Cyber ​​sécurité en Chine – lexologie ☎ mutuelle entreprise

De la couverture des risques de subis et pourquoi pas causés à des tiers, aux garanties pour couvrir les pertes d’exploitation et les risques informatiques, les contrats d’assurance, même facultatifs, peuvent s’avérer indispensables.
ll assez quelquefois d’un incendie ou bien de la livraison d’un produit défaillant pour mettre en péril la vie d’une entreprise… Si, du strict point de vue juridique, seules quelques couvertures sont obligatoires – l’assurance des véhicules, la responsabilité civile et les persuasion spécifiques de type garantie décennale pour divers secteurs d’activité -, PME et TPE ont tout intérêt à souscrire des garanties complémentaires. Au-delà du petit minimum – la certification des biens, celle des pertes d’exploitation ou la responsabilité civile prostituée -, certains contrats se révéler utiles au regard de l’activité de l’entreprise (informatique, chimie, transports, exercice cycliques…) ou alors faciliter son expansion à l’international. Difficile toutefois de s’y retrouver dans une offre surabondante. Parcours fléché des sept contrats essentiel à l’entreprise.

1. L’assurance des biens

Première grande catégorie d’assurances pour les entreprises: la couverture des risques potentiels extérieurs. Inondation, incendie, vol menacent les locaux, le matos ou bien les stocks. Contre ces dommages, une fermeté spécifique être souscrite, non obligatoire cependant néanmoins incontournable. “Attention, dans l’hypothèse ou la societé est locataire de ses locaux – bureaux, usine, entrepôt- obligatoire souscrire une assurance pour couvrir liés aux biens immobiliers et sa responsabilité d’occupation. Cette obligation figure dans la loi n°89-462 du 6 juillet 1989”, avertit Damien Palandjian responsable département à la Direction des Services aux Entreprises, chez le courtier en aplomb Verspieren.

En cas de sinistre, le chef de plan fera une déclaration à sa compagnie d’assurances dans un délai juridique rappelé parmi le contrat (de deux à de cinq ans jours, selon risques), vraiment immédiatement pour événements vitaux (incendie, catastrophe naturelle, tempête, cambriolage…). Le montant de l’indemnisation dépend alors de la valeur des biens garantis, c’est pourquoi il ne faut pas oublier de prévenir son assureur lorsque le périmètre des biens à assurer évolue en cours d’année (achat de nouvelles machines, reprise d’un autre site…), ni de vérifier quels sont dommages réellement couverts. Les sociétés qui possèdent une activité périodique se traduisant chez une variation importante des circonspection de produits ont intérêt à mentionner cette spécificité à leur assureur pour évoluer en tant que mieux couvertes en de dommages. La valeur des silo est alors établie sur la base de montant annuel le plus important et régularisée en fin d’année.

Dans exhaustifs les cas de figure, l’indemnisation existera versée ordinairement après présentation des factures correspondant aux réparations nécessaires ou à l’achat de nouvel matériels. En cas de lourd sinistre, l’assureur toutefois verser des acomptes à son client.

Le système juridique

Législation

Résumez les principales lois et réglementations qui favorisent la cybersécurité. Avez-vous des lois sur la cybersécurité dans votre juridiction?

Le régime général de cybersécurité et de protection des données en Chine comprend la Cyber ​​Security Act (CSL) et ses règlements et mesures d'application. Il existe également divers régulateurs sectoriels en Chine qui édictent des réglementations sectorielles et réglementent la cybersécurité et la protection des données dans leurs secteurs respectifs.

Les principes généraux du droit civil prévoient le droit à la protection des données personnelles. Toutes les organisations et personnes qui collectent et traitent des données personnelles doivent garantir la sécurité des données personnelles. La collecte, l'utilisation, le traitement ou le transfert illicites de données personnelles sont interdits.

L'article 253 du Code pénal et les interprétations de la Cour populaire suprême et du Bureau du procureur général du peuple sur plusieurs questions relatives à l'application légale dans les affaires pénales d'atteinte aux informations personnelles des citoyens indiquent certaines activités qui peuvent constituer un crime en violation du droit aux données personnelles. protection. Il existe d'autres dispositions du droit pénal qui criminalisent le piratage des systèmes d'information et d'autres cybercrimes.

2012 Le Comité permanent de l'Assemblée populaire nationale chinoise a adopté une décision visant à renforcer la protection des informations en ligne et énonce certains principes généraux de protection des informations en ligne des citoyens. Tous les fournisseurs de services réseau et autres entités qui collectent et gèrent les informations en ligne des citoyens doivent se conformer aux règles contenues dans la décision.

2013 Les mesures publiées pour la protection des données personnelles des utilisateurs de télécommunications et d'Internet comprennent des règles appropriées pour la protection des données personnelles des consommateurs. Ces mesures s'appliquent à la collecte et au traitement des données personnelles des consommateurs par les prestataires de services de télécommunications et les prestataires de services d'information sur Internet.

