme des données enregistrées électroniquement que si elles sont détruites, modifiées sans autorisation, divulguées, obtenues illégalement ou utilisées peuvent nuire à la sécurité nationale et à l'intérêt public, et définit les facteurs qui devraient être pris en compte pour identifier les données importantes.
The Ministry of Industry and Information Technology (“MIIT”) published the draft Administrative Measures ofSécurité des données in Industry and Information Technology (“MIIT Data Measures”) on 30 September 2021, which is the first draft implementing rules of the DSL released by sectoral regulators.Les projets de mesures de données MIIT ont exprimé les critères d'identification des données importantes et des données de base et prétendent établir un système de dépôt pour les processeurs de données importantes et de données de base.Le MIIT et ses branches locales publieront des catalogues d'importants données et de données de base dans le secteur aux niveaux central et local respectivement.
3) Système de classification des données à plusieurs niveaux
Le DSL propose d'établir un système de protection des données de classification à plusieurs niveaux mais ne va pas plus loin que d'indiquer que le niveau d'un type particulier de données sera déterminé par «le préjudice qu'une altération, une destruction, une fuite ou une acquisition illégale ou illégale infligerasur la sécurité nationale, l'intérêt public ou l'intérêt juridique des particuliers ou des organisations ».
Il apparaît également sous le DSL que les données importantes seront l'un des niveaux du système.Ceci est confirmé par la suite par le projet de mesures de données MIIT, qui indique que les données industrielles et télécoms seront divisées en trois niveaux, à savoir les données ordinaires, les données importantes et les données de base.Le projet fournit également que les données doivent être classées par les besoins de l'industrie, de l'exploitation et de la source de données et des utilisations.En tant que tel, le projet divise les données dans les classes suivantes, notamment les données de recherche, la production et l'opération, les données de gestion, les données de maintenance, les données du service d'entreprise et les informations personnelles.Le projet de mesures de données MIIT nous a fourni un aperçu précieux du système de protection des données de classification à plusieurs niveaux de données à établir en vertu du DSL et peut définir un précédent pour les régulateurs qui sont obligés d'établir le système dans leur secteur respectif.
TC260 a publié un indicateur technique non obligatoire sur la façon d'identifier le niveau et la classe de données en décembre 2021.Ces directives confirment que les données seront divisées en trois niveaux, i.e.données ordinaires, données importantes et données de base.Notamment, il divise en outre les données ordinaires en 4 niveaux différents et fournit plus de détails sur le processus d'identification du niveau de types particuliers de données.Sur les classifications, les conseils prévoient également les considérations et le processus de classification et définissent les classes de types particuliers de données.Les directives techniques serviront de référence utile aux processeurs de données implémentant le système.
4) Mise à jour du régime de sécurité des données et d'examen de la cybersécurité
Le 28 décembre 2021, l'administration du cyberespace de la Chine («CAC»), conjointement avec 12 autres ministères, a émis les mesures révisées de la revue de la cybersécurité («Mesures d'examen de la cybersécurité»), qui a été rendue publique le 4 janvier 2022 et prendra effet sur15 février 2022.Les mesures d'examen de la cybersécurité étendent la portée de l'examen de la cybersécurité de l'approvisionnement des produits et des services de réseau par les opérateurs CII pour inclure également les activités de traitement des données par des opérateurs de plate-forme de réseau qui ont un impact sur la sécurité nationale.En particulier, les opérateurs de plate-forme réseau qui ont l'intention de se répertorier en dehors de la Chine devront désormais demander une révision de la cybersécurité sur leurs annonces s'ils traitent des informations personnelles de plus d'un million d'utilisateurs.(Cliquez ici pour nos opinions)
L'examen de la cybersécurité sur le traitement des données doit être considéré comme faisant partie du régime d'examen de la sécurité des données dans le cadre du DSL qui autorise les autorités à effectuer une revue de la sécurité nationale sur les activités de traitement des données qui ont un impact sur la sécurité nationale.DSL propose d'établir un régime d'examen de la sécurité des données.Cependant, les autorités peuvent publier d'autres réglementations sur le régime de revue de sécurité des données.
2.Développements d'application
L'application de la sécurité des données était restée relativement inactive au début jusqu'en juillet 2021, lorsque le Bureau d'examen de la cybersécurité du CAC a publié des annonces pour initier des examens de cybersécurité sur trois sociétés Internet qui viennent de lancer leur introduction en bourse aux États-Unis le mois précédent, à savoir Didi,Manbang et Boss Zhipin.Les résultats de ces revues de cybersécurité n'ont pas encore été publiés.Au cours de la période d'examen, les applications mobiles de Didi ont été supprimées des magasins d'applications et suspendus de l'enregistrement des nouveaux utilisateurs.
