I. Lois
1. Loi chinoise sur la cybersécurité (2017) 网络 安全 法
Cette loi est applicable aux propriétaires, gestionnaires et fournisseurs de services de réseau (ci-après dénommés «opérateurs») qui construisent, exploitent, entretiennent et utilisent des réseaux en Chine. Les points clés de cette loi comprennent:
(1) Les opérateurs doivent vérifier l'identité de l'utilisateur lors de la fourniture de services tels que l'accès au réseau, l'enregistrement de nom de domaine, l'accès au réseau téléphonique ou la diffusion d'informations et la messagerie instantanée pour l'utilisateur.
(2) Les informations personnelles et les données importantes doivent être stockées en Chine. L'exportation des données sera soumise à l'examen du régulateur.
(3) Les opérateurs fournissent un soutien technique et une assistance aux organes de sécurité publique et aux autorités nationales de sécurité.
(4) Lorsqu'une institution, organisation ou individu à l'étranger attaque, fait intrusion, perturbe, détruit ou endommage d'une autre manière les infrastructures d'information critiques de la Chine, causant des conséquences graves, le contrevenant sera soumis à la responsabilité légale conformément à la loi. Les organes de sécurité publique et les services compétents peuvent décider de geler les biens de l'institution, de l'organisation ou de l'individu ou prendre toute autre mesure de sanction nécessaire.
La décision établit, pour la première fois en Chine, les règles de collecte et d'utilisation des informations personnelles et les obligations des fournisseurs de services réseau de protéger les informations personnelles.
La loi sur la cybersécurité, promulguée par la suite en 2018, a adopté l'essentiel du contenu de la décision.
3. Décision sur le maintien de la sécurité Internet (2000) 关于 维护 互联网 安全 的 决定
La décision est la première règle de la Chine en matière de cybersécurité, avec les points clés suivants:
(1) Le piratage ou la destruction du système informatique constitue un délit.
(2) Subvertir le pouvoir de l'État, détruire l'unité nationale et l'unité des nationalités, voler les secrets d'État et se livrer à des activités de culte en publiant des informations sur Internet constituent un crime.
(3) La violation des droits légitimes d'autrui sur Internet constitue un crime.
II.Règlements administratifs
Les points clés des mesures sont les suivants:
(1) Le ministère de la Sécurité publique est chargé de protéger la connexion entre le réseau informatique en Chine et l'Internet international.
(2) Aucune entité ne doit utiliser l'Internet international pour publier du contenu illégal ou mettre en danger la sécurité informatique.
Les points clés des mesures sont les suivants:
(1) Le règlement vise à protéger la sécurité des systèmes informatiques sur le territoire chinois.
(2) Le ministère de la Sécurité publique est l'autorité compétente dans ce domaine, dont les fonctions et pouvoirs comprennent la supervision de la protection de sécurité pertinente; enquêter et sanctionner les actes illégaux mettant en danger la sécurité informatique.
Le 27 juin 2018, le ministère de la Sécurité publique, sur la base de l'article 21 de la loi sur la cybersécurité, a rédigé le «Règlement sur les niveaux de protection en matière de cybersécurité» et a annoncé son projet pour solliciter l'avis du public. À l'heure actuelle, le projet n'est pas encore devenu une loi officiellement promulguée.
Les points essentiels du projet sont les suivants:
(1) Le système de réseau sera divisé en cinq niveaux de protection de sécurité en fonction de son importance dans la sécurité nationale, la construction économique et la vie sociale.
L'importance du système de réseau augmente progressivement du premier niveau au cinquième niveau. (Article 15)
Les systèmes de réseau de différents niveaux indiquent dans quelle mesure les intérêts pertinents peuvent être lésés en cas d'incident de sécurité du réseau du système de réseau à ce niveau, comme suit:
Niveau 1: la sécurité nationale, l'ordre social et les intérêts publics ne seront pas menacés;
Niveau 2: l'ordre social et les intérêts publics seront menacés et la sécurité nationale ne sera pas mise en danger;
Niveau 3: l'ordre social et les intérêts publics seront gravement menacés ou la sécurité nationale sera menacée;
Niveau 4: l'ordre social et les intérêts publics seront particulièrement menacés, ou la sécurité nationale sera gravement menacée;
Niveau 5: La sécurité nationale est particulièrement menacée.