2007 Les mesures administratives de sécurité de l'information à plusieurs niveaux publiées (mesures MLPS) contiennent les règles pertinentes du système de sécurité à plusieurs niveaux (MLPS). Ces outils sont communément appelés MLPS 1.0. Ministère de la sécurité publique (MPS) 2018 27 juin Pour consultation publique, un nouveau projet de cadre pour les systèmes de cybersécurité à plusieurs niveaux (projet de règlement MLPS 2.0) vise à abroger et à remplacer les mesures MLPS existantes. MLPS 2.0 (composé de diverses normes nationales mises à jour) a été publié en 2019. Juin

Outre les lois et réglementations ci-dessus, il existe diverses normes nationales sur la cybersécurité et la protection des données. Technologie de sécurité de l'information – La spécification de sécurité des données personnelles (PDSS) fournit diverses règles de protection des données personnelles recommandées.

Quels secteurs économiques de votre juridiction sont les plus soumis aux lois et réglementations en matière de cybersécurité?

CSL s'applique à la construction, l'exploitation, la maintenance et l'exploitation de réseaux en Chine. Toute organisation ou personne utilisant le réseau sera l'opérateur du réseau, quel que soit le secteur. L'infrastructure d'informations critiques (CII) est soumise à des exigences plus strictes, en particulier des exigences de localisation des données. Les opérateurs CII (CIIO) sont également à la portée des opérateurs de réseau.

L'article 31 de la CSL définit le CII comme une infrastructure d'information pour les communications publiques et les services d'information, l'énergie, les transports publics, la protection de l'eau, le secteur financier, les services publics, les systèmes d'information du gouvernement et d'autres infrastructures d'information, qui peuvent affecter de manière substantielle les intérêts nationaux, l'intérêt public ou la société dans son ensemble. il est compromis, compromis, perturbé ou affecté par une violation de données ou autrement. Bien que le CSL ne spécifie pas la portée spécifique des CII et la méthode d'identification des CII, les opérateurs de réseau dans ces industries ou secteurs importants peuvent être plus susceptibles d'être affectés à CIIO.

Il existe également des règles intersectorielles relatives à la cybersécurité et à la protection des données qui s'appliquent aux opérateurs de réseaux dans certaines industries telles que la fintech, les services financiers, les services pharmaceutiques et médicaux, l'exploration de la terre et la conduite autonome.

Votre juridiction a-t-elle adopté des normes internationales de cybersécurité?

La Chine participe activement à l'élaboration de normes internationales et reconnaîtra certaines normes internationales en transposant les règles pertinentes en normes nationales en vertu de la Loi sur la normalisation de la RPC. L'article 8 de cette loi prévoit que le gouvernement chinois facilitera activement l'interopérabilité des normes internationales en Chine. Les normes chinoises (y compris les normes nationales, sectorielles ou provinciales, ou les normes applicables à certaines associations) peuvent adopter certains termes de normes internationales pour assurer la communication entre elles et les normes nationales chinoises, et peuvent adopter les mêmes règles dans une norme internationale. les transposer en normes nationales, avec ou sans modifications. Par exemple, le Comité technique pour la normalisation nationale de la sécurité de l'information, basé sur ISO 27001: 2013 préparé par l'Organisation internationale de normalisation, a fourni Technologies de l'information – Techniques de sécurité – Systèmes de gestion de la sécurité de l'information – Exigences (GB / T 22080-2016).

Quelles sont les responsabilités du personnel et des directeurs responsables pour tenir l'organisation suffisamment informée sur la sécurité des réseaux et des données, et comment peuvent-ils être responsables d'une cybersécurité inadéquate?

CSL exige que les opérateurs de réseau désignent une personne spécifique responsable de ses problèmes de cybersécurité et de sécurité des données (personne de cybersécurité). Le non-respect de cette obligation peut entraîner pour le gestionnaire de réseau une sanction administrative infligée par les autorités de contrôle compétentes conformément à l'article 59 de la CSL, y compris une ordonnance de correction, un avertissement ou une amende administrative en cas de non-conformité ou d'implications importantes de cybersécurité. Le responsable de la cybersécurité est chargé d'assister l'opérateur de réseau en matière de CSL et de sécurité des données et de cybersécurité.

CSL établit la responsabilité de la "personne directement responsable" ou de "l'autre personne responsable" de l'opérateur de réseau pour la violation de la CSL dans certaines circonstances. Par exemple, l'article 64 de la CSL prévoit qu'une personne directement appropriée ou une autre personne en charge de l'opérateur de réseau peut être condamnée à une amende de 10 000 à 100 000 yuans pour violation du droit de l'individu à la protection des données personnelles. Cependant, le CSL ne précise pas qui est la personne directement responsable ou toute autre personne responsable qui peut être déterminée par les procureurs et les tribunaux au cas par cas.

