Vendredi, le ministère chinois de l’Industrie et des Technologies de l’information (MIIT) a dévoilé des projets de propositions détaillant ses plans pour lutter contre les événements liés à la sécurité des données dans le pays à l’aide d’un système de code couleur.
L’effort vise à « améliorer la capacité de réponse globale aux incidents de sécurité des données, à assurer un contrôle, une atténuation et une élimination rapides et efficaces des dangers et des pertes causés par les incidents de sécurité des données, à protéger les droits et intérêts légaux des individus et des organisations, et à sauvegarder la sécurité nationale et les intérêts publics, a déclaré le ministère.
Le document de 25 pages englobe tous les incidents au cours desquels des données ont été consultées illégalement, divulguées, détruites ou falsifiées, et les classe en quatre niveaux hiérarchiques en fonction de la portée et du degré de préjudice causé :
- Rouge: Niveau I (« particulièrement significatif »), qui s’applique aux arrêts généralisés, à la perte substantielle de la capacité de traitement de l’entreprise, aux interruptions dues à des anomalies graves durant plus de 24 heures, à l’apparition d’interférences radio majeures pendant plus de 24 heures, aux pertes économiques s’élevant à 1 milliard de yuans. , ou affecte les informations personnelles de plus de 100 millions de personnes ou les informations personnelles sensibles de plus de 10 millions de personnes
- Orange: Niveau II (« significatif »), qui s’applique aux arrêts et interruptions d’exploitation d’une durée supérieure à 12 heures, à l’apparition d’interférences radio majeures pendant plus de 12 heures, aux pertes économiques comprises entre 100 millions de yuans et 1 milliard de yuans, ou affecte les informations personnelles de plus de 10 millions de personnes ou informations personnelles sensibles de plus de 1 million de personnes
- Jaune: Niveau III (« important »), qui s’applique aux interruptions opérationnelles d’une durée de plus de huit heures, à l’apparition d’interférences radio majeures pendant plus de huit heures, aux pertes économiques comprises entre 50 millions de yuans et 100 millions de yuans, ou affecte les informations personnelles de plus d’un million. personnes ou informations personnelles sensibles de plus de 100 000 personnes
- Bleu: Niveau IV (« général »), qui s’applique aux événements mineurs entraînant des interruptions opérationnelles de moins de huit heures, des pertes économiques inférieures à 50 millions de yuans, ou affectant les informations personnelles de moins d’un million de personnes ou des informations personnelles sensibles de moins de 100 000 personnes
Les nouvelles règles exigent également que les entreprises concernées procèdent à une évaluation pour déterminer la gravité de l’incident et, si elles sont jugées graves, le signalent immédiatement au service local de surveillance de l’industrie sans omettre ou dissimuler aucun fait, ni fournir de fausses informations.
« Si le service local de réglementation de l’industrie détermine initialement qu’il s’agit d’un incident de sécurité des données particulièrement majeur ou majeur, il doit le signaler au bureau du mécanisme conformément aux exigences de « 10 minutes par téléphone et 30 minutes par écrit » après avoir découvert l’incident. « , indique le projet de règlement.
En fonction du niveau de réponse activé – Rouge ou Orange – le Bureau du Mécanisme devrait signaler l’affaire au MIIT. Le projet de règles est ouvert aux commentaires du public jusqu’au 15 janvier 2024.