¿Cómo debemos proteger la información personal o corporativa durante las transacciones de comercio electrónico transfronterizo?
Texto | Gong Zhuo, abogado del bufete de abogados Beijing Huacheng (Shanghai)
El 1 de septiembre de 2022, se publicaron los "Métodos de evaluación de la seguridad de la transferencia de datos" (en adelante, la "Evaluación") Métodos") Implementadas efectivamente, las "Medidas de Evaluación" estipulan que "las actividades de exportación de datos que se hayan llevado a cabo antes de la implementación de estas Medidas y no cumplan con las disposiciones de estas Medidas se rectificarán dentro de los 6 meses a partir de la fecha de implementación de estas Medidas." Actualmente, el plazo de subsanación de seis meses ha expirado. Casi la mitad del tiempo transcurrido.
En las importaciones minoristas de comercio electrónico transfronterizo, dado que una de las partes de la transacción está ubicada en el extranjero, inevitablemente habrá problemas de exportación de datos. Por ejemplo, según el modelo de importación 9610, la entrega urgente no se puede realizar a menos que la información de contacto, la dirección, etc. del consumidor se proporcionen en el extranjero. Como plataforma de comercio electrónico transfronterizo, si aún no ha realizado un trabajo de cumplimiento de la exportación de datos, debería aprovechar el tiempo para evaluar completamente si entra dentro del alcance de la evaluación de la seguridad de la exportación de datos.
Además de la exportación de datos, la protección de la información personal y el cumplimiento de los datos han sido el foco de atención del país en los últimos años y deberían ser consideraciones clave en las operaciones diarias de las plataformas de comercio electrónico transfronterizo. Basándome en algunas experiencias al prestar servicios a plataformas de comercio electrónico transfronterizo, hablaré sobre los puntos de cumplimiento de las plataformas de comercio electrónico transfronterizos en términos de información personal y seguridad de los datos. Cabe señalar que este artículo es solo una experiencia personal y no es exhaustivo. Las cuestiones legales específicas aún requieren un análisis e investigación específicos.
1. Principios del procesamiento de información personal
Entre los datos recopilados y procesados por plataformas de comercio electrónico transfronterizos, el riesgo más importante y legal es la información personal de los consumidores. . En el nivel legal de protección de información personal, el procesamiento de información personal incluye la recopilación, almacenamiento, uso, procesamiento, transmisión, provisión, divulgación, eliminación y otros comportamientos de información personal.
El Capítulo 1 de la "Ley de Protección de Información Personal" estipula los principios para el procesamiento de información personal. A diferencia de los principios de otras leyes, que son más teóricos, los principios relevantes para la protección de información personal son el procesamiento de. información personal por plataformas de comercio electrónico transfronterizas Se debe prestar atención y considerar toda la información personal. Especialmente en la actualidad, la formulación de leyes y reglamentos sobre información personal y seguridad de datos en mi país aún está en sus inicios. Donde aún no se han estipulado leyes y reglamentos, se deben seguir los principios pertinentes para el procesamiento de información personal.
Entre ellos, algunos principios son obvios, tales como:
Principio legal: Al procesar información personal, debemos seguir estrictamente las disposiciones de las leyes y reglamentos administrativos, y adoptar medidas legales. De esta manera, la información personal no será procesada ilegalmente.
Principio de legitimidad: El procesamiento de información personal debe ser legítimo. El procesador no debe procesar información personal a través de métodos desleales, como el engaño o sin el completo conocimiento del titular de la información.
Principio de calidad: Los procesadores de información personal deben garantizar la calidad de la información personal que procesan y evitar efectos adversos sobre los derechos e intereses personales debido a información personal inexacta e incompleta en combinación con la "Ley de Protección de Información Personal" y. nacional Basado en la práctica legal fuera de China, creo que cuando una plataforma de comercio electrónico transfronterizo maneja información personal, lo más importante para resumir es comprender dos puntos.
(1) Principio mínimo necesario
Este principio tiene principalmente los siguientes significados.