CSL ne précise pas les obligations des administrateurs de connaître l'adéquation des réseaux de l'entreprise et la protection des données. Cependant, en vertu de la Loi sur les sociétés, les administrateurs ont des obligations fiduciaires envers la société, et il n'est pas encore clair si une violation de CSL sera interprétée comme une violation des obligations fiduciaires du directeur visant la société à se conformer aux lois et règlements.

Comment votre juridiction définit-elle la cybersécurité et la cybercriminalité?

Cyber ​​sécurité

CSL définit la cybersécurité comme «le maintien de la stabilité et de la fiabilité du réseau, et la garantie de l'intégrité, de la confidentialité et de l'intégrité des données du réseau en prenant les mesures nécessaires pour protéger le réseau contre les attaques, les intrusions, les interférences, les dommages, l'utilisation non autorisée et les accidents. & # 39;. Bien que CSL ne définisse pas la confidentialité des données, les articles pertinents de la CSL prévoient que la confidentialité des données implique la protection de la confidentialité, de l'intégrité et de la disponibilité des données personnelles.

Étant donné que la cybersécurité et la confidentialité des données sont étroitement liées, car les données sont stockées dans un système d'information qui repose sur une infrastructure informatique et doit être protégé, les règles de cybersécurité s'appliqueraient également à la protection des données. Un incident de cybersécurité peut ne pas toujours conduire à une plage de données, comme un incident de cybersécurité qui peut perturber votre réseau ou votre système d'information, mais les données sont cryptées pour éviter toute violation de données.

Cybercriminalité

Droit pénal pour certaines infractions relatives aux ordinateurs et aux réseaux informatiques, généralement considérées comme de la cybercriminalité. Les activités criminelles comprennent, sans s'y limiter:

  • intrusion non autorisée dans un système informatique;
  • accès non autorisé ou contrôle des données stockées sur un système informatique;
  • Fourniture de programmes ou d'outils informatiques pour intrusion ou accès non autorisé à un système informatique;
  • endommager le système informatique;
  • manquent à ses obligations en matière de gestion de la sécurité des réseaux d'information; et
  • utilisation non autorisée du réseau d'information.

2014 4 mai Les avis émis par la Cour populaire suprême, le Parquet populaire suprême et l'APS ont clarifié la portée de la cybercriminalité sur plusieurs questions liées à l'application du droit pénal dans les affaires de cybercriminalité:

  • mettre en danger la sécurité des systèmes informatiques;
  • vol, fraude ou extorsion, menaçant la sécurité des systèmes informatiques;
  • fournir des informations sur Internet ou créer des sites Web ou des groupes de liaison couramment utilisés pour des activités criminelles qui ciblent, organisent, soutiennent ou aident un groupe de personnes non identifiées à commettre un crime; et
  • d'autres cas d'activités criminelles sur Internet.

Quelles sont les garanties minimales que les organisations doivent mettre en place pour protéger les systèmes de données et de technologie de l'information contre la cyberintimidation?

CSL oblige les opérateurs de réseaux à adopter des mesures de cybersécurité et de sécurité des données (c'est-à-dire des mesures techniques et organisationnelles) telles que:

  • formuler des systèmes internes de gestion de la sécurité et des instructions de travail relatives à la cybersécurité et à la protection des données, et spécifier les responsabilités de chaque département concerné;
  • identifier la personne responsable de la cybersécurité;
  • prendre des mesures techniques pour prévenir les virus informatiques, les attaques de réseau, les intrusions sur le réseau et d'autres activités qui menacent la cybersécurité;
  • surveiller et enregistrer l'activité du réseau et les événements de cybersécurité et conserver les cyber-journaux pendant au moins six mois;
  • adopter des règles de classification des données et prendre les mesures appropriées par catégories de données; et
  • sauvegarder et crypter vos données importantes.

En cas de diffusion de contenu interdit sur le réseau, de violation massive de données, de perte de preuves d'enquête criminelle ou d'autres conséquences graves en raison du refus de l'opérateur de réseau de prendre les mesures techniques et autres nécessaires pour assurer la sécurité des informations, comme l'exige la loi. et afin de remédier à la situation exigée par les autorités réglementaires compétentes, le manquement peut être considéré comme une "renonciation aux responsabilités de gestion de la sécurité des réseaux d'information" en tant que droit pénal au titre de l'article 286 du Code pénal.

Les mesures MLPS obligent l'opérateur ou l'utilisateur du système d'information à prendre certaines mesures normatives pour assurer la sécurité du système d'information en fonction de son degré. Technologies de sécurité de l'information – Le début de la cybersécurité classifiée a été publié pour consultation publique afin de clarifier la mise en œuvre du projet de règle MLPS 2.0. Il propose les mesures de sécurité suivantes:

  • appliquer le contrôle d'accès aux systèmes d'information;
  • prendre des mesures pour protéger la sécurité physique des systèmes d'information, telles que des mesures antivol, ignifugées et anti-invasives;
  • assurer la sécurité des télécommunications;
  • établir des paramètres de sécurité et prendre les mesures de protection appropriées, le cas échéant;
  • effectuer une authentification d'identité pour accéder aux systèmes d'information;
  • sauvegarder les données;
  • établir une politique de gestion de la sécurité interne pour l'entreprise et identifier la personne ou l'unité responsable;
  • formation du personnel de cybersécurité et de protection des données;
  • évaluer les systèmes d'information et fournir à la police locale un diplôme en système d'information, s'il est noté au niveau II ou supérieur;
  • élaborer un plan de sécurité des systèmes d'information;
  • assurer la sécurité des produits et services achetés par les systèmes d'information; et
  • élaborer un plan et un protocole de réponse aux incidents de sécurité.

