¿Cómo formulan las empresas de Internet las políticas de privacidad de las aplicaciones?
Prólogo
En los últimos años, con el vigoroso aumento de la tecnología de Internet móvil, el mercado de aplicaciones ha logrado un desarrollo sin precedentes y el grupo de usuarios de aplicaciones se ha convertido cada vez más grande. Sin embargo, al mismo tiempo, son frecuentes los incidentes en los que aplicaciones obtienen y utilizan información personal de forma ilegal, infringiendo así la privacidad personal. A principios de 2019, muchos ministerios y comisiones nacionales lanzaron un duro ataque para rectificar este caos. Decenas de aplicaciones fueron retiradas por la fuerza de los estantes y cientos de aplicaciones fueron nombradas para su rectificación. marcó el comienzo del primer año de fuerte supervisión. Como "puente de contrato" en forma de texto, la política de privacidad es actualmente la forma más común y eficaz para que las plataformas y los usuarios lleguen a un consenso sobre el procesamiento de información personal. Para mejorar aún más las capacidades de cumplimiento de la empresa y lograr el objetivo de cumplimiento continuo, las empresas de Internet deben ser plenamente conscientes de la importancia de formular una política de privacidad calificada. Este artículo se centrará en los puntos de cumplimiento de la política de privacidad de la aplicación y hará una pequeña contribución a la mejora integral del sistema de gestión de cumplimiento de las empresas de Internet.
1. ¿Cuál es la política de privacidad de la APP?
La política de privacidad generalmente se refiere a la política para el procesamiento de la información del usuario formulada por sitios web, aplicaciones, etc. en función de la política de privacidad. Es la relación entre la empresa y el usuario. cómo procesar y proteger la información personal del usuario. Un documento sobre los derechos y obligaciones básicos de la información para informar a los usuarios sobre cómo se recopila, utiliza y comparte la información personal con terceros. No es solo una restricción para la empresa, sino también la base para que la empresa recuerde a los usuarios que proporcionen y manejen información personal de forma independiente, voluntaria y razonable, y que distinga las responsabilidades de los usuarios. Los usuarios deben leerlo atentamente antes de comenzar a utilizar los productos y/o servicios, y confirmar que han comprendido completamente el contenido de las políticas de privacidad pertinentes y las han aceptado antes de utilizar los productos/servicios.
Actualmente, la principal legislación internacional para la protección de la información de privacidad personal incluye el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la Ley de Privacidad del Consumidor aprobada por el Congreso de California. Nuestra industria aún no cuenta con un sistema unificado de evaluación del cumplimiento de la política de privacidad, pero ha adoptado la "Ley de Ciberseguridad de la República Popular China", el "Reglamento sobre la Protección de la Información Personal de los Usuarios de Telecomunicaciones e Internet" y el "Reglamento de Tecnología de Seguridad de la Información Personal". Especificaciones de seguridad de la información" (GB/T35273-2020), "Disposiciones para la protección de la información personal de los niños en línea" y una serie de leyes y regulaciones para construir un sistema de evaluación del cumplimiento. Entre ellas, las "Especificaciones de seguridad de la información personal de la tecnología de seguridad de la información" aclara los requisitos para los controladores de información personal en la recopilación y almacenamiento de información, uso, intercambio, transferencia y divulgación, etc., y también proporciona una plantilla de redacción de políticas de privacidad para proporcionar una base para que la aplicación social móvil mejore las políticas de protección de la privacidad.
2. Situaciones comunes de incumplimiento
Según el “Método de Identificación de Recopilación y Uso Ilegal de Información Personal por parte de APP” (en adelante denominado el "Método de Identificación") Las "Directrices para la Autoevaluación de la Recopilación y Uso Ilegal de Información Personal por parte de APPs" (en adelante denominadas las "Directrices") y la serie de anuncios de sanciones administrativas del Ministerio de Industria y Tecnología de la Información (tales como "Aviso de APP sobre infracción de los derechos e intereses del usuario"), combinado con violaciones destacadas en la práctica, este artículo enumera las siguientes situaciones comunes de incumplimiento en los términos de la política de privacidad de APP:
(1) La política de privacidad no enumera completamente la información del usuario que recopila y utiliza, o el operador recopila y utiliza información del usuario más allá del alcance enumerado en la política de privacidad
(2) La política de privacidad no especifica el propósito; , método y alcance de la recopilación y el uso de información personal por parte del SDK de terceros, o no inserta el directorio del SDK de terceros en la política de privacidad
(3) La política de privacidad no proporciona al usuario; canales de quejas, apelaciones y comentarios (los canales de quejas generales incluyen: correo electrónico, teléfono, servicio al cliente en línea, etc.
