nouvelles

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

pour mettre en œuvre les exigences légales, ces dernières années, l'administration du cyberespace de chine a successivement publié et mis en œuvre des politiques telles que les « mesures pour l'évaluation de la sécurité du transfert de données à l'étranger », les « mesures contractuelles standard pour le transfert d'informations personnelles » et les « règlements sur la promotion et la régulation des flux transfrontaliers de données » (ci-après dénommé le « règlement ») pour construire un le cadre de base du système de gestion des flux de données transfrontaliers de mon pays a été établi. l'article 6 du « règlement » précise que « dans le cadre du système national de classification et de protection hiérarchique des données, la zone pilote de libre-échange peut formuler de manière indépendante une liste de données de la zone qui doivent être incluses dans l'évaluation de la sécurité des exportations de données », contrat standard d'exportation d'informations personnelles et champ d'application de la gestion de la certification de protection des informations personnelles ((ci-après dénommée la liste négative)". le 30 août, pékin a publié la « liste de gestion des sorties de données de la zone pilote de libre-échange de chine (pékin) (liste négative) (édition 2024) » et les « mesures de gestion de la liste négative de sortie de données de la zone de libre-échange pilote de chine (pékin) qui l'accompagne (mise en œuvre à l'essai). )" (ci-après dénommées les "mesures administratives") est une mesure importante prise par le gouvernement chinois pour explorer et améliorer activement les capacités de gouvernance et de supervision de la sécurité des données et établir un mécanisme de flux de données transfrontalier efficace, pratique et sécurisé. cela reflète la promotion par pékin d'un développement de haute qualité et d'une détermination de haut niveau en matière de sécurité pour des interactions positives.

1. mener une analyse et une argumentation approfondies et formuler scientifiquement une liste négative

pékin attache une grande importance au flux transfrontalier de données et considère la réforme des services de facilitation des données transfrontalières comme une mesure importante pour libérer la valeur des éléments de données, promouvoir une ouverture de haut niveau et promouvoir un développement de haute qualité. de l'économie numérique. il a été inclus dans le rapport de travail du gouvernement municipal et de nombreux projets spéciaux continuent d'avancer. après la publication des « règlements », pékin a activement profité des dividendes de sa politique et a immédiatement lancé la recherche et la formulation de listes négatives et de mesures de gestion de soutien. l'objectif était d'explorer et d'établir un mécanisme capable à la fois de faciliter le flux de données et d'assurer la sécurité. la scientificité de la liste négative de pékin se reflète principalement dans les aspects suivants :

premièrement, en combinaison avec la situation industrielle actuelle de la zone de libre-échange de pékin, conformément au principe « les besoins urgents d'abord, les petits pas et les progrès rapides », les travaux de préparation seront promus dans différentes industries, domaines et lots, et un le lot sera publié lorsqu'il sera mature, sans chercher à être exhaustif mais exhaustif. la préparation de la liste négative est un travail innovant impliquant un large éventail d'industries et des données hautement professionnelles. au début de la formulation de la liste, l'administration chinoise du cyberespace de pékin a organisé une réunion spéciale pour discuter et formuler des principes. pour couvrir tous les secteurs, en tenant compte de la « classification nationale des secteurs économiques » « » implique plus de 20 catégories industrielles et près de 100 catégories principales. les scénarios commerciaux et les données impliqués dans chaque secteur sont spécifiques. et une liste négative facile à utiliser pour les entreprises en une seule étape. de plus, la portée des industries sur lesquelles les groupes commerciaux de pékin se concentrent actuellement et à l'avenir est relativement stable, et l'importance d'être exhaustive est donc limitée. des lots, des points clés et des ajustements dynamiques a été déterminé.

la seconde consiste à se référer pleinement aux bases de travail précédentes telles que l'évaluation de la sécurité des exportations de données et le dépôt de contrats standard pour l'exportation d'informations personnelles. l'administration chinoise du cyberespace de pékin a soigneusement réglé la situation des données sortantes de plus de 40 cas d'évaluation de sécurité d'entreprise approuvés et de plus de 150 cas de dépôt de contrats standard d'entreprise impliquant l'automobile, la médecine, l'aviation civile, la vente au détail, l'intelligence artificielle et d'autres secteurs, et a mené des activités en -recherche approfondie sur ce qui précède 5 le but de l'exportation de données, les scénarios typiques, les types de données, les méthodes de traitement des données, la quantité d'informations personnelles exportées et les mesures de protection des données dans chaque domaine industriel, la recherche et le jugement complets et le cadre scientifique du niveau de protection des données personnelles. informations et informations personnelles sensibles.