Les règles sectorielles peuvent inclure davantage d'exigences sur les mesures de cybersécurité et de protection des données applicables aux opérateurs de réseau dans certains secteurs, tels que les services bancaires et financiers.

Portée et juridiction

Votre juridiction a-t-elle des lois ou des règlements régissant les compensations de propriété intellectuelle?

Les lois et réglementations en matière de cybersécurité s'appliquent à la sécurité des réseaux, qui s'applique à tout vol de propriété intellectuelle stocké dans un système ou réseau d'information, comme les délits contre l'accès illégal aux systèmes d'information (article 285). Article de loi pénale) et endommager le système d'information (article 286 de loi pénale).

Votre juridiction dispose-t-elle de lois ou de réglementations traitant spécifiquement des cybermenaces dans les infrastructures critiques ou des secteurs spécifiques?

CSL définit des exigences plus strictes pour la protection CII. Voir CII pour les définitions. "Législation".

À l'heure actuelle, seuls les projets de règlement sur la protection des infrastructures d'information critiques, qui ont été annoncés pour consultation publique en 2017, révèlent la portée du CII. Les régulateurs sectoriels suivent généralement de près les préoccupations de cybersécurité des entreprises de leur secteur.

L'administration chinoise du cyberespace (CAC) a annoncé une ébauche des outils d'administration des publications d'information de Cyberthreat en 2019. 20 novembre Ces mesures comprennent des exigences plus strictes pour la publication d'un rapport régional complet sur les attaques, les incidents, les risques et les vulnérabilités en matière de cybersécurité. des secteurs importants tels que les services publics de communication et d'information, l'énergie, les transports, la protection de l'eau, les finances, les services publics, e. gouvernement, défense nationale, science et technologie. En plus de la notification préalable à la CAC, les mesures nécessiteront également un rapport au régulateur sectoriel compétent.

Le CAC a également annoncé un projet de mesure pour l'examen de la cybersécurité en 2019. 21 mai Les mesures ont été conçues pour mettre en œuvre l'article 35 de la CSL, qui exige que tout achat de produits et services du réseau CIIO qui affectent ou pourraient affecter la sécurité de l'État soit effectué. à l'évaluation appropriée de la cybersécurité.

Existe-t-il des lois ou des réglementations en matière de cybersécurité dans votre juridiction qui restreignent spécifiquement l'échange d'informations sur la sécurité des sites Web?

En vertu de l'article 29 de la CSL, la Chine soutient la coopération entre les opérateurs de réseau dans la collecte, l'analyse et la fourniture d'informations sur la cybersécurité et les interventions d'urgence pour améliorer la capacité des opérateurs de réseau à protéger les mesures de cybersécurité. Cependant, des activités telles que l'authentification de la cybersécurité, les tests et l'évaluation des risques, ainsi que la divulgation d'informations sur la cybersécurité telles que les erreurs système, les virus informatiques, les attaques de réseau et les intrusions sont soumises aux règles prévues à l'article 26 de la CSL.

Les conceptions d'annonces de dissémination des cybermenaces contiennent des règles pertinentes, notamment:

  • les informations respiratoires électroniques publiées ne doivent pas contenir sept types de contenu, y compris le code source et les méthodes de production pour les virus informatiques, les chevaux de Troie, les rançons et autres logiciels malveillants;
  • la publication d'informations sur un incident de cybersécurité, telles qu'une attaque, des dommages ou un accès non autorisé au réseau ou au système d'information, doit informer à l'avance l'organisme de sécurité publique au-dessus du niveau de la préfecture du lieu où l'incident s'est produit; et
  • sans la permission et la permission de l'agence gouvernementale, les entreprises, les organisations sociales et les individus ne doivent pas ajouter une étape "d'alerte précoce" au nom des informations publiées sur le nom du souffle électronique.

Le droit à la liberté et la confidentialité des communications privées sont des droits constitutionnels. L'article 40 de la loi constitutionnelle dispose qu'aucune organisation ou personne ne peut, pour quelque raison que ce soit, violer la liberté et l'intimité de la correspondance personnelle des citoyens. La seule restriction à ce droit est que la police ou les procureurs peuvent rechercher et recevoir de la correspondance privée conformément aux règles applicables en matière de sécurité de l'État ou d'enquête criminelle.

