Quelles sont les mesures de gestion de la sécurité des données ?

Les « Mesures de gestion de la sécurité des données » visent à sauvegarder la sécurité nationale et les intérêts sociaux publics, à protéger les droits et intérêts légitimes des citoyens, des personnes morales et d'autres organisations dans cyberespace et protéger les individus. Sécurité des informations et des données importantes, réglementations départementales formulées conformément à la « Loi sur la cybersécurité de la République populaire de Chine » et d'autres lois et réglementations.

Le contenu est le suivant :

Chapitre 1 Dispositions générales

L'article 1 vise à sauvegarder la sécurité nationale, les intérêts sociaux et publics et à protéger les citoyens. , personnes morales et autres organisations Ces mesures sont formulées conformément à la « Loi sur la cybersécurité de la République populaire de Chine » et à d'autres lois et réglementations pour protéger les droits et intérêts légitimes dans le cyberespace et assurer la sécurité des informations personnelles et des données importantes.

Article 2 Ces mesures s'appliquent à l'utilisation d'Internet pour mener à bien la collecte, le stockage, la transmission, le traitement, l'utilisation et d'autres activités de données (ci-après dénommées activités de données), ainsi qu'à la protection, au contrôle et la gestion de la sécurité des données sur le territoire de la République populaire de Chine. Des exceptions sont faites pour les questions purement familiales et personnelles.

Si les lois et règlements administratifs en disposent autrement, ces dispositions prévaudront.

Article 3 : L'État attache une importance égale à assurer la sécurité et le développement des données, encourage la recherche et le développement de technologies de protection de la sécurité des données, promeut activement le développement et l'utilisation des ressources de données et assure la circulation ordonnée et libre des données. données conformément à la loi.

Article 4 : L'État prend des mesures pour surveiller, défendre et traiter les risques et menaces en matière de sécurité des données provenant de l'intérieur et de l'extérieur de la République populaire de Chine, protéger les données contre les fuites, le vol, la falsification, les dommages, l'utilisation illégale, etc., et les punir conformément à la loi. Activités illégales et criminelles qui mettent en danger la sécurité des données.

Article 5 : Sous la direction de la Commission centrale de cybersécurité et d'informatisation, le service national de cybersécurité et d'informatisation coordonne, oriente et supervise la sécurité et la protection des informations personnelles et des données importantes.

Les services du cyberespace de la préfecture (ville) et au-dessus guideront et superviseront la protection de la sécurité des informations personnelles et des données importantes au sein de leurs régions administratives respectives conformément à leurs responsabilités.

Article 6 Les opérateurs de réseau doivent, conformément aux dispositions des lois et réglementations administratives pertinentes et en référence aux normes nationales de sécurité des réseaux, remplir les obligations de protection de la sécurité des données, établir les responsabilités de gestion de la sécurité des données et les systèmes d'évaluation, formuler plans de sécurité des données et mettre en œuvre la protection technique de la sécurité des données, procéder à une évaluation des risques liés à la sécurité des données, formuler des plans d'urgence pour les incidents de sécurité des réseaux, gérer les incidents de sécurité en temps opportun et organiser l'éducation et la formation en matière de sécurité des données.

Recommandations associées : "FAQ"

Chapitre 2 Collecte de données

Article 7 Les opérateurs de réseau transmettent le site Internet, les applications et les autres produits qui collectent et utilisent des informations personnelles doivent formuler et divulguer séparément des règles de collecte et d'utilisation. Les règles de collecte et d'utilisation peuvent être incluses dans les politiques de confidentialité des sites Web, des applications et d'autres produits, ou peuvent être fournies aux utilisateurs sous d'autres formes.

Les règles de collecte et d'utilisation de l'article 8 doivent être claires, spécifiques, simples et populaires, et faciles d'accès, mettant en évidence le contenu suivant :

(1) Informations de base des opérateurs de réseau

;

(2) Le nom et les coordonnées du principal responsable du gestionnaire du réseau et du responsable de la sécurité des données

(3) La finalité, le type, la quantité, la fréquence, la méthode, la portée ; , etc. de la collecte et de l'utilisation des informations personnelles ;

(4) L'emplacement, la période et le traitement des informations personnelles après l'expiration

(5) Règles de fourniture d'informations personnelles à des tiers, si elles sont fournies ; à des tiers ;

(6) Stratégies de protection de la sécurité des informations personnelles et autres informations connexes

(7) Les sujets des informations personnelles révoquent leur consentement, ainsi que les moyens et méthodes pour interroger, corriger et supprimer les informations personnelles ; ;

(8) Canaux et méthodes de réclamation et de signalement, etc.

(9) Autres contenus stipulés par les lois et règlements administratifs.

