Red de Respuestas Legales - Consulta de marcas - ¿Cómo formulan las empresas de Internet las políticas de privacidad de las aplicaciones?

¿Cómo formulan las empresas de Internet las políticas de privacidad de las aplicaciones?

Prefacio

En los últimos años, con el vigoroso aumento de la tecnología de Internet móvil, el mercado de aplicaciones ha logrado un desarrollo sin precedentes y el grupo de usuarios de aplicaciones se ha vuelto cada vez más grande. Pero al mismo tiempo, son frecuentes los incidentes en los que aplicaciones obtienen y utilizan ilegalmente información personal, infringiendo así la privacidad personal. A principios de 2019, muchos ministerios y comisiones nacionales lanzaron un duro ataque, centrándose en rectificar el caos. Decenas de aplicaciones fueron retiradas por la fuerza de los estantes y cientos de aplicaciones fueron nombradas para su rectificación. La industria dijo que la recopilación de información personal mediante aplicaciones marcó el comienzo del primer año de fuerte supervisión. Como "puente de contrato" en forma de texto, las políticas de privacidad son la forma más común y eficaz de llegar a un entendimiento sobre el procesamiento de información personal entre plataformas y usuarios. Para mejorar aún más las capacidades de cumplimiento empresarial y lograr el objetivo de cumplimiento continuo, las empresas de Internet deben ser plenamente conscientes de la importancia de formular una política de privacidad calificada. Este artículo se centrará en los puntos de cumplimiento de la política de privacidad de la aplicación y contribuirá a la mejora integral del sistema de gestión de cumplimiento de las empresas de Internet.

1. ¿Cuál es la política de privacidad de la aplicación?

La política de privacidad suele referirse a las políticas de los sitios web, aplicaciones, etc. Tratamiento de la información del usuario en base a la política de privacidad. Es un documento que documenta los derechos y obligaciones básicos entre empresas y usuarios sobre cómo procesar y proteger la información personal de los usuarios. Se utiliza para informar a los usuarios cómo terceros recopilan, utilizan y comparten la información personal. No es sólo una restricción para la empresa, sino también la base para que la empresa recuerde a los usuarios que proporcionen y dispongan de información personal de forma autónoma, voluntaria y razonable, y aclare las responsabilidades de los usuarios. Los usuarios deben leerlo detenidamente antes de comenzar a utilizar los productos y/o servicios y confirmar que comprenden completamente el contenido descrito en la política de privacidad correspondiente y que lo aceptan antes de utilizar los productos/servicios.

En la actualidad, la principal legislación internacional para proteger la información de privacidad personal incluye el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la Ley de Privacidad del Consumidor aprobada por el Congreso de California en Estados Unidos. La industria de nuestro país no cuenta con un sistema unificado de evaluación del cumplimiento de la política de privacidad. En cambio, adopta la "Ley de Ciberseguridad de la República Popular China", el "Reglamento sobre la Protección de la Información Personal de los Usuarios de Telecomunicaciones e Internet" y el "Tecnología de Seguridad de la Información". Especificaciones de seguridad de la información personal" (GB/T35273— 2020), "Disposiciones sobre la protección de la información personal de los niños en línea" y una serie de leyes y regulaciones para establecer un sistema de evaluación del cumplimiento. Entre ellas, las "Especificaciones de seguridad de la información personal de la tecnología de seguridad de la información" aclaran el comportamiento de los controladores de información personal en términos de recopilación, almacenamiento, uso, * * * disfrute, transferencia y divulgación de información, etc. También proporciona una plantilla para redactar políticas de privacidad. para mejorar la La política de protección de la privacidad de las aplicaciones sociales móviles proporciona la base.