le troisième est de faciliter l'utilisation des entreprises et de ne pas s'engager dans des innovations « révolutionnaires ». à l'heure actuelle, les entreprises trient leurs propres activités d'exportation de données et les répartissent selon des scénarios commerciaux. il est donc plus convivial pour les entreprises d'utiliser le « langage d'entreprise » pour élaborer des listes négatives. sur la base des travaux préliminaires, la liste négative a trié les scénarios typiques de données sortantes et les éléments de données dans 5 secteurs. par rapport à la « règlementation », le nombre de personnes sortantes est en outre modérément assoupli, mais le nombre de personnes est assoupli dans chaque scénario commercial. est différent, et il n'y a pas de " c'est parce que les exigences réglementaires de diverses industries sont différentes, et grâce à un grand nombre d'enquêtes auprès des entreprises, il a été constaté que l'ampleur des informations personnelles exportées à l'étranger pour une certaine entreprise raisonnable au cours de cette année est relativement stable. par exemple, de nombreuses sociétés pharmaceutiques étrangères ont signalé des essais cliniques de médicaments. le nombre de personnes quittant le pays chaque année ne dépasse généralement pas 50 000, donc l'assouplissement à 1 million de personnes a la même signification que l'assouplissement à 50 000 personnes et peut répondre aux exigences. besoins de la plupart des sociétés pharmaceutiques. dans le même temps, du point de vue des risques de sécurité, sur la base de scénarios et d'objectifs limités d'utilisation des données, réduire le nombre à 50 000 personnes est évidemment un risque plus contrôlable.

quatrièmement, les gouvernements et les entreprises devraient gérer conjointement la sécurité des données et guider les entreprises pour améliorer leurs capacités de conformité en matière de sécurité des données. l'unité de développement de l'économie numérique est l'entreprise. l'amélioration de la sensibilisation à la sécurité et des capacités de conformité de l'entreprise entraînera l'amélioration continue des capacités de sécurité des données et de protection des informations personnelles de la chine. par conséquent, la liste négative ne peut pas seulement atteindre un objectif. équilibre entre clémence et sévérité, mais jouent également un rôle directeur positif. par exemple, le scénario de mise à niveau en ligne de l'ota dans l'industrie automobile est clair. les principes des données tels que les types d'ota, les modules de contrôle principaux de l'ota, les terminaux en réseau et les systèmes pouvant être mis à niveau à distance devraient s'appliquer à l'évaluation de la sécurité des données sortantes, mais « il a été déposé auprès du ministère de l'industrie et des technologies de l'information et a passé le certificat de sécurité correspondant « à l'exception des mesures techniques visant à garantir que les données du package de mise à niveau ne sont pas falsifiées », ces détails reflètent l'orientation de la gestion scientifique qui est plus pratique pour les entreprises ayant une forte conscience de la conformité et de fortes capacités techniques. , et des mesures de gestion standardisées pour faire des affaires.

2. répondre directement aux demandes des entreprises et veiller à ce que la liste négative soit pratique et disponible

depuis la mise en œuvre du système de gestion des flux de données transfrontaliers, de nombreux débats ont eu lieu dans la société. il existe encore des difficultés pour les entreprises à assurer la conformité des exportations de données. on s'attend généralement à ce que le coût de la conformité des exportations de données augmente. sera plus faible et les canaux d'exportation de données seront plus pratiques. concernant les questions ci-dessus, la liste négative des réponses correspondantes a été donnée.

premièrement, la liste négative s'adresse aux entreprises. pékin adhère à une approche axée sur les problèmes et établit le principe de formulation selon lequel « une bonne liste négative est celle que les entreprises considèrent comme facile à utiliser », et mène des recherches approfondies sur les entreprises et sollicite des avis. au cours du processus d'élaboration de la liste, l'administration chinoise du cyberespace de pékin et les agences de gestion des zones de libre-échange ont organisé plus de 10 discussions avec des entreprises leaders dans des secteurs clés, mené des recherches approfondies et visité près d'une centaine d'entreprises, écouté attentivement leurs suggestions. , et a exploré les problèmes difficiles auxquels sont confrontées les entreprises. après une étude minutieuse des réglementations, des normes et du statut réglementaire du secteur, en tenant pleinement compte de facteurs tels que la sensibilité des données du secteur et la nécessité de quitter le pays, et en consultant de manière approfondie les avis des autorités compétentes, des experts du secteur et des entreprises leaders, nous avons calculé et délimité scientifiquement les individus qui doivent être inclus dans la liste négative par secteur d'activité et par scénario, ainsi que par informations personnelles sensibles, améliorer la commodité de l'exportation des données dans la zone de libre-échange et le caractère pratique de la liste négative.

