La Chine a commencé à établir un système de règles pour la protection des renseignements personnels en 2012, et depuis lors, le gouvernement et les tribunaux ont promulgué un certain nombre de règles connexes.
Actuellement, la Chine élabore une loi sur la protection des informations personnelles. À l'avenir, la loi sur la protection des informations personnelles formera le système de règles de protection des informations personnelles de la Chine avec le Code civil, la loi sur la cybersécurité, la loi sur la protection des droits des consommateurs, la loi sur la sécurité des données et d'autres réglementations administratives, interprétations judiciaires et réglementations départementales.
I. Lois
1. Code civil chinois: Partie IV Droits de la personnalité (2020)
La Chine stipule la protection des renseignements personnels dans le chapitre complet du Code civil 2020, c'est-à-dire le chapitre 6 sur la confidentialité et la protection des renseignements personnels dans la partie IV Droits de la personnalité du Code civil chinois (de l'article 1032 à l'article 1039).
Les points clés de ce chapitre sont les suivants:
(1) Une personne physique jouit du droit à la vie privée. Aucune organisation ou individu ne peut enfreindre le droit à la vie privée de toute autre personne en espionnant, en intrusion, en divulguant ou en publiant les informations pertinentes ou par tout autre moyen (articles 1032 et 1033).
(2) Les informations personnelles relatives aux personnes physiques sont protégées par la loi (article 1034).
(3) Les informations personnelles font référence à toutes sortes d'informations enregistrées par voie électronique ou autre qui peuvent être utilisées pour identifier indépendamment ou être combinées avec d'autres informations pour identifier une personne physique spécifique, y compris les noms de la personne physique, sa date de naissance, ses numéros d'identification, ses données biométriques. informations, adresses, numéros de téléphone, adresse e-mail, informations médicales, localisation, etc. (article 1034)
(4) Le traitement des informations personnelles doit d'abord obtenir le consentement de la personne physique ou de son tuteur et ne doit pas violer les lois, les règlements administratifs ou les accords des deux parties. (Article 1035)
(5) Le traitement des informations personnelles comprend la collecte, le stockage, l'utilisation, le traitement, la transmission, la fourniture et la divulgation d'informations personnelles, etc. (article 1035)
(6) Un responsable du traitement de l'information ne doit pas divulguer ni altérer les renseignements personnels qu'il a recueillis et stockés. Sans le consentement de la personne physique, le responsable du traitement des informations ne doit pas fournir illégalement les informations personnelles d'une telle personne physique à une autre personne, à l'exception des informations qui ont été traitées de manière à ce que la personne spécifique ne puisse pas être identifiée et qui ne puisse pas être récupérée. ( Article 1038)
2. Loi chinoise sur la protection des informations personnelles (projet) (2020)
La législature chinoise, le Comité permanent de l'Assemblée populaire nationale, rédige la loi sur la protection des informations personnelles, et le projet a été publié le 12 octobre 2020. Pour l'instant, le projet n'a pas été voté.
Les points clés de cette loi sont les suivants:
(1) Cette loi ne s'applique pas seulement au traitement par une entité ou un individu des informations personnelles de personnes physiques en Chine, mais également à des activités spécifiques de traitement des informations personnelles de personnes physiques en Chine en dehors de la Chine. (Article 1)
(2) Les informations personnelles sensibles sont spécialement protégées. Ces informations comprennent la race, l'origine ethnique, la religion, les caractéristiques biologiques personnelles, la santé médicale, les comptes financiers, la localisation personnelle. (Article 29)
(3) Les responsables du traitement des informations ne peuvent traiter les informations personnelles sensibles que dans les conditions suivantes: (1) Ils doivent utiliser les informations dans certaines circonstances; (2) Ils ont obtenu le consentement spécifique des personnes impliquées dans l'information. (Article 29, article 30)
(4) Si le sous-traitant doit fournir des informations personnelles en dehors de la Chine, il doit obtenir l'approbation de l'autorité de régulation. (Article 38)
(5) Dans le cadre de l'assistance judiciaire internationale, si les responsables du traitement de l'information doivent fournir des informations personnelles en dehors de la Chine, ils doivent obtenir l'approbation des autorités compétentes. (Article 41)
(6) Lorsque les informations personnelles traitées par le sous-traitant atteignent un certain montant, il devrait désigner une certaine personne comme responsable de la protection des informations personnelles. Le responsable supervisera ses activités de traitement des informations personnelles et ses mesures de protection. (Article 51)
(7) Si le processeur d'information enfreint cette loi, non seulement les revenus illégaux seront confisqués, mais également une amende de moins de 50 millions de yuans ou de moins de 5% du chiffre d'affaires de l'année précédente sera infligée. (Article 62) Cela devrait être l'amende la plus élevée de toutes les lois chinoises à ce jour.