En segundo lugar, situaciones comunes de incumplimiento

De acuerdo con las "Medidas para la Recopilación y Uso Ilegal de Información Personal por parte de las APPs" (en adelante, las "Medidas"), " Recopilación y uso ilegal de información personal por parte de las "Pautas de autoevaluación del comportamiento de la información personal" de las APP (en adelante, las "Pautas") y la serie de anuncios de sanciones administrativas del Ministerio de Industria y Tecnología de la Información (como el "Aviso sobre las APP que infringir los derechos e intereses de los usuarios"), combinado con violaciones destacadas en la práctica, este artículo enumera los siguientes incumplimientos comunes de la política de privacidad de la APLICACIÓN:

(1) La política de privacidad no enumera completamente los la información del usuario que recopila y utiliza, o la información del usuario recopilada y utilizada por el operador excede el alcance enumerado en la política de privacidad;

p>

(2) La política de privacidad no especifica en detalle el propósito, el método y el alcance de la recopilación y el uso de información personal por parte del SDK de terceros, o no inserta el directorio del SDK de terceros en la política de privacidad;

(3) La política de privacidad no proporciona canales para quejas, apelaciones y comentarios de los usuarios (los canales generales de quejas incluyen: correo electrónico, teléfono, servicio al cliente en línea, etc.);

(4) La política de privacidad no proporciona corrección, eliminación de información personal y cancelación de funciones efectivas de cuentas de usuario, o establecer condiciones innecesarias o irrazonables para las operaciones anteriores, o no responder a las operaciones anteriores de manera oportuna;

(5) No existe protección de la información personal de los niños menores de 14 años años de edad; Políticas especiales;

(6) Poner los intereses de la plataforma en primer lugar e ignorar los derechos de los usuarios;

(7) El límite de tiempo de retención de datos no está claro y se ignora. el derecho de los usuarios al olvido.

En tercer lugar, las empresas de Internet deben prestar atención a la formulación de políticas de privacidad de las aplicaciones.

Formular una política de privacidad separada y expresarla de manera adecuada.

En primer lugar, las empresas de Internet deberían desarrollar políticas de privacidad independientes. Como se puede ver en lo anterior, un acuerdo de privacidad es un documento que les dice a los usuarios cómo un sitio web o software móvil recopila y utiliza información y datos del usuario. El acuerdo de usuario equivale a un contrato entre el sitio web y el usuario, como la propiedad de los derechos de propiedad intelectual, el derecho a prohibir cuentas, etc. No se pueden confundir los dos. El 1 de noviembre de 2021 entró oficialmente en vigor la "Ley de Protección de Datos Personales" (en adelante, la "Ley de Protección Personal"). Centrándose en el carácter normativo de la Ley de Protección Personal, las plataformas deben dar respuestas oportunas y adecuadas en consecuencia, incluyendo prestar atención a la comunicación con los usuarios y resaltar la existencia de políticas de privacidad. La primera tarea es mantener la independencia de la política de privacidad, es decir, establecer una política de privacidad separada. Por un lado, el requisito de independencia de las políticas de privacidad se basa en la importancia de las políticas de privacidad. En los últimos años, con el desarrollo de Internet y la mejora del estado de protección de la información personal, las políticas de privacidad basadas en información personal se han ido poniendo de moda gradualmente, formando una situación que compite con los acuerdos de usuario. Por esta razón, los requisitos de independencia y legibilidad de las políticas de privacidad han entrado paulatinamente en etapa de cumplimiento, por otro lado, se debe a la consideración de la estandarización de los contratos; La esencia de la política de privacidad y el acuerdo de usuario es el acuerdo firmado entre la plataforma y el usuario.

Cuando los términos de la política de privacidad están ocultos en los acuerdos de usuario, es difícil para las plataformas enfatizar plenamente la importancia de los términos de protección de la información personal para los usuarios. Además, la política de privacidad implica una gran cantidad de dinero, las reglas aplicables son diferentes del acuerdo de usuario y los derechos y obligaciones de ambas partes también son diferentes. Por tanto, la política de privacidad debe ser independiente y presentarse como un contrato completo e independiente.