Le principal problème avec la décision est qu'au moment où les listes étrangères de la CAC ont initié la cybersécurité des opérateurs de plate-forme de réseau n'étaient pas encore dans l'étendue de l'examen de la cybersécurité.Cela a donné lieu à la spéculation selon laquelle les mesures révisées en matière d'examen de la cybersécurité sont une tentative rétrospective de fournir un motif juridique pour la décision publiée plus tôt pour initier l'examen de la cybersécurité.
3.Outlook pour 2022
Plus de régulateurs sectoriels pour publier des réglementations pour mettre en œuvre le DSL, en particulier, les systèmes de classification des données à plusieurs niveaux dans leurs secteurs respectifs ainsi que des catalogues de données importantes à publier dans certains secteurs.Malgré le fait que les portées de CII, les données de base et les données importantes ne sont pas encore spécifiées en vertu des lois et réglementations actuelles, le CAC peut encore choisir de faire respecter certains DSL et les mesures d'examen de la cybersécurité où ils considèrent que la sécurité ou l'intérêt national est blessé.Une fois le règlement de mise en œuvre en vigueur, nous nous attendons à voir des actions d'application accrue.
Partie IV.La cyber-sécurité
1.Développements réglementaires
1) Protection de CII renforcée
Le règlement sur l'infrastructure d'information critique (CII) Protection de sécurité («Règlement CII») est entré en vigueur le 1er septembre 2021.Le règlement autorise les régulateurs sectoriels à formuler les règles d'identification CII et d'identifier CII dans leurs secteurs respectifs.Le règlement CII met en évidence quelques «industries et secteurs importants» où CII sera identifié, y compris les services publics et les services d'information, l'énergie, les transports, l'ingénierie hydraulique, la finance, les services publics, le gouvernement électronique et l'industrie des technologies de la défense.
Pour établir les règles, les services de protection prendront en compte les facteurs suivants, notamment:
(i) l'importance de l'infrastructure réseau et des systèmes d'information au fonctionnement clé ou central de l'industrie ou du secteur concerné;
(ii) le niveau de préjudice sur l'infrastructure du réseau et les systèmes d'information en cas de destruction, de perte de fonction ou de fuite de données;et
(iii) tout impact consécutif sur d'autres industries ou secteurs.
Une fois le CII identifié, les régulateurs sectoriels doivent informer les opérateurs et le ministère de la Sécurité publique.Cependant, à la date de ce rapport, il y a très peu d'informations publiques pour savoir si des opérateurs CII ont été identifiés et, dans l'affirmative, qui ils sont.(Cliquez ici pour nos opinions)
2) Gestion de la vulnérabilité de la sécurité des produits du réseau
Le règlement sur la gestion de la vulnérabilité de la sécurité des produits du réseau a été publié par les articulations du MIIT, CAC et MPS le 12 juillet et est entrée en vigueur le 1er septembre 2021.Le règlement nécessite des opérateurs de produits et de réseaux de réseau, des opérateurs de réseau et des plates-formes collectant des informations de vulnérabilité de sécurité pour établir des canaux pour recevoir des informations sur la vulnérabilité de sécurité, vérifier les vulnérabilités et prendre les mesures d'assainissement nécessaires en temps opportun.Les opérateurs sont également tenus de signaler des vulnérabilités au MIIT dans les 2 jours et fournir un support technique aux utilisateurs.
Le règlement définit également les exigences pour les plateformes engagées dans le domaine de la collecte et de la publication d'informations sur la vulnérabilité du réseau.En particulier, les plateformes sont interdites de divulguer les détails techniques des vulnérabilités dans des circonstances spécifiées et sont tenus de faire un dépôt auprès du MIIT.
2.Développements d'application
Les mesures d'application contre les violations des exigences réglementaires de la cybersécurité en 2021 étaient actives.Par rapport aux actions prises au cours des années précédentes, l'accent était progressivement passé de la lutte contre les cybercrimes et le commerce illégal d'informations personnelles à l'échec de la mise en œuvre des obligations de conformité en cybersécurité.
Nous avons vu des opérateurs de réseau pénalisés pour ne pas formuler des règles et protocoles de gestion interne de la cybersécurité, mettre en œuvre des mesures de sauvegarde et de chiffrement des données, surveiller les informations distribuées sur les plateformes, nommer le personnel responsable des questions de cybersécurité, mettre en œuvre des normes techniques applicables, effectuer des corrections à temps après avoir reçu des avertissementsdes autorités, ou surveiller le trafic en ligne ou prendre des mesures efficaces pour remédier aux vulnérabilités du réseau peut toutes attirer l'attention de l'application des autorités.
Nous avons partagé en dessous de plusieurs exemples de mesures d'application en 2021.
1) CII
3.Outlook pour 2022
Les régulateurs sectoriels devraient formuler des règles d'identification de CII dans leurs secteurs respectifs et informer les opérateurs dont l'infrastructure d'information est identifiée comme CII.Et en outre, le CAC et les régulateurs sectoriels établissent des exigences et des obligations plus détaillées pour les opérateurs CII, qui ouvrira la voie à l'application.