En primer lugar, debe tener una finalidad clara y razonable.
Debe haber un propósito para el procesamiento de información personal. No se puede recopilar primero sin conocer el propósito y sentir que existe una forma técnica. El propósito también debe ser claro y no deben utilizarse expresiones amplias y generales como "brindar mejores servicios" y "mejorar la experiencia del usuario".
Para las plataformas de comercio electrónico, su servicio funcional básico es "comprar bienes". El propósito de recopilar información personal generalmente incluye registrar usuarios, completar pedidos de productos, pago, entrega, brindar servicio al cliente y resolución de disputas, etc. .
Además, las plataformas de comercio electrónico y sus socios relevantes también brindarán servicios adicionales a los usuarios, que implican el procesamiento de la información personal de los usuarios. Al prestar estos servicios, el propósito debe ser claro. Por ejemplo, la "Política de privacidad de Tmall" establece que el comportamiento de procesamiento de Tmall "proporciona la información de su cuenta a terceros con su consentimiento por separado" con el fin de "permitirle registrar fácilmente cuentas de terceros o procesar transacciones de terceros". directamente", quedará más claro.
En segundo lugar, las actividades de procesamiento de información personal deben estar directamente relacionadas con el propósito del procesamiento.
"Directamente relacionado" significa que los comportamientos de procesamiento de información personal deben estar dentro del propósito del procesamiento y tener una gran relevancia.
Por ejemplo, si una plataforma les dice a los consumidores que ha recopilado información personal, como números de teléfonos móviles y direcciones, con el fin de entregar productos, pero les envía anuncios de otros productos en la plataforma, no está directamente relacionado con el propósito. de procesamiento.
En tercer lugar, minimizar.
Minimización significa que el procesamiento de información personal debe limitarse al alcance necesario para lograr un propósito específico. Puede recopilarse y procesarse, o no recopilarse ni procesarse cuando se recopila y procesa información personal. procesado, se recopilará y procesará lo menos posible. Simplemente úselo.
El artículo 5(6) del "Reglamento sobre el alcance de la información personal necesaria para tipos comunes de aplicaciones móviles de Internet" estipula que para las compras en línea, la información personal necesaria incluye:
1 Usuarios registrados Número de teléfono móvil;
2. Nombre, dirección, número de contacto del destinatario;
3. Información de pago como tiempo de pago, monto de pago, canal de pago, etc.
Para las plataformas de comercio electrónico generales, para lograr propósitos básicos de compras en línea, es suficiente obtener la información anterior del usuario. La información de ubicación del usuario, la información de la libreta de direcciones, etc. son datos personales que no son necesarios. para recoger.
Por supuesto, la información personal que las plataformas de comercio electrónico transfronterizos pueden recopilar no se limita a esto. Por un lado, debido a las particularidades del comercio electrónico transfronterizo, los usuarios deben proporcionar otra información, especialmente los requisitos de declaración aduanera de importación del comercio electrónico transfronterizo. Las plataformas de comercio electrónico transfronterizo deben obtener la tarjeta de identificación de los consumidores. información. Por otro lado, para brindar a los usuarios una gama más amplia de servicios, la plataforma también puede recopilar otra información personal con fines claros, legítimos y razonables y cumplir plenamente con sus obligaciones, como la notificación.
(2) Regla "Información-Consentimiento"
Información + Consentimiento son las reglas básicas para la protección de la información personal. Las plataformas deben prestar atención a los siguientes puntos.
Primero, apertura y transparencia.
Se refiere a divulgar las reglas de procesamiento de información personal y establecer claramente el propósito, método y alcance del procesamiento. Como plataforma de comercio electrónico transfronterizo, la forma más importante de lograrlo es formular una política de privacidad (o política de protección de información personal) y hacerla pública.
Las plataformas de comercio electrónico transfronterizo deben hacer lo siguiente:
1. La política de privacidad debe publicarse en un documento separado, en lugar de existir como parte del acuerdo de usuario, usuario. instrucciones y otros documentos.