En segundo lugar, la política de privacidad debe expresarse claramente y de forma adecuada. Según el artículo 1035 del Código Civil: “El procesamiento de datos personales seguirá los principios de licitud, legitimidad y necesidad, no será procesado en exceso y deberá cumplir con las siguientes condiciones: (1) Obtener el consentimiento de la persona natural o su tutor, y las leyes y reglamentos administrativos no lo harán Excepto cuando se especifique (2) Reglas para revelar el procesamiento de información (3) Establecer claramente el propósito, método y alcance del procesamiento de información (4) El procesamiento de información personal no viola; las disposiciones de las leyes, reglamentos administrativos y el acuerdo entre las partes Recopilación, almacenamiento, uso, procesamiento, transferencia, suministro y divulgación de información ”

Preste atención a la integridad de los términos de la política de privacidad<. /p>

01

Reglas claras de recopilación y utilización de información personal

Las "Directrices" señalan que las empresas de Internet deben obtener primero el consentimiento del usuario al recopilar y utilizar información personal. Específicamente, los operadores de aplicaciones deben asumir un compromiso de privacidad y seguridad con los usuarios e informarles claramente sobre los tipos de información personal recopilada, el propósito de la recopilación y los principios de recopilación y utilización. La recogida y utilización deben seguir los principios de legalidad, legitimidad y necesidad. Por lo tanto, las empresas de Internet deberían aclarar el contenido anterior al formular políticas de privacidad y acuerdos de usuario. En segundo lugar, la base jurídica básica para el uso y recopilación de información personal es el mecanismo de consentimiento individual, es decir, la recopilación y uso de información personal requiere el consentimiento del usuario y se debe informar claramente a los usuarios del propósito, método y alcance de la misma; no se permite la recopilación y el uso de información que no sea la prestación de servicios. La información personal necesaria del usuario no se utilizará para fines distintos de la prestación de servicios, y la información no se recopilará ni utilizará mediante engaño, engaño, coerción u otros medios o en violación de las leyes, reglamentos administrativos y el acuerdo entre las partes, el usuario deberá dejar de utilizar los servicios de telecomunicaciones o Internet. Después de proporcionar servicios de información, dejará de recopilar y utilizar la información personal de los usuarios y brindará a los usuarios el servicio de cancelar sus números; o cuentas. Por ejemplo, la política de privacidad de Tencent clasifica además "el momento en el que podemos recopilar información" y luego estipula que * * * se divide en tres categorías: información que usted proporciona, información compartida por otras partes e información que obtenemos (incluida la información de registro y la ubicación). información ).

02

Borrar información personal* * *Disfruta y transfiere contenido relacionado.

El problema de "anteponer los intereses de la plataforma e ignorar los derechos de los usuarios" es particularmente obvio en el disfrute, la transmisión y la divulgación de información. Aunque en principio los datos personales de los consumidores no pueden compartirse, divulgarse ni transferirse, en la vida real los enormes intereses económicos detrás de los datos hacen difícil que los operadores resistan la tentación del uso secundario. Los operadores de aplicaciones a menudo comparten datos de los usuarios con terceros. El tercero analiza las características y preferencias a través de algoritmos para formar retratos indirectos de la multitud e impulsar anuncios comerciales con precisión. La mayoría de los operadores enfatizan el derecho a compartir datos de los consumidores con afiliados y socios; el derecho a transferir datos de los consumidores durante fusiones, divisiones o liquidaciones corporativas y el derecho a revelar datos relevantes de conformidad con la ley con el consentimiento del interesado; salvaguardar los intereses públicos o los intereses legítimos de otros. En otras palabras, los operadores enfatizan demasiado sus derechos e ignoran las obligaciones y responsabilidades correspondientes. En este sentido, el autor sugiere que cuando sea necesario que las empresas de Internet compartan y transmitan información de los usuarios, deben informar a los consumidores sobre el propósito de compartir información, el alcance de la información personal involucrada, el tipo de destinatario y las responsabilidades legales y de seguridad. .