le deuxième est de permettre aux entreprises de le comprendre et de l'utiliser. la liste négative contient un total de 48 éléments répartis dans 5 champs. chaque élément comprend des catégories de données, des caractéristiques de base des données, des scénarios commerciaux d'entreprise applicables et des exemples d'éléments de données. sur la base des caractéristiques de l'exportation de données dans les secteurs et domaines concernés, la liste négative se concentre sur la stipulation et l'explication des données importantes et des informations personnelles, comprenant 18 éléments de données importantes et 30 éléments d'informations personnelles. afin d'améliorer encore l'aspect pratique, la liste négative répertorie 23 scénarios spécifiques et un total de 198 champs de données à titre d'exemples pour aider les entreprises à comprendre rapidement les exigences de gestion de la liste négative. en termes de données importantes, les conditions d'identification des données sortantes importantes seront encore affinées et clarifiées en ajoutant des qualifications et des exemples pour rendre la liste plus exploitable et plus applicable. en termes d'informations personnelles et d'informations personnelles sensibles, la liste négative quantifie avec précision et assouplit modérément l'ampleur des informations personnelles et des informations personnelles sensibles dont l'exportation est autorisée, afin de répondre autant que possible aux demandes raisonnables des entreprises et d'améliorer la la commodité de l’exportation des données dans la zone de libre-échange et le caractère pratique de la liste négative.

le troisième est de clarifier la répartition des responsabilités et d'affiner le processus de mise en œuvre afin que les entreprises sachent à qui s'adresser et comment s'y prendre. les « mesures de gestion » indiquent clairement que la liste négative sera coordonnée et gérée par le bureau municipal d'information sur internet, le bureau municipal du commerce et le bureau municipal du numérique, dont chaoyang, haidian, changping, tongzhou, shunyi et daxing. , et yizhuang seront responsables de la mise en œuvre spécifique et des conseils d'organisation. les sous-traitants de ce groupe utilisent la liste négative en conformité, formuleront et publieront des directives de mise en œuvre pour la liste négative, clarifieront les objets à utiliser et le processus de demande de la liste négative. liste négative, guider les sous-traitants dans la réalisation des travaux de demande d'utilisation et de dépôt, renforcer le suivi et la supervision des activités d'exportation de données et formuler les incidents certificat de dépôt central et capacités de supervision ex post, etc. si une entreprise doit utiliser la liste négative, elle peut soumettre une demande à son groupe de libre-échange selon les procédures, soumettre le dossier et obtenir l'approbation, puis mener des activités d'exportation de données conformément à la réglementation.

3. établir une base de référence en matière de sécurité afin que la sécurité des données exportées ne soit pas dégradée

la facilitation de l'exportation des données n'équivaut pas à une atténuation des responsabilités en matière de sécurité. plus la liste négative est courte, plus la responsabilité en matière de sécurité est grande. la coordination des relations entre développement et sécurité est la priorité absolue dans la formulation de la liste négative. par conséquent, pékin a lancé simultanément des « mesures de gestion » pour explorer la construction d'un modèle de gestion et de service de la sécurité des données sortantes qui corresponde à la liste négative, afin de garantir que la sécurité ne soit pas dégradée.

la première consiste à mettre en œuvre la gestion des accès d'entreprise et l'archivage des données sortantes, à contrôler le statut de fonctionnement légal et conforme des processeurs de données et à vérifier la conformité des entreprises. cela peut être analogue à la gestion de l'évaluation du crédit dans le domaine financier.

la deuxième est de renforcer la capacité de supervision pendant et après le processus. chaque groupe professionnel adopte une méthode d'inspection aléatoire cohérente pour vérifier la cohérence de la situation réelle d'exportation des données du processeur de données et du contenu du dépôt. cela peut être analogue aux inspections inopinées. dans le domaine pharmaceutique.

la troisième consiste à quantifier avec précision et à assouplir de manière appropriée l'ampleur des informations personnelles et des informations personnelles sensibles en limitant strictement les scénarios commerciaux, les champs d'exportation, etc., afin de minimiser le risque d'exportation d'informations personnelles dans le cadre assoupli et de garantir leur sécurité. , gérable et contrôlable , essayez de répondre aux demandes d'exportation de données raisonnables et nécessaires des entreprises.

le quatrième objectif est d'établir un mécanisme de gestion dynamique de la liste négative. les services de gestion municipaux suivront et évalueront l'état de mise en œuvre et les risques de sécurité de la liste négative publiée, coordonneront la révision de la liste négative et transféreront les données sortantes correspondantes. de la liste négative en fonction du niveau de risques de sécurité.

d'une manière générale, le système de liste négative des zones de libre-échange constitue une mesure innovante visant à créer un système de base de haut niveau pour la gestion des flux de données sortants. il s'agit également d'une tâche nouvelle et stimulante qui vient de commencer dans divers domaines. et il pourrait y avoir de nombreuses difficultés à l’avenir et les problèmes devront être étudiés et résolus plus en détail. attendons avec impatience les résultats de la mise en œuvre de pékin et fournissons une référence utile à l’ensemble du pays.

auteur : zhuo zihan, ingénieur principal, centre national de coordination des technologies d'urgence du réseau informatique

source : bureau d'information internet de pékin