2. Antes de que los usuarios utilicen el servicio, especialmente cuando la aplicación se ejecuta por primera vez, se les debe solicitar de manera proactiva que lean la política de privacidad a través de ventanas emergentes y otros métodos obvios.
3. La política de privacidad debe ser de fácil acceso. Después de que el usuario ingresa a la interfaz de funciones principal, puede acceder a la política de privacidad haciendo clic dentro de 4 veces (inclusive).
En segundo lugar, notificación + consentimiento
Al procesar información personal, las plataformas de comercio electrónico transfronterizos deben, en principio, cumplir con las reglas de notificación y consentimiento, y solo pueden procesar información personal después de notificar. y obtener el consentimiento del interesado de conformidad con la ley.
Al desarrollar aplicaciones, miniprogramas y diseñar páginas, las plataformas siempre deben prestar atención a qué información personal se procesa durante todo el proceso y si se sigue el proceso de "notificación + consentimiento". También debemos prestar atención al método de consentimiento. La "Ley de Protección de Información Personal" estipula que "si la información personal se procesa sobre la base del consentimiento individual, el consentimiento deberá ser otorgado de forma voluntaria y clara por el individuo con pleno conocimiento". "Aquí se requiere privacidad. Las políticas y otros contenidos que involucran información personal de los usuarios no pueden utilizar el método de verificación predeterminado para expresar su consentimiento.
Además, la "Ley de Protección de Información Personal" también estipula que al proporcionar información personal a terceros, procesar información personal sensible o proporcionar información personal en el extranjero, se debe obtener el consentimiento individual. El "consentimiento individual" requiere que el consentimiento en el escenario correspondiente se distinga de otros consentimientos, y que no pueda ocultarse en otros asuntos, y que el consentimiento o aceptación individual pueda obtenerse mediante una autorización general. Las cuestiones anteriores no pueden incluirse simplemente en los términos generales de privacidad cuando los usuarios se registran.
En tercer lugar, excepciones a la regla de notificación y consentimiento
La "Ley de Protección de Información Personal" también tiene disposiciones específicas sobre excepciones a la regla de notificación y consentimiento. En estas circunstancias, el consentimiento individual es válido. no es necesario. Por ejemplo, *** puede compartir información personal según lo requieran las autoridades administrativas y judiciales de conformidad con la ley y según sea necesario para cumplir con otras obligaciones legales. Es más probable que las plataformas de comercio electrónico transfronterizo utilicen "lo necesario para la celebración y ejecución de contratos en los que un individuo es parte".
Sin embargo, cabe señalar:
1. En este caso, aunque no se requiere el consentimiento, sí se debe cumplir con la obligación de notificar.
2. Aún existe controversia sobre la definición de "necesario para la ejecución del contrato", y faltan opiniones específicas sobre cómo aplicar excepciones a la regla de notificación y consentimiento en el comercio electrónico. . Se recomienda que al diseñar páginas y desarrollar funciones, especialmente para la información personal de usuarios individuales, como los consumidores, la plataforma siga utilizando "notificación + consentimiento" como proceso operativo básico para procesar información personal, y tenga cuidado de omitir los pasos relevantes. por ser necesarios para la ejecución del contrato.
En el caso de las plataformas, los comerciantes suelen encontrarse con el problema de obtener información personal de los consumidores para fines de marketing. Creo que proporcionar información del consumidor a los comerciantes constituye proporcionar información personal a un tercero. El marketing está obviamente más allá del alcance necesario para cumplir el contrato de compra de bienes, y se debe exigir a los consumidores que den su consentimiento por separado. De acuerdo con las normas y hábitos prácticos pertinentes, se recomienda informar de forma clara y separada sobre este asunto a través de ventanas emergentes y otros métodos, y exigir a los consumidores que hagan clic para aceptar individualmente. En la ventana emergente se debe informar claramente el nombre, información de contacto, finalidad del procesamiento, método de procesamiento, etc. del comerciante que obtuvo la información personal del consumidor. Como se mencionó anteriormente, el propósito del procesamiento aquí debe indicarse completa y claramente. En cuanto a cómo evitar que el proceso de consentimiento por separado sea demasiado rígido y cause disgusto entre los consumidores, será una prueba para los gerentes de producto de las empresas de plataformas.