3. Loi chinoise sur la cybersécurité (2017)
La quatrième partie de cette loi, la sécurité des informations du réseau, stipule l'obligation des opérateurs de réseau de protéger les informations personnelles des utilisateurs, telles que:
Les opérateurs de réseau doivent garder confidentielles les informations sur les utilisateurs qu'ils collectent et ne doivent pas divulguer, altérer ou détruire les informations personnelles qu'ils collectent; ils ne doivent pas fournir de renseignements personnels à des tiers sans le consentement de la personne recueillie. (Article 40, Article 42)
Les opérateurs de réseau ne doivent pas collecter d'informations personnelles sans rapport avec les services qu'ils fournissent. Ils doivent indiquer clairement le but, la méthode et la portée de la collecte et de l'utilisation des informations et obtenir le consentement de la personne recueillie. (Article 41)
4. Décision sur le renforcement de la protection des informations de réseau (2012)
La décision établit, pour la première fois en Chine, les règles de collecte et d'utilisation des informations personnelles et les obligations des fournisseurs de services réseau de protéger les informations personnelles. Toute la législation chinoise sur la sécurité des réseaux et la protection des informations personnelles peut être attribuée à cette disposition.
II. Règle départementale
1. Dispositions sur la cybersécurité des informations personnelles des enfants (2019)
Les dispositions visent à protéger la sécurité des informations personnelles des enfants (c'est-à-dire des mineurs de moins de 14 ans) en supervisant la collecte, le stockage, l'utilisation, le transfert et la divulgation des informations personnelles des enfants via Internet sur le territoire chinois.
Les mesures visent à fournir une référence aux autorités de régulation pour déterminer la collecte et l'utilisation illégales d'informations personnelles par les applications, et à fournir des conseils aux opérateurs d'applications pour l'auto-examen et l'autocorrection et la surveillance sociale des utilisateurs d'Internet.
Les dispositions stipulent que: (1) Les prestataires de services doivent publier les règles relatives à la collecte et à l'utilisation des informations personnelles. (2) Sans le consentement des utilisateurs, les fournisseurs de services ne collectent pas les informations personnelles des utilisateurs et ne peuvent collecter que les informations nécessaires à la fourniture du service. (3) Les fournisseurs de services doivent empêcher la fuite, l'endommagement, l'altération ou la perte des informations personnelles des utilisateurs.
VI. Interprétation judiciaire
Les dispositions visent à interpréter l'article 36 de la loi sur la responsabilité délictuelle de la RPC, c'est-à-dire dans quelles circonstances les utilisateurs du réseau et les fournisseurs de services réseau devraient-ils assumer la responsabilité délictuelle s'ils utilisent le réseau pour enfreindre les droits civils et les intérêts d'autrui.
L'article 36 de la loi sur la responsabilité délictuelle stipule que les utilisateurs du réseau et les fournisseurs de services de réseau qui utilisent le réseau pour enfreindre les droits civils d'autrui doivent assumer la responsabilité délictuelle.
Il convient de noter qu'après l'entrée en vigueur du Code civil chinois de 2020, la loi sur la responsabilité délictuelle a été abrogée. Code civil chinois: la partie VII Responsabilité pour délit fournit des règles plus détaillées sur la cyber-infraction à l'article 1194, l'article 1195, l'article 1196 et l'article 1197.
V. Norme technique
1. Spécification de sécurité des informations personnelles (PI) - Norme nationale de Chine (2020) 信息 安全 技术 个人 信息 安全 规范
Photo de Road Trip avec Raj (https://unsplash.com/@roadtripwithraj) sur Unsplash