La promulgación de las "Medidas de gestión de seguridad de datos (borrador para comentarios)" ha puesto un freno a la seguridad de los datos personales.
La Administración del Ciberespacio de China emitió recientemente las "Medidas de Gestión de Seguridad de Datos (Borrador para Comentarios)" (en adelante, las "Medidas"), que proponen requisitos para los operadores de red en aspectos como la recopilación de datos, procesamiento y uso, y supervisión y gestión de seguridad cumplen con los requisitos y agregan un bloqueo a la seguridad de los datos personales.
¿Por qué se emitieron las “Medidas”? Evidentemente, esto está estrechamente relacionado con el uso indebido y la filtración de información personal, cada vez más graves. Según las estadísticas oficiales sobre 100 aplicaciones móviles de uso común, un número considerable de aplicaciones móviles se ven obligadas a solicitar permisos más allá del alcance. En promedio, cada aplicación tiene 10 permisos relacionados con la recopilación de información personal, pero de hecho, solo hay 3 permisos en promedio que impiden que la aplicación se instale o se ejecute sin el consentimiento del usuario para abrirla.
Los macrodatos de la "Plataforma de mediación de disputas del consumidor de comercio electrónico" también muestran que en los últimos años, las plataformas de comercio electrónico, incluidas Tmall, Taobao, JD.COM, Suning.cn, Vipshop y las plataformas de servicios Life como Dianping, Baidu Nuomi y Ctrip han experimentado filtraciones de información de usuarios. Solo en 2018, hubo muchas filtraciones de información personal de los usuarios. Por ejemplo, se vendieron más de mil millones de datos personales de Tong Yuan y SF Express en la web oscura, y millones de datos de pasajeros (12.306) se vendieron en línea.
La protección de datos está "basada en reglas"
En las "Medidas", las actividades de datos se definen como "el uso de la red para llevar a cabo actividades tales como recopilación, almacenamiento, transmisión, procesamiento y uso”. "En comparación con las "Especificaciones de seguridad de la información personal de la tecnología de seguridad de la información" y las "Pautas de protección de la seguridad de la información personal de Internet" ya publicadas, las "Medidas" que puedan emitirse como regulaciones departamentales en el futuro tienen un mayor nivel de efectividad. "Una era de big data La urgente necesidad de seguridad también allana el camino para el cumplimiento del procesamiento de datos nacional en el mercado 5G", dijo Li Wei, socio principal de Shanghai Hansheng Law Firm.
Wang Yuwei, socio del bufete de abogados Beijing Guantao Zhongmao (Shanghai), también cree que, en comparación con la ley de ciberseguridad, este borrador es más detallado y se espera que sirva de referencia para futuras leyes sobre protección de información personal. .
Los "puntos destacados" de las "Medidas" también proporcionan normas para la protección de datos personales. Por un lado, las "Medidas" enfatizan el derecho del usuario a elegir. Por ejemplo, exigen claramente que "se formulen y divulguen reglas para la recopilación y el uso de información personal" y enfatiza que "las reglas de recopilación y uso se incluyen en ellas". la política de privacidad debe estar relativamente concentrada y claramente indicada para facilitar su lectura." Destaca la importancia de las reglas de uso de la información y permite que los sujetos de la información personal tengan plenos derechos de elección. Además, se estipula específicamente que los operadores de red no se negarán a proporcionar servicios de funciones comerciales principales para información que no sea "información personal para funciones comerciales principales de productos de red" porque el sujeto de la información personal no esté de acuerdo con la recopilación. En otras palabras, los operadores de red no pueden "cobrar precios altísimos" por los datos.
“En realidad, esto es para evitar comportamientos coercitivos o engañosos por parte de los proveedores de servicios de red para recopilar datos”. iniciativa y elección de la recopilación de información Debe entregarse a los consumidores. Esta es una cuestión de principios en los servicios de información.
Por otro lado, las “Medidas” hacen hincapié aún más en la protección de la privacidad de los usuarios. Las "Medidas" exigen que "los operadores de red que recopilen datos importantes o información personal confidencial con fines comerciales deben presentar un registro ante el departamento local de ciberespacio". De acuerdo con los estándares de seguridad de la información personal de la tecnología de seguridad de la información, incluida la información de la tarjeta de identificación, el número de teléfono, la dirección de correo electrónico, el historial de navegación, la información de ubicación e incluso las huellas dactilares y de voz personales, toda esta es información personal confidencial. "La recopilación y el uso de información privada está sujeto a restricciones obligatorias del estado. Cuando se filtra información privada, hay rastros a seguir para lograr la seguridad de los datos personales", dijo Li Wei.