Article 9 Si les règles de collecte et d'utilisation sont incluses dans la politique de confidentialité, elles doivent être relativement concentrées et clairement indiquées pour une lecture aisée. De plus, les opérateurs de réseaux ne peuvent collecter des informations personnelles que lorsque les utilisateurs connaissent les règles de collecte et d'utilisation et les acceptent explicitement.

Article 10 Les opérateurs de réseau doivent respecter strictement les règles de collecte et d'utilisation. La conception fonctionnelle des sites Web et des applications qui collectent ou utilisent des informations personnelles doit être conforme à la politique de confidentialité et ajustée simultanément.

Article 11 Les opérateurs de réseau ne doivent pas forcer ou induire en erreur les sujets d'informations personnelles à accepter leur consentement par le biais d'une autorisation par défaut, d'un regroupement de fonctions, etc. pour des raisons d'amélioration de la qualité du service, d'amélioration de l'expérience utilisateur, de diffusion d'informations de manière ciblée. , développement de nouveaux produits, etc. Collecte d'informations personnelles.

Une fois que la personne concernée a accepté de collecter des informations personnelles pour assurer le fonctionnement des fonctions commerciales de base des produits de réseau, l'opérateur de réseau doit fournir des services de fonctions commerciales de base à la personne concernée et ne doit pas collecter les éléments ci-dessus. informations en raison du refus ou du retrait du consentement de la personne concernée d'autres informations, tout en refusant de fournir des services fonctionnels de base.

Article 12 : Toute collecte d'informations personnelles auprès de mineurs de moins de 14 ans doit obtenir le consentement de leurs tuteurs.

Article 13 Les opérateurs de réseau ne doivent pas prendre de mesures discriminatoires à l'encontre des personnes concernées par les informations personnelles selon que la personne concernée a autorisé ou non la collecte d'informations personnelles et la portée de l'autorisation, y compris la qualité du service, les différences de prix, etc.

Article 14 Les opérateurs de réseaux qui obtiennent des informations personnelles à partir d'autres canaux ont les mêmes responsabilités et obligations de protection que ceux qui collectent directement des informations personnelles.

Article 15 Si les opérateurs de réseaux collectent des données importantes ou des informations personnelles sensibles à des fins commerciales, ils doivent déposer un dossier auprès du service local de cybersécurité et d'informatisation. Le contenu du dépôt comprend les règles de collecte et d'utilisation, le but, l'échelle, la méthode, la portée, le type, la période, etc. de la collecte et de l'utilisation, mais n'inclut pas le contenu des données lui-même.

Article 16 Les opérateurs de réseau qui utilisent des moyens automatisés pour accéder et collecter des données sur le site Web ne doivent pas entraver le fonctionnement normal du site Web ; un tel comportement affecte sérieusement le fonctionnement du site Web si le trafic collecté par l'accès automatisé dépasse un-. tiers du trafic quotidien moyen du site Web. Lorsque le site Web demande d'arrêter la collecte automatisée des accès, il doit s'arrêter.

Article 17 Si les opérateurs de réseaux collectent des données importantes ou des informations personnelles sensibles à des fins commerciales, ils doivent identifier la personne responsable de la sécurité des données.

Le responsable de la sécurité des données doit être une personne possédant une expérience de gestion pertinente et une expertise en matière de sécurité des données. Il participe aux décisions importantes concernant les activités liées aux données et relève directement du responsable principal de l'opérateur de réseau.

Article 18 Le responsable de la sécurité des données exerce les responsabilités suivantes :

(1) Organiser l'élaboration des plans de protection des données et superviser leur mise en œuvre ; Organiser le développement des risques de sécurité des données Évaluer et inciter à la rectification des risques de sécurité

(3) Signaler la protection de la sécurité des données et la gestion des incidents aux services concernés et aux services de cybersécurité, selon les besoins ; Accepter et traiter les plaintes et les rapports des utilisateurs.

Les opérateurs de réseau devraient fournir les ressources nécessaires aux responsables de la sécurité des données pour garantir qu'ils puissent exercer leurs fonctions de manière indépendante.

Chapitre 3 Traitement et utilisation des données

Article 19 Les opérateurs de réseau doivent se référer aux normes nationales pertinentes et adopter des mesures de classification, de sauvegarde, de cryptage et d'autres mesures pour renforcer la protection des informations personnelles et protection des données importantes. Article 20 : Les opérateurs de réseau ne doivent pas stocker d'informations personnelles au-delà de la période de conservation spécifiée dans les règles de collecte et d'utilisation. Les utilisateurs doivent supprimer rapidement leurs informations personnelles après avoir annulé leur compte. Après traitement, ils ne peuvent pas être associés à un compte spécifique. individuel et ne peut être restauré (ci-dessous) Sauf pour (appelé traitement d'anonymisation).

