A medida que las regulaciones se vuelven más estrictas, ¿cómo controlan los operadores de aplicaciones los puntos de cumplimiento para la protección de la información personal? Nota del editor: Con la mejora de las leyes y regulaciones relacionadas con la protección de la información personal en mi país, también se ha fortalecido la supervisión de las Aplicaciones por parte de las autoridades reguladoras. Los operadores de aplicaciones siempre deben prestar atención al desarrollo y los cambios de las leyes y regulaciones relevantes, mejorar el nivel de cumplimiento de la protección de la información personal de la Aplicación y permitir que la Aplicación sirva mejor a los usuarios bajo la premisa de proteger los derechos e intereses de los usuarios. Hoy, "Internet Law Review" publicó un artículo de Liu Xinyu, un experto especial, y su equipo, que brinda asesoramiento a los operadores de aplicaciones desde seis aspectos para controlar los puntos clave del cumplimiento de la protección de la información personal. Según el "Informe de seguimiento y análisis sobre la recopilación y el uso ilegal de información personal por parte de aplicaciones" (en lo sucesivo, el "Informe") publicado por el Centro de coordinación de tecnología de respuesta a emergencias de la red informática nacional y la Asociación de seguridad del ciberespacio de China en febrero de 2021, El número total de tiendas de aplicaciones de Android en China es de 1.120.000. La interfaz de visualización de información del centro de instalación de aplicaciones muestra que se han instalado varias aplicaciones líderes más de 654,38 mil millones de veces. Se puede observar que las aplicaciones móviles se han convertido en uno de los portadores importantes para que las personas obtengan servicios de Internet móvil en su vida diaria. Con el desarrollo de las aplicaciones, la escala de información personal recopilada por varias aplicaciones ha aumentado gradualmente y han surgido gradualmente los correspondientes riesgos de seguridad de la información personal. Los avisos de varias agencias reguladoras, incluida la Oficina de Información de Internet y el Ministerio de Industria y Tecnología de la Información, sobre aplicaciones que recopilan ilegalmente información personal se suceden uno tras otro. Los operadores de aplicaciones no sólo enfrentan medidas regulatorias como ser entrevistados por departamentos relevantes y eliminar las aplicaciones que operan, sino que también deben enfrentar los problemas causados por una posible opinión pública negativa. Por lo tanto, es necesario que los operadores de aplicaciones presten más atención a la protección de la información personal de las aplicaciones. En combinación con la "Ley de Protección de Información Personal de la República Popular China" (en adelante, la "Ley de Protección de Información Personal"), las "Medidas para la recopilación y el uso ilegal de información personal por parte de aplicaciones" (en adelante, las "Medidas") y otras leyes y regulaciones relevantes, así como las autoridades reguladoras. En cuanto a los principales problemas descubiertos durante el trabajo de cumplimiento de la protección de la información personal de la aplicación, el autor recomienda que los operadores de la aplicación presten atención a los siguientes puntos de cumplimiento para garantizar que la La aplicación es legal y compatible. 01 Notificar al sujeto de la información personal sobre la conducta de procesamiento y obtener el consentimiento. El artículo 17 de la "Ley de Protección de Información Personal" estipula que antes de procesar información personal, los procesadores de información personal deberán, de manera visible y en un lenguaje claro y comprensible, informar de manera verdadera, precisa y completa al sujeto de la información personal sobre la información del procesador de información personal. Nombre e información de contacto; el propósito y método del procesamiento de la información personal, los tipos de información personal procesada y el período de retención para que los titulares de la información personal ejerzan sus derechos estipulados en esta ley; En lo que respecta a las aplicaciones, la obligación de informar a los interesados sobre información personal suele implementarse a través de políticas de protección de información personal. En la práctica, todavía hay algunas empresas que no han formulado políticas de protección de información personal. Según las estadísticas del informe, el 6,7% de las aplicaciones en 2021 todavía no tienen una política de privacidad. Combinado con el número total de aplicaciones en las principales tiendas nacionales de aplicaciones de Android, este número sigue siendo