Zuo Xiaodong, subdirector del Instituto de Investigación de Seguridad de la Información de China, dijo que sólo rastreando la fuente de los recolectores de información privada se pueden proteger los datos personales de la fuente.
La solución es afrontar los "puntos débiles" de frente
"Las "Medidas" han perfeccionado los problemas de seguridad de los datos de la red que han surgido en los últimos años. La nueva seguridad de los datos Las regulaciones de gestión pueden compensar el desarrollo social de manera oportuna. Las lagunas legales creadas tienen visión de futuro", dijo Li Wei.
A juzgar por las disposiciones específicas de las "Medidas", muchos "puntos débiles" que han preocupado a los usuarios se han nombrado claramente. Por ejemplo, después de reservar un billete de avión, varias aplicaciones empiezan inmediatamente a recomendar información relacionada con el destino. Este tipo de "publicidad de precisión" que utiliza el historial de navegación de los usuarios para obtener ingresos publicitarios mediante publicidad dirigida ha hecho que muchos usuarios sientan que no existe ninguna privacidad. En este sentido, las "Medidas" estipulan claramente que se deben utilizar datos y algoritmos de los usuarios para enviar información de noticias, los anuncios comerciales deben estar claramente marcados con la palabra "push" y se debe otorgar a los usuarios el derecho a negarse a aceptar anuncios dirigidos. información. "Cuando los usuarios optan por dejar de recibir información push específica, deben detener el envío y eliminar los datos del usuario recopilados y la información personal, como los códigos de identificación del dispositivo".
"Será más difícil para los anunciantes recopilar información del usuario Pero esto también es una tendencia global. Las leyes y regulaciones relevantes en los principales países también enfatizan la protección de la privacidad de los datos personales de los consumidores”, afirmó Feng Qi, fundador de la plataforma de publicidad en línea Marteker.
Para poner otro ejemplo, dado que es difícil cancelar una cuenta, es difícil eliminar información personal después de cancelar la cuenta.
Las "Medidas" también proponen específicamente proteger el "derecho al olvido" de los usuarios. Las "Medidas" enfatizan que "las reglas de recopilación y uso deben resaltar los métodos y métodos para que los sujetos de información personal revoquen el consentimiento y consulten, corrijan y eliminen información personal". "Cuando los operadores de red reciban solicitudes de consulta, corrección o eliminación de información personal, deberán consultar, corregir, eliminar o cancelar sus cuentas dentro de un tiempo y costo razonables."
"También es importante resaltar La protección del derecho al olvido. Uno de los aspectos más destacados de este enfoque es que “ser olvidado” es una demanda razonable de los consumidores”, dijo Zuo Xiaodong.
En opinión de Dong Yizhi, abogado del bufete de abogados Beijing Yida (Shanghai), el "derecho al olvido" aún necesita ser perfeccionado. "Por ejemplo, después de que un usuario cancela su cuenta, ¿cómo maneja el operador de red la información que se ha distribuido? ¿Tienen los usuarios derecho a pedirle al operador de red que elimine o sea responsable de la información que se ha divulgado?"
Además, los "rastreadores web" recopilan El tráfico del sitio web no debe exceder un tercio del tráfico diario promedio del sitio web. Los comportamientos de empuje discriminatorios como "eliminar big data" deben restringirse. Se debe aclarar la identidad de la persona a cargo de la seguridad de los datos y se debe proporcionar el nombre y la información de contacto de la persona a cargo de la seguridad de los datos. Las disposiciones pertinentes de las Medidas brindan soluciones a una serie de cuestiones candentes en materia de protección de datos personales.
“El dominio natural de las empresas líderes en la industria de Internet ha llevado a una falta de competencia en la industria. La rigidez establecida en base a la confianza de los usuarios en los servicios de la plataforma no puede ser la base para que algunas plataformas implementen diferenciales. precios y transacciones repetidas de datos. Desde esta perspectiva, las "Medidas" presentan nuevos requisitos para el cumplimiento de las empresas en la misma industria y entre industrias utilizando conjuntamente la información del usuario", dijo Dong Yizhi.