El intercambio externo de información personal incluye principalmente situaciones en las que los usuarios comparten información con terceros, la circulación transfronteriza de información personal y otros tipos de intercambio de información personal. Entre ellos, el intercambio de plataformas de terceros es una de las situaciones más comunes en los servicios de plataformas de red. Se refiere al comportamiento de los usuarios que saltan de la plataforma original a otras plataformas y comparten información relevante en esa plataforma. Por lo general, cuando una plataforma salta, parte de la información personal básica del usuario o la información del usuario (incluidos, entre otros, el apodo personal, el avatar personal y otros elementos) será recopilada por un tercero (es decir, la plataforma a la que salta el usuario). Se pueden formular planes para abordar tales cuestiones con referencia a la "Recopilación y uso de información personal". Al mismo tiempo, la forma de compartir información debe indicarse claramente en el capítulo "Compartir información" para recordar e informar a los usuarios de los servicios de red sobre los posibles riesgos y consecuencias. De acuerdo con las "Directrices", las aplicaciones que disfrutan y transfieren información personal deben cumplir las siguientes condiciones: primero, informar al sujeto de la información personal de la información, el propósito de la transferencia de la información, el tipo de destinatario de los datos y otra información antes de la transferencia. y obtener la Autorización y consentimiento del titular de la información personal; segundo, durante el * * * proceso de disfrute y transferencia, se deben tomar medidas para garantizar la seguridad del proceso; tercero, registrar * * * el contenido de la información del * * * disfrute y transferencia, y registrarse *; * * información de * * * disfrute y transferencia, incluyendo * * * la fecha de disfrute y transferencia, volumen de datos, finalidad e información básica del destinatario de los datos finalmente, después de * * * disfrute y transferencia, deberá comprender el almacenamiento y la transferencia; uso de la información personal por parte del destinatario, así como los derechos del titular de la información personal, tales como acceso, rectificación, supresión, cancelación, etc. Por lo tanto, cuando las empresas de Internet formulan políticas de privacidad de aplicaciones y acuerdos de usuario, si implican * * * compartir y transferir la información personal del usuario recopilada, deben aclarar el contenido anterior en los acuerdos pertinentes.

03

Limpiar el sistema de tratamiento de datos personales

El tratamiento de datos personales en los “Lineamientos” incluye tres partes: solicitud, supresión y terceros. encomienda de partido. En lo que respecta a la aplicación de información personal, la aplicación de información personal por parte de los operadores de aplicaciones debe cumplir con las disposiciones del acuerdo de registro del usuario y la política de privacidad, y no excederá el alcance del acuerdo de uso de la información firmado con el usuario.

En términos de eliminación de información personal, se deben cumplir cuatro requisitos: primero, después de que la información personal exceda el límite de tiempo de almacenamiento, se deben eliminar los dispositivos de almacenamiento relacionados con la información personal; a la información personal debe cumplir con los requisitos para evitar el almacenamiento. El requisito de restaurar datos de información personal a través de medios técnicos después de su eliminación. En tercer lugar, cuando se almacena nueva información en un dispositivo que ha almacenado información personal, se debe eliminar todo el contenido anterior; Los dispositivos de almacenamiento desechados deben eliminarse antes de desecharlos.

Finalmente, con respecto al procesamiento confiado a terceros, antes de confiar el procesamiento a terceros, se deben evaluar las capacidades de seguridad de la parte encargada y se deben firmar los acuerdos pertinentes con la parte encargante para exigirle que cumplir con los requisitos pertinentes de las "Directrices". Finalmente, el procesamiento de información personal encomendado no excederá el alcance autorizado por el interesado. La parte encargada eliminará el contenido de los datos almacenados después de procesar los datos relevantes de la información personal. Por lo tanto, cuando las empresas de Internet formulan acuerdos de usuario y políticas de privacidad, deben mejorar las regulaciones pertinentes sobre el procesamiento de información personal de acuerdo con los requisitos de las Directrices.

04

Aclarar el sistema de protección de la información de menores

Con el “Reglamento sobre Protección de Datos Personales de los Niños en Línea”, “Reglamento sobre la Gestión de Internet Servicios de información de audio y video", "La promulgación de las "Normas de evaluación para la protección de la información personal de las empresas de Internet" aclara el sistema de protección de la información de los menores, y las empresas de Internet están obligadas a hacerlo. De acuerdo con el "Reglamento sobre la protección de la información personal de los niños en línea", el "Reglamento sobre la administración de servicios de información de audio y vídeo de Internet" y los "Estándares de evaluación para la protección de la información personal de las empresas de Internet", las empresas de Internet deben establecer un sistema para la protección. de menores y estipular medidas especiales para el tratamiento de datos personales de menores. No deberán procesar la información personal de menores sin el consentimiento explícito del tutor. Al mismo tiempo, las empresas de Internet deben establecer reglas especiales y acuerdos de usuario para la protección de la información personal de los menores, y designar personal dedicado que sea responsable de la protección de la información personal de los menores. Al mismo tiempo, con la implementación gradual de una fuerte supervisión de la información personal, a largo plazo, las empresas de Internet deberían formular políticas independientes de protección de la información personal de los niños para distinguir el contenido aplicable a menores de 14 años y mayores de 14 años.