(4) La política de privacidad no proporciona corrección efectiva, elimina información personal y cancela al usuario; funciones de la cuenta, o establecer condiciones innecesarias o irrazonables para las operaciones anteriores, o no responder a las operaciones anteriores de manera oportuna.
(5) No se toman disposiciones especiales para niños menores de 14 años; personal infantil; política de protección de la información;
(6) Poner los intereses de la plataforma en primer lugar e ignorar los derechos de los usuarios
(7) El límite de tiempo de almacenamiento de datos no está claro e ignora los derechos de; Los usuarios deben ser olvidados.
3. Cosas a tener en cuenta cuando las empresas de Internet formulan políticas de privacidad de APP
Formule una política de privacidad separada y exprésela de manera adecuada
En primer lugar, las empresas de Internet deberían desarrollar políticas de privacidad independientes. Como se puede ver en lo anterior, un acuerdo de privacidad es un documento que informa a los usuarios cómo un sitio web o software móvil recopila y utiliza información y datos del usuario. El acuerdo de uso del usuario equivale a un contrato entre el sitio web y el usuario, como la propiedad de los derechos de propiedad intelectual, el derecho a prohibir cuentas, etc. No se pueden confundir los dos. El 1 de noviembre de 2021 entró en vigor la “Ley de Protección de Datos Personales” (en adelante “Ley de Protección Personal”). Centrándonos en la esencia normativa de la Ley de Protección Personal, las plataformas deben dar respuestas oportunas y adecuadas de acuerdo con ella, incluyendo prestar atención a la comunicación con los usuarios y resaltar la existencia de políticas de privacidad. La primera tarea es mantener la independencia de las políticas de privacidad. es decir, configurar una política de privacidad separada.
El requisito de independencia de las políticas de privacidad se basa en la importancia de las políticas de privacidad. En los últimos años, con el desarrollo de Internet, el estado de la protección de la información personal ha mejorado y las políticas de privacidad que rodean la información personal han llegado a dominar gradualmente, formándose. una situación de rivalidad con los acuerdos de usuario. Por esta razón, los requisitos de independencia y legibilidad de las políticas de privacidad han entrado paulatinamente en etapa de cumplimiento, por otro lado, se debe a consideraciones normativas contractuales; La esencia de la política de privacidad y el acuerdo de usuario son acuerdos firmados entre la plataforma y el usuario. Cuando los términos de la política de privacidad están ocultos en el acuerdo de usuario, es difícil para la plataforma enfatizar completamente la importancia de los términos de protección de la información personal. para los usuarios Además, la política de privacidad implica Hay muchas cantidades de dinero, las reglas aplicables son diferentes del acuerdo de usuario y los derechos y obligaciones de ambas partes también son diferentes. Por tanto, la política de privacidad debe ser independiente y presentarse como un contrato completo e independiente.