considerable. Los operadores de dichas aplicaciones deben corregir este problema lo antes posible. Al mismo tiempo, incluso si se formula una política de protección de la información personal, eso no significa que se resolverán todos los problemas. En la práctica, la cuestión de las políticas irregulares de protección de la información personal también es un tema de interés para las autoridades reguladoras. Por ejemplo, el artículo 17 de la "Ley de Protección de Información Personal" estipula claramente: "Si un procesador de información personal notifica los asuntos especificados en el párrafo 1 mediante la formulación de reglas de procesamiento de información personal, las reglas de procesamiento deben hacerse públicas para facilitar su revisión y almacenamiento". Por lo tanto, las operaciones de la aplicación El operador no solo debe formular una política de protección de la información personal, sino también ponerla a disposición del público para su inspección. En particular, no debe establecer obstáculos para el acceso, de lo contrario podría violar las regulaciones anteriores. Los operadores de aplicaciones pueden consultar las disposiciones pertinentes de los "Métodos de evaluación" para comprender los estándares específicos de "fácil de obtener y fácil de guardar". Según el método de identificación, para evitar que sea difícil acceder o leer la política de protección de la información personal, los operadores de la aplicación deben hacer al menos dos cosas: primero, después de que el sujeto de la información personal ingresa a la interfaz principal de la aplicación, la operación para acceder a la política de protección de información personal no puede exceder los cuatro clics. En segundo lugar, la redacción de la política de protección de información personal no puede ser demasiado pequeña, demasiado densa, demasiado ligera, demasiado vaga o no existe una versión china simplificada de la política de protección de información personal. Además de las cuestiones formales antes mencionadas, en términos de contenido, las políticas de protección de datos personales también deben cumplir con el artículo 17 de la Ley de Protección de Datos Personales, que “informa los datos personales de manera verdadera, precisa y completa de manera llamativa y en lenguaje claro y comprensible.”Requisitos del tema”. Por ejemplo, en la práctica, muchos operadores de aplicaciones enumeran los tipos de información personal que recopilan y los métodos y propósitos de uso específicos, sin establecer una relación correspondiente.
Este método parece explicar el "propósito, método y tipo de información personal" al mismo tiempo, pero es posible que el sujeto de la información personal aún no conozca el propósito específico de cada información personal al leer dicha política de protección de información personal. Esta política de protección de datos personales conlleva el riesgo de vulnerar lo dispuesto en la citada Ley de Protección de Datos Personales. Luego de cumplir con la obligación de notificación al titular de la información personal, otra obligación es obtener la base legal para el procesamiento de la información personal. El artículo 13 de la "Ley de Protección de Información Personal" estipula siete bases legales para el procesamiento de información personal, incluida la "obtención del consentimiento individual". En la práctica, obtener directamente el consentimiento del interesado es la base jurídica más común para varias aplicaciones. Es decir, cuando el interesado utiliza la aplicación por primera vez, se le solicita que lea la protección de la información personal. política y se le pidió que verificara el consentimiento. Sin embargo, cabe señalar que al solicitar el consentimiento del titular de la información personal, debe evitar obtener el consentimiento del titular de la información personal de forma predeterminada, como marcar la casilla predeterminada para aceptar o iniciar sesión como consentimiento. En lugar de ello, debe asegurarse. que el titular de la información personal complete la expresión de "aceptar" mediante un comportamiento activo. Sin embargo, en algunos casos, puede resultar difícil para los operadores de aplicaciones obtener el consentimiento del interesado. En este punto, los operadores de aplicaciones pueden considerar la aplicación de otras bases jurídicas como "necesarias para la celebración y ejecución de un contrato en el que el individuo es parte" como alternativa. 