El contenido de la política de privacidad debe cumplir con los requisitos de razonabilidad.

La llamada razonabilidad significa que cuando los operadores de aplicaciones establecen términos de política de privacidad, no deben establecer términos injustos, como términos que los eximan de responsabilidades y aumenten las obligaciones de la otra parte. Una vez que el contenido de la política de privacidad es demasiado estricto, es muy probable que caiga en cláusulas dominantes y se enfrente a una situación en la que el contenido de la política de privacidad no sea válido. Según lo dispuesto en el Código Civil, las cláusulas tipo se refieren a cláusulas que se redactan de antemano para su uso repetido por las partes al celebrar un contrato sin negociación entre las partes. Se puede decir que casi todas las políticas de privacidad en la actualidad son cláusulas de formato. El artículo 497 del Código Civil estipula la nulidad de las cláusulas tipo: “(1) Tiene la nulidad especificada en el apartado 3 del Capítulo 6 de la Parte I de esta Ley y en el artículo 506 de esta Ley (2) La parte que establece las cláusulas tipo; exime o reduce injustificadamente sus responsabilidades, aumenta las responsabilidades de la otra parte o restringe los derechos principales de la otra parte; (3) La parte que proporciona los términos estándar excluye los derechos principales de la otra parte "Las empresas operadoras de aplicaciones relevantes deben hacer un buen trabajo para comprender el contenido del acuerdo de usuario Revisar la validez del acuerdo para evitar la invalidación legal de los términos del acuerdo debido a la violación de las disposiciones anteriores.

La regla de “notificación-consentimiento” es plenamente aplicable

En 2013 se aprobó el “Reglamento sobre Protección de Datos Personales de los Usuarios de Telecomunicaciones e Internet” promulgado por el Ministerio de Industria e Información. Technology aclaró por primera vez que no se permite ninguna recopilación o uso de información personal sin el consentimiento del usuario. Posteriormente, la Ley de Ciberseguridad de 2017 estipuló además que los operadores de redes que recopilan y utilizan públicamente información personal deben indicar claramente el propósito, el método y el alcance de la recopilación y el uso de la información, y obtener el consentimiento de las personas que se recopilan. Este establece un principio básico para la recopilación y uso de información personal en mi país: el principio de notificación-consentimiento. La información personal de los usuarios que los operadores de red pueden recopilar se limita al alcance relacionado con los servicios que brindan. En el proceso de recopilación y uso de la información, deben cumplir con las leyes, regulaciones administrativas y acuerdos con los usuarios. La próxima "Ley de Seguros Personales" todavía se adhiere a las reglas de procesamiento de información personal con "información y consentimiento" como núcleo. Bajo esta premisa, los operadores de APP deben revelar el propósito, método y alcance de la recopilación y el uso de la información, y obtener el consentimiento de la persona que se recopila.

Conclusión

En la era del big data de la privacidad absoluta, la política de privacidad, como parte importante del sistema de gobierno corporativo moderno, inevitablemente tendrá un impacto importante en el desarrollo de la tecnología digital. economía. A medida que la demanda de los consumidores por la protección de la privacidad de los datos siga aumentando, los operadores con políticas de privacidad completas seguirán siendo más competitivos en el mercado. Los operadores con políticas de privacidad incompletas seguramente perderán la confianza de los usuarios y tendrán un impacto negativo en el desarrollo de las empresas. Por lo tanto, prestar atención al cumplimiento de los textos de privacidad de las aplicaciones es de gran importancia para el desarrollo a largo plazo de las empresas.

Autor: Abogado Sun Liangjuan del bufete de abogados Shanghai Wenlan