(2) Le gestionnaire de réseau détermine le niveau de protection de la sécurité du réseau pendant la phase de planification et de conception, et les experts et les autorités compétentes en confirment le niveau. Une fois le niveau confirmé, l'opérateur de réseau doit également déposer une demande auprès de l'organe de sécurité publique. (Articles 16, 17, 18)
(3) Les opérateurs de réseau devraient s'acquitter des obligations de sécurité nécessaires, et les opérateurs de réseaux au-dessus du niveau 3 devraient également s'acquitter des obligations de protection de sécurité spéciales. (Articles 20 et 21)
(4) Si les produits et services de réseau achetés par les opérateurs de réseau peuvent affecter la sécurité nationale, ces produits et services devraient faire l'objet d'examens de sécurité nationale organisés par les autorités de régulation. (Article 28)
(5) Les réseaux au-dessus du niveau 3 doivent être maintenus dans le pays et la maintenance technique à distance n'est pas autorisée à l'étranger. (Article 29)
(6) Les opérateurs de réseau devraient signaler aux autorités de régulation les informations de surveillance de la sécurité du réseau et d'alerte précoce ainsi que les incidents de sécurité du réseau, mettre en place des mécanismes importants de protection de la sécurité des données et des informations personnelles, et formuler et appliquer des plans d'urgence en matière de sécurité du réseau. (Articles 30, 31, 32)
III. Règlement ministériel
1. Mesures d'examen de la cybersécurité de la Chine (2020) 网络 安全 审查 办法
Les mesures visent à contrôler si l'achat de produits et de services de réseau par les opérateurs d'infrastructures d'information critiques (ci-après dénommés «opérateurs») affecte la sécurité nationale. Les points clés des mesures sont les suivants:
(1) Si l'achat de produits et de services de réseau par des opérateurs affecte ou peut affecter la sécurité nationale, les opérateurs se rapportent au bureau d'examen de la sécurité du réseau affilié à l'Administration du cyberespace de Chine pour l'examen de la sécurité du réseau.
(2) Les produits ou services réseau comprennent des ordinateurs, des serveurs, des périphériques de stockage, des bases de données, des logiciels et des services cloud.
(3) Le bureau d'examen de la sécurité du réseau examinera les risques suivants: si les installations utilisant ces produits ou services seront endommagées; si les données seront divulguées; si le canal d'approvisionnement de ces produits ou services est sûr et stable; si le fournisseur de ces produits ou services se conforme aux lois chinoises.
2. Méthodes d'évaluation de la sécurité pour les services de cloud computing (2019) 云 计算 服务 安全 评估 办法
Ces méthodes d'évaluation de la sécurité visent à évaluer la sécurité et la contrôlabilité des services de cloud computing achetés par le Parti et les organes gouvernementaux et les principaux opérateurs d'infrastructure de l'information. Les points clés sont les suivants:
(1) L'évaluation de la sécurité des services de cloud computing se concentrera sur les éléments suivants: (i) les informations de base des opérateurs de plate-forme cloud; (ii) l'historique et la stabilité des fournisseurs de services cloud; (ii) la sécurité de la technologie de la plate-forme cloud, des produits et de la chaîne d'approvisionnement des services; (vi) la capacité de gestion de la sécurité et les mesures de sécurité des fournisseurs de services cloud; (v) la faisabilité et la commodité de la migration des données clients; (iv) la continuité des activités des fournisseurs de services cloud.