2. Información personal sensible
La información personal sensible se refiere a información personal que, una vez filtrada o utilizada ilegalmente, puede fácilmente causar que se infrinja la dignidad de una persona física o los derechos personales y personales. la seguridad de la propiedad esté en peligro, incluida la identificación biométrica, creencias religiosas, identidades específicas, salud médica, cuentas financieras, paradero y otra información, así como información personal de menores de catorce años.
La "Especificación de seguridad de la información personal de la tecnología de seguridad de la información" (GB/T 35273-2020) enumera información personal confidencial con más detalle:
Las plataformas de comercio electrónico transfronterizo manejan información personal confidencial información Tenga en cuenta:
1. Si no puede recopilarla, no la recopile. Si no es absolutamente necesario, trate de no proporcionársela a otros. Según la normativa, la protección de la información personal sensible es más estricta y los requisitos de procesamiento son bastante engorrosos. Las empresas deben implementar cifrado y otras medidas de seguridad, realizar evaluaciones de impacto de la protección de la información personal con anticipación y formular los correspondientes sistemas de gestión interna y procedimientos operativos.
2. Se debe obtener el consentimiento individual para el procesamiento de información personal sensible. Para las plataformas de comercio electrónico transfronterizo, la información personal sensible que debe estar involucrada es la información de la tarjeta de identificación del consumidor. Al recopilar información de la tarjeta de identificación, es mejor tener una opción separada para notificación y confirmación.
3. Evaluación de Impacto de la Protección de Información Personal
La "Ley de Protección de Información Personal" estipula las circunstancias legales y los contenidos principales de la evaluación de impacto de la protección de información personal. Según la normativa, es una obligación legal realizar una evaluación de protección de datos personales. En cualquiera de las siguientes situaciones, los procesadores de información personal deben realizar una evaluación del impacto de la protección de la información personal con anticipación y registrar la situación del procesamiento:
(1) Procesamiento de información personal confidencial;
( 2) Usar información personal para la toma de decisiones automatizada;
(3) Encomendar el procesamiento de información personal, proporcionar información personal a otros procesadores de información personal y revelar información personal;
( 4) Transferir información personal al extranjero Proporcionar información personal;
(5) Otras actividades de procesamiento de información personal que tengan un impacto significativo en los derechos e intereses personales.
Estas situaciones suelen darse en plataformas de comercio electrónico transfronterizas.
La ley estipula que la evaluación del impacto de la protección de la información personal debe incluir los siguientes contenidos:
(1) Si el propósito y el método de procesamiento de la información personal son legales, legítimos y necesarios;
(2) Impacto en los derechos personales y riesgos de seguridad;
(3) Si las medidas de protección tomadas son legales, efectivas y proporcionales al grado de riesgo.
No existen restricciones estrictas sobre los sujetos que pueden realizar una evaluación del impacto de la protección de la información personal. La plataforma en sí tiene la capacidad profesional y puede realizarla por sí sola. Si cree que no tiene la capacidad o los medios para realizar su propia evaluación, también puede confiar a una agencia externa, como un bufete de abogados o una empresa de consultoría, para que realice su propia evaluación.
4. Exportación de datos
¿Qué es la exportación de datos? Según las leyes y regulaciones pertinentes y la declaración de la persona a cargo de la Administración del Ciberespacio de China, las actividades de exportación de datos en el Los "Métodos de Evaluación" y otras regulaciones incluyen principalmente:
1. Los procesadores de datos transferirán y almacenarán los datos recopilados y generados durante las operaciones nacionales en el extranjero.
2. Los datos recopilados y generados por el procesador de datos se almacenan dentro del país y pueden ser accedidos o recuperados por instituciones, organizaciones o individuos en el extranjero.