2) MLPS
Le règlement de base régissant le régime MLPS sous la CSL, i.e., the Regulation on theLa cyber-sécurité Multi-level Protection Scheme, is still in a draft form since its public consultation in June 2018.À l'heure actuelle, la mise en œuvre et l'application du programme MLPS sont toujours basées sur les règlements obsolètes publiés en 2007 soutenus par des normes techniques recommandées publiées depuis 2017.Nous espérons que le nouveau règlement sera publié en 2022 définira les procédures et les exigences pour les MLP dans le cadre du CSL.
Partie V.Développements sectoriels
1.Automobile
La Chine a pris une série de mouvements pour réguler les véhicules intelligents et connectés («ICV») en 2021. As the first sectoral regulation targeted at data security after the DSL, six ministries, amongst which CAC, MIIT and MPS, published the Interim Provisions onAutomobileSécurité des données Management (“Auto Data Regulation”), effective on 1 October 2021, covers a wide range of players processing vehicle-related data and has begun to show its far-reaching impact on the industry.(Voir notre point de vue ici).Par exemple, pour mettre en œuvre l'exigence de rapport annuel en vertu du règlement des données automobiles, les CAC locaux à Shanghai, Guangdong, Tianjin et Hebei CAC ont publié des avis en décembre 2021 exigeant que les processeurs de données automobiles soumettent leurs rapports annuels concernant la gestion de la sécurité des données automobiles.
La cybersécurité et la protection des données sont devenues en tête de l'agenda du MIIT dans la régulation de l'ICV.En juin 2021, le MIIT a publié des directives pour établir un cadre de normes de cybersécurité pour ICVS.Dans une opinion officielle publiée le 30 juillet 2021, le MIIT a fait des données et de la cybersécurité l'une des exigences d'entrée du marché pour les fabricants et produits ICV et a émis un avis obligeant le fabricant ICV qu'ils mènent l'auto-évaluation pour les données et la cybersécurité.Un mois après la publication du règlement sur les données automobiles, le MIIT a publié un avis pour inciter les régulateurs locaux de télécommunications, les transporteurs de télécommunications, les fabricants et les fournisseurs de services ICV et les organisations de normalisation pour renforcer les données et la cybersécurité.
TC260 a également publié un certain nombre de normes nationales en 2021, telles que les directives de sécurité pour le traitement des données collectées sur les véhicules, la transmission des données automobiles, le stockage, l'exportation et d'autres exigences.
Nous nous attendons à voir plus d'application et d'inspection du MIIT sur les fabricants ICV et ceux qui traitent les données liées à l'automobile en Chine en 2022.
2.Secteur financier
En tant qu'industrie hautement réglementée, l'industrie financière a également vu des développements intéressants en ce qui concerne la protection des données et la sécurité des données en 2021. For instance, further to the personal information protection impact assessment under the PIPL and data security assessment regime under the DSL, TC260 issued the FinancialSécurité des données –Sécurité des données Assessment Specification in December 2021 for public consultation, aiming to provide guidance on assessment on financial data from the perspectives of security management, security protection and security operation and maintenance.Les mesures administratives commerciales de rapport de crédit ont été publiées en septembre 2021 et sont entrées en vigueur le 1er janvier 2022.Les mesures se concentrent sur la protection des informations personnelles et définissent des conseils sur la collecte, le stockage, le traitement, la fourniture et l'utilisation des informations de crédit.
En termes d'application, nous avons vu un certain nombre de banques et de leur personnel pénalisés par la CBIRC et la Banque de Chine des personnes pour diverses violations pertinentes pour les informations personnelles et s'attendre à voir plus de mesures d'application en 2022.
3.Soins de santé
Avec la promotion améliorée des initiatives de «mégadonnées de santé» et de «santé médicale» en Chine, la protection et la sécurité des données ont attiré une attention croissante dans le secteur des soins de santé. In the context of massive health data being used for commercial purposes, the Guide for HealthSécurité des données issued by TC260 took effect on 1 July 2021, which details the recommended guidance on data classification, data governance and data security measures through the whole healthcare data lifecycle.
Pendant la pandémie Covid-19, des sanctions croissantes ont été imposées aux médecins ou autres membres du personnel hospitalier qui ont intentionnellement divulgué des informations personnelles sur les personnes infectées et leurs contacts étroits sans autorisation.Ces pénalités comprennent non seulement les ordonnances d'avertissement et les amendes monétaires, mais aussi la détention administrative des personnes concernées qui ont violé la loi.
Bien que les autorités de santé et de médicament n'aient pas été très actives dans le passé, elles peuvent intensifier leurs efforts législatifs et d'application en 2022 pour mettre en œuvre le PIPL et le DSL dans leur secteur.