La loi ne prescrit pas de règles spécifiques pour la collecte et la gestion des métadonnées. Cependant, si les métadonnées font partie de secrets d'État, de données sensibles ou de données personnelles, les règles pertinentes applicables à la catégorie de données s'appliqueront à leur collecte et à leur traitement.

Quelles sont les principales sanctions contre la cybercriminalité en vertu des lois de votre juridiction?

En vertu du droit pénal, l'activité criminelle est une variété d'activités liées à l'activité électronique. Voir aussi: "Législation".

Comment votre juridiction a-t-elle relevé les défis de sécurité de l'information du cloud computing?

Les fournisseurs de cloud computing en Chine sont tenus de se conformer aux lois et réglementations en matière de cybersécurité et de protection des données. Il existe une variété de réglementations, d'outils et de normes nationales spécifiquement conçus pour le cloud computing qui couvrent une variété d'aspects, allant de l'acquisition de services cloud, des outils de sécurité et de gestion aux fournisseurs de services cloud. Par exemple, 2014 30 décembre Le CAC a émis un avis sur le renforcement de l'administration de la cybersécurité pour les services de cloud computing dans les ministères des partis et du gouvernement, ainsi que 2 juillet Ensemble publié des outils d'évaluation de la sécurité pour les services de cloud computing. avec la Commission nationale pour le développement et la réforme, le Ministère de l'industrie et des technologies de l'information (MIIT) et le Ministère des finances. Les agences gouvernementales et le CIIO doivent d'abord évaluer les risques et évaluer les fournisseurs de services avant d'utiliser les services de cloud computing qui ont reçu une cote de sécurité par le CAC. L'utilisation des services de cloud computing publics est interdite à condition que tous les secrets du réseau soient stockés dans le système d'information de l'opérateur du réseau.

Lorsqu'un opérateur de réseau utilise des services de cloud computing pour le stockage de données, il doit également s'assurer que ses fournisseurs de services cloud se conforment aux mesures techniques et de gestion MLPS pour permettre à l'opérateur de réseau de passer les tests MLPS annuels.

Comment les lois sur la cybersécurité de votre juridiction affectent-elles les organisations étrangères faisant des affaires dans votre juridiction? Les obligations réglementaires sont-elles les mêmes pour les organisations étrangères?

CSL s'applique aux opérateurs de réseaux, que les entreprises soient à capitaux nationaux ou étrangers.

La CSL ne fait pas référence à une application extraterritoriale et ne contient pas de disposition similaire à l'article 3, paragraphe 2, du règlement général sur la protection des données (RGPD). Cependant, l'ACC estime que le CSL devrait être appliqué de façon extraterritoriale. CAC 2019. 13 juin A publié un projet d'évaluation de la sécurité sur le transfert transfrontalier de données personnelles, proposant une nouvelle exigence pour les représentants en Chine pour la collecte à distance de données personnelles en dehors de la Chine, similaire à l'article 27 du RGPD. Le représentant assumera les obligations de l'opérateur de réseau au titre de ces mesures, y compris la réalisation d'évaluations de la sécurité des transferts internationaux de données personnelles.

Bonne pratique

Une protection accrue

Les autorités recommandent-elles une protection supplémentaire en matière de cybersécurité au-delà des exigences légales?

Oui, la Chine a publié et formulé des normes nationales complètes sur la cybersécurité et la protection des données. Voir ci-dessous pour plus d'informations.

Comment le gouvernement encourage-t-il les organisations à améliorer leur cybersécurité?

Actuellement, le gouvernement n'accorde aucune récompense monétaire spécifique qui encouragerait les organisations à améliorer leur cybersécurité. La cybersécurité et le stockage des données sont la responsabilité de chaque opérateur de réseau.

Identifier et décrire les principales normes et codes de pratique de l'industrie qui promeuvent la cybersécurité. Où peuvent-ils être atteints?

La Chine a publié diverses normes nationales et directives techniques sur la cybersécurité et la protection des données, qui comprennent principalement les normes GB (normes nationales obligatoires que les entreprises doivent adopter), les normes GB / T (normes nationales recommandées, qui ne sont pas obligatoires pour les entreprises). et des conseils techniques. Ces normes et directives techniques nationales couvrent une variété de questions liées à la cybersécurité et à la protection des données. Par exemple, le PDSS fournit diverses règles recommandées pour la cybersécurité et la protection des données personnelles.

En général, les normes nationales et les directives techniques sont adoptées par le Comité technique national de normalisation de la sécurité de l'information. Ils sont souvent publiés conjointement par la supervision de la qualité, l'administration de l'inspection et de la quarantaine et la National Standardization Administration. Les différentes normes nationales peuvent être consultées sur www.tc260.org.cn. Cependant, ces normes nationales sont publiées en chinois et il n'y a pas de traduction officielle.

Les meilleures pratiques et procédures de traitement des violations sont-elles généralement recommandées?