En segundo lugar, la política de privacidad debe quedar claramente establecida de forma adecuada. Según el artículo 1035 del Código Civil: “El tratamiento de los datos personales seguirá los principios de licitud, legitimidad y necesidad, no será excesivo y cumplirá con las siguientes condiciones: (1) Obtener el consentimiento de la persona física o de su tutor , pero la ley, a menos que las regulaciones administrativas dispongan lo contrario; (2) Divulgar las reglas para el procesamiento de información (3) Establecer claramente el propósito, método y alcance del procesamiento de información (4) El procesamiento de información personal no viola las disposiciones; de leyes, reglamentos administrativos y el acuerdo entre las partes, incluida la recopilación, almacenamiento, uso, procesamiento, transmisión, suministro, divulgación, etc. de información personal”
Preste atención a la integridad de la política de privacidad. términos
01
<. /p>
Aclarar las reglas para la recopilación y utilización de información personal
De acuerdo con las "Directrices", cuando se utiliza Internet Las empresas recopilan y utilizan información personal, primero deben obtener el consentimiento de los usuarios. Específicamente, los operadores de aplicaciones deben asumir un compromiso de privacidad y seguridad con los usuarios e informarles claramente sobre los tipos de información personal recopilada, el propósito de la recopilación y los principios de recopilación y utilización. La recopilación y utilización deben seguir los principios de legalidad. , legitimidad y necesidad. Por lo tanto, las empresas de Internet deberían aclarar el contenido anterior al formular políticas de privacidad y acuerdos de usuario. En segundo lugar, la base jurídica básica para el uso y la recopilación de información personal es el mecanismo de consentimiento individual, es decir, la recopilación y el uso de la información personal de los usuarios requieren el consentimiento del usuario y se debe informar claramente a los usuarios sobre el propósito, el método y el alcance de la misma; recopilar y utilizar la información no debe recopilarse información personal del usuario que no sea la necesaria para el servicio o usar la información para fines distintos a la prestación de servicios no debe recopilarse ni usarse de manera engañosa, engañosa o coercitiva o en violación; de las leyes, reglamentos administrativos y el acuerdo entre las partes el usuario termina el uso de los servicios de telecomunicaciones o Después de que se proporcionen los servicios de información de Internet, se debe detener la recopilación y el uso de la información personal de los usuarios, y se les debe proporcionar a los usuarios servicios para cancelar; sus números o cuentas. Por ejemplo, la política de privacidad de Tencent menciona "información que podemos recopilar" antes de clasificarla más y luego especificarla. ***Se divide en tres categorías: información que usted proporciona, su información compartida por otras partes y su información que obtenemos. (incluida información de registro e información de ubicación).
02
Aclarar el contenido relacionado con el intercambio y transferencia de información personal
“Poner los intereses de la plataforma en primer lugar y ignorar La cuestión de los "derechos de los usuarios" es particularmente obvia en el intercambio, la transferencia y la divulgación de información. Aunque en principio no se permite compartir, divulgar ni transferir los datos personales de los consumidores, en la vida real, los enormes beneficios económicos detrás de los datos hacen difícil que los operadores resistan la tentación del uso secundario. Los operadores de aplicaciones a menudo comparten datos de los usuarios con terceros. Estos terceros utilizan algoritmos para analizar características y preferencias, formar retratos indirectos de la multitud e impulsar anuncios comerciales con precisión. Lo que la mayoría de los operadores enfatizan es el derecho a compartir datos de los consumidores con afiliados y socios; el derecho a transferir datos de los consumidores durante fusiones, divisiones y liquidaciones corporativas; el derecho a transferir datos de los consumidores con el consentimiento del interesado, o a mantener los derechos públicos; *El derecho a revelar datos relevantes de conformidad con la ley cuando se trate de intereses o intereses legítimos de otros. En otras palabras, los operadores enfatizan demasiado sus derechos y descuidan sus correspondientes obligaciones y responsabilidades. En este sentido, el autor sugiere que cuando sea necesario que las empresas de Internet compartan y transmitan información de los usuarios, deben informar a los consumidores sobre el propósito del intercambio de información, el alcance de la información personal involucrada, el tipo de destinatario y las responsabilidades legales y de seguridad. .
Las situaciones en las que la información personal se comparte externamente incluyen principalmente que los usuarios compartan información con terceros, la circulación transfronteriza de información personal y otras situaciones en las que se comparte información personal. Entre ellos, el intercambio de plataformas de terceros es una de las situaciones más comunes que se encuentran en los servicios de plataformas de red. Se refiere al comportamiento de los usuarios que saltan de la plataforma original a otras plataformas y comparten información relevante en esa plataforma. , Parte de la información personal básica del usuario o la información del usuario (incluidos, entre otros, el apodo personal, el avatar personal, etc.) será recopilada por un tercero (es decir, la plataforma a la que saltará el usuario). Se pueden formular planes para abordar estos problemas con referencia a la sección "Recopilación y uso de información personal" anterior. Al mismo tiempo, también es necesario enumerar claramente las formas de intercambio de información en el capítulo "Compartir información" y recordar e informar a los usuarios de servicios de red sobre los posibles riesgos y consecuencias.