02 Procesar información personal según la necesidad mínima. El artículo 6 de la "Ley de Protección de Información Personal" estipula que "la información personal debe procesarse para un propósito claro y razonable, directamente relacionado con el propósito del procesamiento, y de la manera que tenga el menor costo posible". impacto en los derechos e intereses personales Información personal La recopilación debe limitarse al alcance mínimo para el propósito del procesamiento, y la información personal no debe recopilarse en exceso "Por lo tanto, cuando la aplicación procesa información personal, no debe exceder el alcance necesario. Es importante señalar que el alcance aquí no es sólo el tipo de información personal recopilada, sino también la frecuencia de recopilación y la manera en que se procesa. En concreto, la necesidad mínima se refleja principalmente en dos aspectos: Primero, la necesidad de categoría. Por ejemplo, el software de pronóstico del tiempo necesita recopilar información de ubicación geográfica de los usuarios para lograr su propósito de pronosticar el tiempo, porque sólo obteniendo esta información puede proporcionar pronósticos del tiempo locales más precisos y específicos. Sin embargo, si el software de pronóstico del tiempo (que solo tiene una función de pronóstico del tiempo) recopila la información de la libreta de direcciones del usuario, obviamente no cumple con el principio de necesidad mínima de la Ley de Protección de Información Personal, porque incluso si la información de la libreta de direcciones no está recopilada, no afectará la función de la Aplicación, el servicio de pronóstico de información meteorológica proporcionado por los usuarios, y el operador de la Aplicación no puede explicar qué papel juega la recopilación de información de la libreta de direcciones para lograr este propósito. El segundo es el grado de necesidad. Tomemos como ejemplo el software de pronóstico del tiempo. Es razonable que el software recopile información de ubicación, pero si no se controla la frecuencia de recolección, todavía puede existir el riesgo de recopilar información innecesaria. Por ejemplo, ya sea que el usuario utilice la aplicación, la aplicación recopila la información de ubicación geográfica del usuario en segundo plano y la actualiza continuamente. Obviamente, este es un comportamiento de procesamiento que viola el principio de mínima necesidad. 03 Cumplir con el manejo de información personal sensible El artículo 28 de la "Ley de Protección de Información Personal" estipula que "La información personal sensible se refiere a información personal que, una vez filtrada o utilizada ilegalmente, fácilmente conducirá a la vulneración de la dignidad personal de una persona física o. poner en peligro la seguridad personal y de la propiedad, incluida la identificación biométrica, creencias religiosas, identidades específicas, salud médica, cuentas financieras, paradero y otra información, así como información personal de menores de 14 años. "Por ejemplo, el rostro, las huellas dactilares y otros. La información del titular de la información personal está incluida en la información personal que puede ser considerada sensible según la Ley de Protección. Cuando los operadores de aplicaciones procesan esta parte de la información personal, deben asegurarse de que el procesamiento tenga un "propósito específico y una necesidad suficiente" y deben adoptar medidas de protección más estrictas que la información personal general (como el procesamiento de desidentificación, el almacenamiento cifrado, etc.). Al mismo tiempo, cabe señalar que, de acuerdo con las disposiciones de la "Ley de Protección de Información Personal", los operadores de aplicaciones deben obtener el consentimiento personal del interesado al procesar información personal confidencial. En la práctica, algunos operadores de aplicaciones pueden exigir que los sujetos de información personal proporcionen un consentimiento por separado haciendo clic en una ventana emergente o verificando reglas separadas para el procesamiento de información personal confidencial. Dado que el "consentimiento personal" también es una forma de "consentimiento", en ciertos escenarios donde es difícil obtener el consentimiento personal o tiene un mayor impacto en la experiencia del usuario, los operadores de aplicaciones también pueden considerar reemplazar "obtener consentimiento personal" con "Información personal". Ley de Protección" 》Otro fundamento jurídico especificado en el artículo 13. 04 Establecer un mecanismo conveniente de aceptación y procesamiento El artículo 50 de la "Ley de Protección de Información Personal" estipula que "los procesadores de información personal deben establecer un mecanismo de aceptación y procesamiento que facilite el ejercicio de los derechos por parte de las personas. Si la solicitud de un individuo para ejercer sus derechos es rechazada. , se deben explicar las razones.