La Chine a publié diverses règles sur la façon de répondre aux violations de données et aux incidents de sécurité. En plus des lois et règlements pertinents (tels que CSL et le plan de réponse aux incidents de sécurité nationale), il existe également des règles recommandées pour répondre aux violations de données et aux incidents de sécurité. Par exemple, le PDSS contient des règles recommandées appropriées pour traiter et traiter les violations de données à caractère personnel, en particulier en ce qui concerne la notification aux autorités de contrôle compétentes et aux personnes concernées.

Partage d'informations

Décrivez les pratiques et procédures d'échange volontaire d'informations sur la cyberintimidation dans votre juridiction. Existe-t-il des incitations légales ou politiques?

La Chine soutient la coopération entre les opérateurs de réseau dans la collecte, l'analyse et la fourniture d'informations sur la cybersécurité et les interventions d'urgence pour améliorer leurs capacités de cybersécurité. Si le projet de mesures de dissémination publicitaire sur les cybermenaces devait entrer en vigueur sous sa forme actuelle, la publication des informations respiratoires électroniques serait soumise à une notification préalable aux autorités réglementaires compétentes, et la publication des informations sur les laissez-passer respiratoires électroniques ne devrait pas contenir certains contenus interdits. Créé en 2001, le groupe technique / centre de coordination des interventions en cas de catastrophe du réseau informatique national chinois (CNCERT) est une agence nationale de réponse aux catastrophes en matière de cybersécurité créée par la CAC. La CNCERT a initié la création d'une base de données nationale sur la vulnérabilité à l'aide des informations fournies par divers opérateurs de télécommunications, sociétés de cybersécurité et fournisseurs de services Internet. L'objectif de la base de données est de surveiller activement les incidents et incidents cybernétiques et de fournir des informations aux opérateurs de réseaux afin qu'ils puissent prendre des mesures préventives contre les incidents de cybersécurité.

Comment le gouvernement et le secteur privé travaillent-ils ensemble pour développer des normes et procédures de cybersécurité?

À l'exception du secteur privé, qui a commenté les projets de mesures soumis à la consultation publique, les gouvernements et le secteur privé coopèrent généralement pour élaborer des normes nationales de cybersécurité et de protection des données. Plusieurs membres du Comité national de normalisation (comme le TC260) sélectionneront une norme nationale et rejoindront un groupe de travail pour lancer la recherche et le développement d'une norme nationale. En tant que membre du TC260, notre expérience est que les commentaires et opinions du secteur privé sont les bienvenus et acceptés, et le processus d'élaboration de diverses normes nationales est généralement collaboratif.

Assurances

Votre juridiction a-t-elle une assurance de cybersécurité et est-ce courant?

L'assurance de la Chine s'accompagne de violations de la cybersécurité, et il est courant pour les entreprises chinoises d'en avoir une.

Exécution

Réglementation

Quels régulateurs sont principalement responsables de l'application des règles de cybersécurité?

Divers régulateurs appliquent les règles de cybersécurité en Chine, tels que les principaux régulateurs: CAC, MIIT et APS. D'autres régulateurs sectoriels peuvent également adopter des règles régissant les questions de protection des données et de cybersécurité dans des secteurs pertinents, tels que la Banque populaire de Chine, la China Securities Regulatory Commission, la China Banking and Insurance Regulatory Commission et la National Health Commission.

Décrire les pouvoirs des autorités pour contrôler la conformité, enquêter et poursuivre les infractions.

Les autorités chinoises disposent généralement de pouvoirs étendus pour contrôler l'application des lois, mener des enquêtes gouvernementales, demander la coopération et des informations et infliger des amendes en cas de violation de la loi en vertu de diverses lois administratives, telles que la loi sur les sanctions administratives.

Par exemple, dans le cadre des outils de surveillance et de vérification de la sécurité Internet publiés par MPS, avec l'approbation de CSL, MPS peut effectuer des inspections sur site et des tests à distance avec certains types d'opérateurs de réseau. Au cours des inspections sur place, le MPS peut prendre certaines mesures pour enquêter sur les incidents de cybersécurité, comme: (i) pénétrer dans les locaux pour inspecter les salles informatiques et les postes de travail; (ii) interviewer l'opérateur du réseau de cybersécurité; (iii) copier et copier les informations nécessaires à l'enquête; et (iv) vérification du fonctionnement du réseau et mesures techniques de sécurité de l'information.

Lorsque MPS effectue un test à distance pour déterminer si le réseau d'un opérateur de réseau peut contenir certaines vulnérabilités du système, l'opérateur de réseau approprié sera averti à l'avance, en spécifiant la durée et la portée du test à distance. MPS ne devrait normalement pas interférer avec le fonctionnement normal du réseau de l'opérateur du réseau.

Quels sont les problèmes d'application les plus courants et comment les régulateurs et le secteur privé les ont-ils résolus?

Des dispositions de droit pénal sur la violation du droit à la protection des données personnelles et la cybercriminalité ont été activement appliquées en Chine. Il y a eu de nombreux cas où des organisations et des individus qui ont collecté et traité illégalement des données personnelles ont fait l'objet d'enquêtes, de poursuites et de condamnations.