De acuerdo con lo establecido en las "Directrices", si una APP comparte o transfiere información personal, debe cumplir las siguientes condiciones: Primero, informar al titular de la información personal antes de la transferencia, el propósito de compartir y transferir la información y el destinatario de los datos. . tipo y otra información y obtener la autorización y el consentimiento del interesado de la información personal; en segundo lugar, se deben tomar medidas para garantizar la seguridad del proceso durante el proceso de intercambio y transferencia; en tercer lugar, se debe registrar el contenido de la información compartida y transferida; , y * **Registrar información que incluye la fecha de intercambio y transferencia, volumen de datos, propósito e información básica del destinatario de los datos, finalmente, después de ***compartir o transferir, debe comprender el almacenamiento y uso de información personal por parte del destinatario; los derechos de los titulares de datos personales, tales como acceso, rectificación, supresión, cancelación, etc. Por lo tanto, cuando las empresas de Internet formulan políticas de privacidad de aplicaciones, acuerdos de usuario, etc., si implican el intercambio y la transferencia de información personal recopilada del usuario, deben aclarar el contenido anterior en los acuerdos pertinentes.
03
Aclarar el sistema de procesamiento de información personal
El procesamiento de información personal en los "Lineamientos" incluye solicitud, eliminación y procesamiento encomendado a terceros de tres partes. En lo que respecta a la aplicación de información personal, la aplicación de información personal por parte de los operadores de aplicaciones debe cumplir con las disposiciones del acuerdo de registro del usuario y la política de privacidad, y no puede exceder el alcance del acuerdo de uso de la información firmado con el usuario.
En términos de eliminación de información personal, se deben cumplir cuatro requisitos: primero, los dispositivos de almacenamiento relacionados con información personal deben eliminarse después de que la información personal exceda el límite de tiempo de almacenamiento; segundo, los dispositivos de almacenamiento relacionados con información personal; debe cumplir con los requisitos para evitar que la información personal almacenada se restaure a través de medios técnicos después de su eliminación. En tercer lugar, cuando se almacena nueva información en dispositivos que han almacenado información personal, todo el contenido anterior debe eliminarse; en cuarto lugar, los dispositivos de almacenamiento deben eliminarse antes de ser eliminados; a disposición de.
Por último, en cuanto al procesamiento confiado a un tercero, antes de confiar el procesamiento a un tercero, se deben evaluar las capacidades de seguridad de la parte encargada y se deben firmar los acuerdos pertinentes con la parte encargada para exigir al encargado parte para cumplir con las "Directrices" Requisitos relevantes: Finalmente, al confiar el procesamiento de información personal, no debe exceder el alcance de la autorización y el consentimiento del interesado, y la parte encargada debe eliminar el contenido de los datos almacenados después de completar el procesamiento de los datos relevantes de la información personal. Por lo tanto, cuando las empresas de Internet formulan acuerdos de usuario y políticas de privacidad, las disposiciones pertinentes para el procesamiento de información personal deben mejorarse de acuerdo con los requisitos de las Directrices.
04
Aclarar el sistema de protección de la información de los menores
Con el “Reglamento sobre Protección de Datos Personales de los Niños en Internet” y "Reglamento de protección de Internet" La promulgación de reglamentos pertinentes como el "Reglamento sobre la gestión de servicios de información de audio y video" y los "Estándares de evaluación para la protección de la información personal de las empresas de Internet" han dejado en claro que el sistema de protección de la información para menores es una responsabilidad inevitable para las empresas de Internet. De acuerdo con regulaciones relevantes como el "Reglamento sobre la protección de la información personal de los niños en línea", el "Reglamento sobre la gestión de servicios de información de audio y video en línea" y los "Estándares de evaluación para la protección de la información personal de las empresas de Internet", las empresas de Internet deben establecer un sistema para la protección de menores y deberá prever medidas especiales para el manejo de la información personal de los menores y no procesará la información personal de menores sin el consentimiento expreso del tutor. Al mismo tiempo, las empresas de Internet deberían establecer reglas especiales y acuerdos de usuario para la protección de la información personal de los menores, y designar personal dedicado que sea responsable de la protección de la información personal de los menores. Al mismo tiempo, con la implementación gradual de una fuerte supervisión de la información personal, a largo plazo, las empresas de Internet deberían formular una "Política de protección de información personal infantil" independiente para distinguir el contenido aplicable a menores de 14 años y mayores de 14 años. .