Article 21 : Lorsque les opérateurs de réseau reçoivent des demandes de renseignements personnels, des corrections, des suppressions et des demandes d'annulation de comptes d'utilisateurs, ils doivent enquêter, corriger, supprimer ou annuler les comptes dans un délai et à un coût raisonnables.

Article 22 Les opérateurs de réseaux ne doivent pas utiliser les informations personnelles en violation des règles de collecte et d'utilisation. S'il est réellement nécessaire d'élargir le champ d'utilisation des informations personnelles en raison de besoins commerciaux, le consentement de la personne concernée doit être obtenu.

Article 23 : Les opérateurs de réseaux qui utilisent les données des utilisateurs et des algorithmes pour diffuser des informations d'actualité, des publicités commerciales, etc. (ci-après dénommés « push ciblé ») doivent clairement indiquer le mot « push ciblé » pour fournir aux utilisateurs un arrêt La fonction de réception d'informations push ciblées ; lorsque l'utilisateur choisit de cesser de recevoir des informations push ciblées, il doit arrêter le push et supprimer les données utilisateur collectées et les informations personnelles telles que les codes d'identification de l'appareil.

Les opérateurs de réseau menant des activités push ciblées doivent respecter les lois et réglementations administratives, respecter l'éthique sociale, l'éthique des affaires, l'ordre public et les bonnes coutumes, être honnêtes et dignes de confiance et interdire strictement la discrimination, la fraude et autres comportements.

Article 24 Les opérateurs de réseaux qui utilisent le big data, l'intelligence artificielle et d'autres technologies pour synthétiser automatiquement des actualités, des articles de blog, des articles, des commentaires et d'autres informations doivent clairement indiquer le mot « synthétisé » ; ils ne doivent pas rechercher d'avantages ou de préjudices ; . Synthétisez automatiquement les informations pour le bénéfice des autres.

Article 25 Les opérateurs de réseaux devraient prendre des mesures pour inciter et rappeler aux utilisateurs d'être responsables de leur comportement en ligne et renforcer l'autodiscipline. Pour les utilisateurs qui transmettent des informations produites par d'autres via les réseaux sociaux, ils devraient automatiquement marquer le producteur d'informations. sur ce réseau social Un compte ou un identifiant utilisateur immuable sur un réseau.

Article 26 : Lorsque les opérateurs de réseaux reçoivent des rapports et des plaintes concernant la contrefaçon, la contrefaçon ou le détournement d'informations divulguées au nom d'autrui, ils doivent répondre rapidement et, une fois vérifiés, arrêter immédiatement la diffusion et supprimer les informations.

Article 27 Avant de fournir des informations personnelles à des tiers, les opérateurs de réseaux doivent évaluer les risques possibles pour la sécurité et obtenir le consentement de la personne concernée. Sauf dans les circonstances suivantes :

(1) collectées à partir de canaux publics légaux et non manifestement contre la volonté de la personne concernée

(2) informations personnelles divulguées par la personne elle-même ; initiative ;

(3) ) a été anonymisée

(4) Nécessaire pour que les organismes chargés de l'application de la loi exercent leurs fonctions conformément à la loi

(5) Nécessaire ; pour sauvegarder la sécurité nationale, les intérêts sociaux publics et la sécurité des personnes concernées.

Article 28 Avant de publier, partager, échanger ou fournir des données importantes à l'étranger, les opérateurs de réseaux doivent évaluer les risques de sécurité possibles et les signaler aux autorités de régulation compétentes du secteur pour approbation. clair, il doit être approuvé par le service provincial de cybersécurité et d’informatisation.

La fourniture d'informations personnelles à l'étranger est soumise aux réglementations en vigueur.

Article 29 Si les utilisateurs nationaux accèdent à l'Internet national, leur trafic ne sera pas acheminé vers l'étranger.

Article 30 Les opérateurs de réseaux devraient clarifier les exigences et les responsabilités en matière de sécurité des données pour les applications tierces connectées à leurs plates-formes, et exhorter et superviser les opérateurs d'applications tierces à renforcer la gestion de la sécurité des données. Si un incident de sécurité des données survient dans une application tierce et entraîne des pertes pour les utilisateurs, le gestionnaire de réseau assumera une partie ou la totalité de la responsabilité, à moins que le gestionnaire de réseau ne puisse prouver qu'il n'est pas en faute.

Article 31 : En cas de fusion, de réorganisation ou de faillite d'un opérateur de réseau, le destinataire des données assume les responsabilités et obligations en matière de sécurité des données. S'il n'y a pas de destinataire des données, les données doivent être supprimées. Si les lois et règlements administratifs en disposent autrement, ces dispositions prévaudront.