Las plataformas de comercio electrónico transfronterizo nacionales proporcionan datos a comerciantes extranjeros, o los datos recopilados por empresas extranjeras que acceden a plataformas de comercio electrónico transfronterizo nacionales se clasifican como exportación de datos.
La "Ley de Protección de Información Personal" estipula vías de cumplimiento para la exportación de información personal al extranjero. Si una plataforma realmente necesita proporcionar información personal en el extranjero, puede cumplir con los requisitos de cumplimiento a través de las siguientes cuatro vías.
(1) Pasar la evaluación de seguridad;
(2) Realizar la certificación de protección de información personal
(3) Celebrar un contrato con el destinatario en el extranjero; de conformidad con el contrato estándar;
(4) Otras condiciones estipuladas por las leyes, reglamentos administrativos o el departamento nacional del ciberespacio.
Estos caminos no son paralelos, sino que tienen requisitos secuenciales. Para las plataformas de comercio electrónico transfronterizo, primero debe comparar los "Métodos de evaluación" para determinar si se encuentra dentro del alcance de la evaluación de seguridad.
De acuerdo con las disposiciones de los "Métodos de evaluación", las siguientes situaciones requieren una evaluación de seguridad:
(1) El procesador de datos proporciona datos importantes al extranjero;
>(2) Operadores de infraestructura de información crítica;
(3) Los procesadores de datos que manejan la información personal de más de 1 millón de personas proporcionan información personal en el extranjero;
(4) Autodatos los procesadores que han proporcionado información personal de 100.000 personas o información personal sensible de 10.000 personas a países extranjeros desde el 1 de enero del año pasado han proporcionado información personal en el extranjero;
(5) Otros estipulados por la situación del departamento nacional de ciberespacio.
Las plataformas de comercio electrónico transfronterizo deben hacer un inventario de todas las situaciones relacionadas con la exportación de datos y hacer estadísticas sobre si la cantidad de información personal involucrada cumple o se acerca a los estándares anteriores. Si una empresa cae dentro del alcance de una evaluación de seguridad, debería completar la evaluación correspondiente antes de finales de febrero del próximo año.
Si la empresa no está dentro del alcance de exigir una evaluación de seguridad, puede realizar actividades de salida de datos mediante la realización de una certificación de protección de información personal y la celebración de un contrato con un destinatario extranjero de acuerdo con un contrato estándar. En cuanto a qué método adoptar, no existe ningún requisito obligatorio. Depende de la empresa elegir en función del costo y la conveniencia.
Actualmente se están formulando paulatinamente las normas operativas específicas para estos dos métodos. El 4 de noviembre de 2022, la Administración Estatal de Regulación del Mercado y la Oficina Estatal de Información de Internet promulgaron recientemente las "Reglas de implementación de la certificación de protección de información personal" para promover aún más la implementación efectiva de la certificación de protección de información personal. El "Contrato estándar para la transferencia de información personal al exterior" es actualmente sólo un borrador para comentarios y aún no existe un texto oficial de implementación. Sin embargo, al firmar un contrato con un empresario extranjero, puede consultar el contenido del "Reglamento estándar de contrato para la transferencia de información personal al extranjero (borrador para comentarios)" para estipular las disposiciones pertinentes para la protección de la información personal.
_Información de contacto:
Gong Zhuo es abogado en Beijing Huacheng (Shanghai) Law Firm
Tiene más de diez años de experiencia en la práctica legal aduanera, y sus principales áreas de práctica son: Asuntos jurídicos aduaneros y defensa penal.
Ha realizado trabajos de defensa en muchos casos penales importantes de contrabando y ha trabajado como asesor legal de muchas empresas reconocidas, brindándoles servicios legales especiales. Los artículos profesionales que ha escrito han sido publicados muchas veces en la revista China Customs, la Asociación de Investigación de Derecho Aduanero, la Asociación de Pesca de China, etc.
Teléfono (WeChat): 18964028223____