En plus de l'application active du droit pénal, des mesures d'application de la loi ont été prises pour les violations de la LCS, telles que le manquement à: (i) surveiller et enregistrer le fonctionnement du réseau et les incidents de cybersécurité et maintenir les journaux du réseau pendant au moins six mois; (ii) prendre des mesures techniques pour prévenir les virus informatiques, les attaques de réseau et les intrusions sur le réseau; et (iii) prendre des mesures pour réglementer le contenu en ligne contre les informations interdites fournies par les utilisateurs d'applications ou de sites Web. L'utilisation illégale de VPN en Chine a également conduit à l'application de la loi.

En coordonnant les activités d'application de la loi, la CAC, le MIIT, l'APS et l'Administration d'État de la réglementation des marchés (ensemble les quatre ministères) procéderont à un examen en 2019. 25 janvier A publié une déclaration commune sur son programme d'application de la loi visant à limiter certaines pratiques de confidentialité. tout au long de 2019 et promouvoir un système de certification de la protection des données personnelles. Les quatre ministères ont souligné dans ce rapport que les opérateurs de programme doivent afficher un avis de confidentialité dans la collecte et l'utilisation des données personnelles d'une manière facilement compréhensible, claire et concise et permettre aux personnes concernées de donner leur consentement librement, plutôt que de faire pression pour obtenir leur consentement. cases de consentement pré-cochées ou consentement lié. Les quatre ministères ont vérifié de nombreux opérateurs de programme et ont demandé que les incohérences soient corrigées. Les quatre ministères ont régulièrement publié une liste des opérateurs d'applications qui ne se conforment pas encore à CSL et ont même ordonné la suspension ou la suppression temporaire de certaines applications des magasins d'applications.

Quelles obligations réglementaires les entreprises doivent-elles signaler après une violation de la cybersécurité? Les personnes concernées doivent-elles être informées?

La loi exige que les incidents de sécurité soient signalés aux autorités réglementaires compétentes et aux personnes concernées, telles que:

  • Les articles 25 et 42 du CSL imposent aux opérateurs de réseaux de signaler les incidents de sécurité aux autorités de contrôle compétentes et aux personnes concernées dont les données à caractère personnel ont été compromises;
  • L'article 14 du règlement sur la protection des informations personnelles des utilisateurs de télécommunications et d'Internet exige des opérateurs du secteur des télécommunications et des fournisseurs de services d'information sur Internet qu'ils notifient aux autorités de télécommunications compétentes les incidents de sécurité qui peuvent ou peuvent avoir de graves conséquences; et
  • nacionaliniame ekstremaliųjų situacijų valdymo plane dėl kibernetinio saugumo incidentų (Saugumo incidentų ekstremaliųjų situacijų valdymo plane) apibrėžti ir suskirstyti į kategorijas saugos incidentai bei nustatyta pranešimo reguliavimo institucijoms riba ir atitinkami procedūriniai reikalavimai.

Baudos

Kokios baudos gali būti skiriamos už taisyklių, kuriomis siekiama užkirsti kelią kibernetinio saugumo pažeidimams, nesilaikymą?

Norėdami užkirsti kelią kibernetinio saugumo pažeidimams, tinklo operatoriai privalo patvirtinti būtinas technines ir valdymo priemones duomenų apsaugai ir kibernetiniam saugumui užtikrinti.

Nesiėmus techninių ir kitų priemonių užtikrinti kibernetinį saugumą ir apsaugoti surinktus asmens duomenis, dėl kurių gali būti padarytas kibernetinio saugumo pažeidimas, atitinkamam tinklo operatoriui gali būti taikoma administracinė nuobauda, ​​kurią, remiantis CSL, nustato atitinkami reguliuotojai, įskaitant ištaisymo nurodymą. , įspėjimas, neteisėto turto konfiskavimas, bauda, ​​verslo ar programų ar svetainių veikimo sustabdymas arba leidimo ar verslo liudijimo panaikinimas, jei tai yra rimtas pažeidimas.

Tuo atveju, kai kibernetinio saugumo pažeidimas ir rimtos pasekmės atsiranda dėl tinklo operatoriaus atsisakymo imtis tinkamų techninių ir kitų būtinų priemonių asmens duomenims apsaugoti, kaip reikalauja atitinkami reguliavimo institucijos ištaisymo įsakyme, atsisakymas gali būti toliau laikomas nusikaltimu, priklausančiu „ atsisakymas vykdyti informacinio tinklo saugumo valdymo įpareigojimus “, kaip numatyta baudžiamojo įstatymo 286 straipsnyje.

What penalties may be imposed for failure to comply with the rules on reporting threats and breaches?

There are legal ramifications for network operators that fail to report cybersecurity breaches to the relevant regulators and the data subjects whose personal data has been breached. Legal ramifications include rectification orders, warnings, fines, confiscation of illegal gains, suspension of business or operation of apps or websites, and revocation of the permit or business licence if it is a serious violation. These administrative penalties are imposed by the relevant supervisory authorities according to article 64 of the CSL.