Article 32 : Les opérateurs de réseaux analysent et utilisent les ressources de données à leur disposition pour publier des prévisions de marché, des informations statistiques, des crédits personnels et d'entreprise et d'autres informations, et ne doivent pas affecter la sécurité nationale, les opérations économiques, la stabilité sociale ou nuire aux droits légitimes. droits et intérêts d’autrui.

Chapitre 4 Supervision et gestion de la sécurité des données

Article 33 : Dans l'exercice de ses fonctions, le service cyberespace découvre que les responsabilités de l'opérateur du réseau en matière de gestion de la sécurité des données ne sont pas pleinement mises en œuvre. Le principal responsable du gestionnaire de réseau doit être interrogé conformément à l'autorité et aux procédures prescrites pour inciter à une rectification.

Article 34 L'État encourage les opérateurs de réseaux à passer volontairement la certification de gestion de la sécurité des données et la certification de sécurité des applications, et encourage les moteurs de recherche, les magasins d'applications, etc. à identifier clairement et à donner la priorité aux applications recommandées qui ont réussi la certification.

Le département national de cybersécurité et d'informatisation, en collaboration avec le département de surveillance et d'administration des marchés du Conseil d'État, guide l'agence nationale d'examen et de certification de la sécurité des réseaux et organise la certification de la gestion de la sécurité des données et la certification de la sécurité des applications.

Article 35 : Lorsqu'un incident de sécurité des données tel qu'une fuite, un dommage ou une perte d'informations personnelles se produit, ou lorsque le risque d'un incident de sécurité des données augmente de manière significative, les opérateurs de réseau doivent immédiatement prendre des mesures correctives et communiquer rapidement par téléphone, SMS, notifier le sujet des informations personnelles par e-mail ou par lettre, et faire rapport aux autorités de surveillance de l'industrie et aux services de cybersécurité et d'informatisation, selon les besoins.

Article 36 : Si les autorités compétentes concernées du Conseil d'État exigent des opérateurs de réseaux qu'ils fournissent les données pertinentes en leur possession conformément aux dispositions des lois et règlements administratifs afin d'exercer leurs fonctions de sauvegarde de la sécurité nationale, des droits sociaux gestion, régulation économique, etc., le réseau doit L'opérateur doit le fournir.

Les autorités compétentes du Conseil d'État sont responsables de la sécurité et de la protection des données fournies par les opérateurs de réseaux et ne doivent pas être utilisées à des fins étrangères à l'exercice de leurs fonctions.

Article 37 Si un opérateur de réseau viole les dispositions de ces mesures, les services compétents doivent, conformément aux dispositions des lois et réglementations administratives pertinentes et selon les circonstances, rendre publique l'exposition, confisquer les gains illégaux, suspendre l'activité concernée, suspendre l'activité pour rectification ou fermer le site Web, révocation des licences commerciales concernées ou révocation des licences commerciales et autres sanctions si un crime est constitué, la responsabilité pénale sera poursuivie conformément à la loi ;

Chapitre 5 Dispositions complémentaires

Article 38 Signification des termes suivants dans les présentes Mesures :

(1) L'opérateur de réseau désigne les propriétaires de réseau , gestionnaires et fournisseurs de services réseau.

(2) Les données du réseau font référence à diverses données électroniques collectées, stockées, transmises, traitées et générées via le réseau.

(3) Les informations personnelles font référence à diverses informations enregistrées électroniquement ou par d'autres moyens qui peuvent identifier l'identité personnelle d'une personne physique seule ou en combinaison avec d'autres informations, y compris, mais sans s'y limiter, le nom, la date de naissance. , et pièce d'identité de la personne physique Numéro, informations biométriques personnelles, adresse, numéro de téléphone, etc.

(4) Le sujet des informations personnelles fait référence à la personne physique identifiée ou associée aux informations personnelles.

(5) Les données importantes font référence aux données qui, une fois divulguées, peuvent affecter directement la sécurité nationale, la sécurité économique, la stabilité sociale, la santé et la sécurité publiques, telles que les informations gouvernementales non divulguées, la population à grande échelle, la santé génétique, géographie, ressources minérales, etc. Les données importantes n'incluent généralement pas les informations sur la production et l'exploitation de l'entreprise, les informations de gestion interne, les informations personnelles, etc.

Article 39 Les activités liées aux données impliquant l'utilisation d'informations secrètes d'État et de mots de passe doivent être mises en œuvre conformément aux réglementations nationales en vigueur.

Article 40 Le présent règlement entre en vigueur le jour, le mois, l'année.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!