(2) Les fournisseurs de services cloud peuvent demander une évaluation de la sécurité sur les plates-formes cloud qui fournissent des services de cloud computing au Parti et aux organes gouvernementaux et aux principaux opérateurs d'infrastructure d'information.
Ce règlement vise à spécifier comment les organes de sécurité publique doivent assurer la surveillance et l'inspection de la sécurité du respect par les fournisseurs de services Internet et les utilisateurs d'Internet des obligations en matière de cybersécurité.
Les points clés des mesures sont les suivants:
(1) Le ministère de la Sécurité publique est chargé de protéger la connexion entre le réseau informatique en Chine et l'Internet international.
(2) Aucune entité ne doit utiliser l'Internet international pour publier du contenu illégal ou mettre en danger la sécurité informatique.
5 Règlement sur les mesures techniques de cybersécurité (2006) 互联网 安全 保护 技术 措施 规定
Ce règlement visent à superviser les fournisseurs de services Internet et les utilisateurs d'Internet pour qu'ils prennent des mesures techniques pour la cybersécurité et pour assurer le fonctionnement normal des mesures techniques pour la cybersécurité. Le service de supervision de la sécurité des réseaux d'information publique de l'organe de sécurité publique est chargé de superviser la mise en œuvre des mesures techniques de cybersécurité.
IV. Stratégies
Ces plans d'urgence visent à établir un système d'organisation d'urgence et un mécanisme de travail pour l'urgence de sécurité publique sur Internet.
Les mesures visent à améliorer la surveillance et le traitement des travaux relatifs aux menaces à la cybersécurité de l'Internet public, à éliminer les risques de sécurité, à arrêter les attaques, à éviter les dommages et à réduire les risques de sécurité. Les menaces à la cybersécurité de l'Internet public font référence aux ressources du réseau, aux programmes malveillants, aux risques de sécurité ou aux incidents de sécurité qui existent ou se propagent sur l'Internet public et qui peuvent causer ou ont déjà causé des dommages au public.
Le catalogue répertorie 15 types d'équipements et de produits. La loi chinoise sur la cybersécurité exige la protection des infrastructures d'information critiques contre les attaques, les intrusions, les interférences et les dommages. Le catalogue spécifie le type d'équipement et de produits appartenant à l'infrastructure d'information critique.
Ces mesures visent à guider le travail administratif des autorités de régulation locales et des entreprises d'accès à Internet qui s'engagent dans des centres de données Internet (y compris des services de collaboration sur les ressources Internet), des services d'accès à Internet, des réseaux de diffusion de contenu et d'autres services dans la gestion de l'utilisation et de la maintenance opérationnelle d'Internet. systèmes de gestion de la sécurité de l’information.
Ces avis visent à promouvoir l'établissement d'un système national de normes de sécurité des réseaux et d'un mécanisme de normalisation unifiés et faisant autorité. Les points clés sont les suivants:
(1) Établir et améliorer continuellement le système standard de sécurité du réseau.
(2) Participer activement à la formulation des règles internationales et des règles standard internationales pour le cyberespace.
Ces avis visent à renforcer le développement de la discipline et la formation des talents de l'Académie chinoise de cybersécurité.
Cet avis vise à exhorter tous les services gouvernementaux à améliorer la protection de la sécurité de leurs sites Web officiels.
Cet avis est divisé en 3 parties, dans le but de promouvoir la Chine pour qu'elle établisse dans un premier temps un système de sécurité Internet industriel d'ici la fin de 2020.
V. Norme technique
1. Exigences d'évaluation de la protection du niveau de sécurité du réseau 信息 安全 技术 网络 安全 等级 保护 测评 要求
2. Configuration de base de la protection du niveau de sécurité du réseau 信息 安全 技术 网络 安全 安全 等级 保护 基本 要求
3. Exigences de conception de sécurité pour la protection du niveau de sécurité du réseau 信息 安全 技术 网络 安全 等级 保护 安全 设计 要求
Photo de Jéan Béller (https://unsplash.com/@jeanbeller) sur Unsplash