How can parties seek private redress for unauthorised cyberactivity or failure to adequately protect systems and data?

Data subjects may bring claims against organisations and individuals that unlawfully collect or process their personal data either on the ground of tort or breach of contract (ie, a user agreement). Suing in tort is more common as the data subjects can either choose the General Principles of the Civil Law or the Law on the Protection of Rights and Interests of Consumers as the legal basis to bring a claim. There is a provision in the latter that provides private redress for consumers similar to article 111 of the General Principles of the Civil Law.

Threat detection and reporting

Policies and procedures

What policies or procedures must organisations have in place to protect data or information technology systems from cyberthreats?

The CSL requires organisations to adopt security measures for cybersecurity and data protection. See ‘Legislation’.

Describe any rules requiring organisations to keep records of cyberthreats or attacks.

The CSL requires network operators to adopt technical measures to monitor and record network operation status, cybersecurity threat information and security incidents and to keep relevant logs for at least six months. There are other sectoral rules and circulars that require certain network operators in certain sectors to keep the logs for a minimum of one year.

The PDSS provides that records of data breach incidents must contain, at a minimum, who discovered the incident as well as when and where the incident was discovered, the categories of personal data affected, the number of affected data subjects, the names of the information systems involved and whether notification was made to the relevant regulators. The PDSS is silent on the retention period of the records of data breach incidents.

Describe any rules requiring organisations to report cybersecurity breaches to regulatory authorities.

There are various laws and measures that require network operators affected by cybersecurity incidents to report the incidents to the relevant regulators, such as the CSL, the E-commerce Law, the Provisions on the Protection of Personal Information of Telecommunication and Internet Users, and the Security Incidents Emergency Plan. The threshold for reporting to different regulators is not the same; however, the reporting obligation under different rules is generally triggered by the occurrence or potential occurrence of a cybersecurity incident. The report must be in Chinese, and it must contain at least the following information: the time of occurrence of incident; the scope of the impact and damage; remedial measures that have been taken; the details of the personal data and data subjects involved in the breach; and the contact details of the relevant responsible department or person of the network operator.

Time frames

What is the timeline for reporting to the authorities?

Upon the discovery of a cybersecurity incident, the network operator must immediately report the incident to the relevant regulators. Article 20 of the draft Regulations on the Graded Protection of Cybersecurity provides that a report of any online incidents must be made to the local public security organ within 24 hours. While there is no specific obligation to continue reporting after the initial report to the relevant regulators, in practice, once the regulators step in to investigate the incident, they will request cooperation and information from time to time until the closure of the investigation.

Reporting

Describe any rules requiring organisations to report threats or breaches to others in the industry, to customers or to the general public.

Network operators have specific obligations to notify the data subjects whose personal data has been breached. There is no specific data breach reporting obligation on a network operator to notify others in the same industry or sector as the reporting obligation is limited to the relevant Chinese authorities, should the cybersecurity incident meet the reporting threshold, and to the affected data subjects. The network operator can communicate with the affected data subjects using any of the following means: email, letter, telephone, in-app push notification and other proper means or announcement on the company website (if it is impractical to notify each of the affected data subjects).

Update and trends

Update and trends

What are the principal challenges to developing cybersecurity regulations? How can companies help shape a favourable regulatory environment? How do you anticipate cybersecurity laws and policies will change over the next year in your jurisdiction?

Although the CSL is the primary law that provides rules on cybersecurity and data protection, its provisions are mostly high-level principles, and it is still very much dependent on the implementation measures and regulations for consistent law enforcement. As the CSL authorises several ministries (as opposed to one specific ministry) to make rules under the CSL and enforce the laws, the CAC, the MIIT and the MPS have been actively creating ministry-level measures since the passage of the CSL.

The principal challenge to compliance with data protection laws in China in 2020 is that companies have to meet various regulators’ expectations. Not only do the regulations and measures promulgated by different regulators require careful reconciliation by companies, companies also need to consider certain recommended national standards that provide guidance. Companies may start taking a holistic approach to harmonise these rules and build a comprehensive data protection programme to ensure continuous compliance with the CSL and implementation regulations and measures. Based on many law enforcement actions, it is easier to convince regulators that a company has taken sufficient measures for cybersecurity and data protection if they are shown evidence of compliance and a comprehensive data protection programme.

Many important draft measures that are the key pillars of the CSL were released for public consultation in 2019. It is expected that the important draft measures will be finalised in 2020, and there is no doubt that active law enforcement agencies will follow the new measures. Law enforcement will continue to be strong and active, and there may be more coordinated efforts in addressing data protection practices in more sectors in 2020.

Law Stated Date

Correct On

Give the date on which the information above is accurate.

19 December 2019

Cyber ​​sécurité en Chine – lexologie ☎ mutuelle entreprise
4.9 (98%) 32 votes