El contenido de la política de privacidad debe cumplir con los requisitos de razonabilidad
La llamada razonabilidad significa que cuando el operador de la aplicación establece los términos de la política de privacidad, no debe establecer condiciones injustas. términos, como estipular que se exime de responsabilidad, cláusulas que aumentan las obligaciones de la otra parte. Una vez que los términos de la política de privacidad son demasiado estrictos, es muy probable que caiga en términos dominantes y se enfrente a una situación en la que el contenido de la política de privacidad no sea válido. Según el Código Civil, las cláusulas tipo se refieren a cláusulas que son redactadas previamente por las partes para su uso repetido y no se negocian con la otra parte al celebrar el contrato. Se puede decir que casi todas las políticas de privacidad en la actualidad son cláusulas de formato. El artículo 497 del Código Civil estipula la nulidad de las cláusulas tipo: “(1) Existen circunstancias de nulidad especificadas en la Sección 3 del Capítulo 6 de la Parte 1 de esta Ley y el artículo 506 de esta Ley (1) 2) La parte que proporciona la cláusula; los términos estándar eximen o reducen injustificadamente sus responsabilidades, aumentan las responsabilidades de la otra parte y restringen los derechos principales de la otra parte (3) La parte que proporciona los términos estándar excluye los derechos principales de la otra parte "Las empresas operadoras de aplicaciones relevantes deben hacer un buen trabajo". revisar la validez del contenido del acuerdo de usuario, para evitar situaciones en las que los términos del acuerdo sean legalmente inválidos debido a la violación de las disposiciones anteriores.
Aplicación integral de la regla “notificación-consentimiento”
El “Reglamento de Protección de Datos Personales de los Usuarios de Telecomunicaciones e Internet” promulgado por el Ministerio de Industria y Tecnologías de la Información en 2013 Aclaró por primera vez que la información personal de los usuarios no puede recopilarse ni utilizarse sin su consentimiento. Posteriormente, la Ley de Ciberseguridad de 2017 estipuló además que los operadores de redes deben divulgar las reglas de recopilación y uso al recopilar y utilizar información personal, establecer claramente el propósito, el método y el alcance de la recopilación y el uso de la información, y obtener el consentimiento de las personas que se recopilan. Este establece un principio básico para la recopilación y uso de información personal en mi país: el principio de notificación-consentimiento.
La información personal de los usuarios que los operadores de red pueden recopilar se limita al alcance relacionado con los servicios que brindan, y en el proceso de recopilación y uso de la información, deben cumplir con las leyes y regulaciones administrativas, así como con sus acuerdos con los usuarios. La Ley de Protección Personal recientemente promulgada todavía se adhiere a las reglas para el manejo de información personal con "información y consentimiento" como núcleo. Bajo esta premisa, los operadores de APP deben revelar el propósito, método y alcance de la información que recopilan y utilizan, y obtener el consentimiento de las personas que recopilan.
Conclusión
En la era del big data, donde la privacidad es rampante, la política de privacidad, como parte importante del sistema de gobierno corporativo moderno, inevitablemente jugará un papel importante. un papel importante en el desarrollo de la economía digital. A medida que aumente la demanda de los consumidores de protección de la privacidad de los datos, aquellos operadores con políticas de privacidad completas seguirán siendo más competitivos en el mercado. Los operadores con políticas de privacidad incompletas inevitablemente perderán la confianza de los usuarios y tendrán un impacto negativo en el desarrollo corporativo. Por lo tanto, prestar atención al cumplimiento de los textos de privacidad de las aplicaciones es de vital importancia para el desarrollo a largo plazo de las empresas.
Autor: Abogado Sun Liangjuan del bufete de abogados Landi de Shanghai