A medida que las regulaciones se vuelven más estrictas, ¿cómo controlan los operadores de aplicaciones los puntos clave del cumplimiento de la protección de la información personal?

Nota del editor: A medida que las leyes y regulaciones de mi país relacionadas con la protección de la información personal mejoran cada vez más, la supervisión de las aplicaciones por parte de las autoridades reguladoras también se fortalece cada vez más. Los operadores de aplicaciones siempre deben prestar atención al desarrollo y los cambios de las leyes y regulaciones relevantes, mejorar el nivel de cumplimiento de la protección de la información personal en las aplicaciones y permitir que las aplicaciones sirvan mejor a los usuarios mientras protegen los derechos e intereses de los usuarios. "Internet Law Review" publicó hoy un artículo del abogado Liu Xinyu y su equipo, un experto especial, que brinda sugerencias para que los operadores de aplicaciones controlen los puntos clave del cumplimiento de la protección de la información personal desde seis aspectos. Según el "Informe de seguimiento y análisis sobre la recopilación y el uso ilegal de información personal por parte de aplicaciones" (en lo sucesivo, el "Informe") publicado por el Centro de coordinación de tecnología de respuesta a emergencias de la red informática nacional y la Asociación de seguridad del ciberespacio de China en diciembre de 2021, Las principales tiendas de aplicaciones de Android actuales de mi país Después de eliminar los duplicados, el número total de aplicaciones en los estantes es de 1,12 millones. La interfaz de visualización de información del centro de instalación de aplicaciones muestra que se han instalado múltiples aplicaciones principales más de 10 mil millones de veces. Se puede ver que las aplicaciones de aplicaciones móviles se han convertido en uno de los proveedores más importantes para que las personas obtengan servicios de Internet móvil en su vida diaria. Con el desarrollo de las aplicaciones, la escala de información personal recopilada por varias aplicaciones ha aumentado gradualmente y han surgido gradualmente los correspondientes riesgos de seguridad de la información personal. Los avisos de varias agencias reguladoras, como la Administración del Ciberespacio de China y el Ministerio de Industria y Tecnología de la Información, sobre aplicaciones que recopilan información personal en violación de las leyes y regulaciones, se suceden uno tras otro. Los operadores de aplicaciones no solo enfrentan medidas regulatorias como ser entrevistados por personas. departamentos pertinentes y que sus aplicaciones sean retiradas de los estantes, es posible que también deban lidiar con los problemas causados ​​por una posible opinión pública negativa. Por lo tanto, es necesario que los operadores de aplicaciones presten más atención a la protección de la información personal en las aplicaciones. En conjunto con la "Ley de Protección de Información Personal de la República Popular China" (en adelante, la "Ley de Protección de Información Personal"), el "Método para la identificación de la recopilación y el uso ilegal de información personal por parte de la aplicación" (en adelante, como el "Método de identificación") y otros relevantes De acuerdo con las leyes y regulaciones, así como los principales problemas descubiertos por las autoridades reguladoras en el proceso de llevar a cabo el trabajo de cumplimiento de la protección de la información personal de la aplicación, el autor recomienda que los operadores de la aplicación se centren en el siguiente cumplimiento puntos para garantizar que las aplicaciones sean legales y conformes. 01 Informar al sujeto de la información personal sobre el comportamiento de procesamiento y obtener el consentimiento El artículo 17 de la "Ley de Protección de Información Personal" estipula que antes de procesar información personal, los procesadores de información personal deberán informar la información personal de manera veraz, precisa y completa de manera visible y en forma clara. lenguaje claro y comprensible el nombre y la información de contacto del procesador de información personal, el propósito y método de procesamiento de la información personal, los tipos de información personal procesada, los métodos y procedimientos para la información personal sujeta a; ejercer los derechos previstos en esta ley, etc. En lo que respecta a las aplicaciones, la obligación de informar a los interesados ​​de los datos personales suele implementarse a través de políticas de protección de datos personales. En la práctica, todavía hay algunas empresas que no han formulado políticas de protección de información personal. Según las estadísticas del "Informe", todavía hay 6,7 aplicaciones sin políticas de privacidad en 2021. Combinado con el número total de aplicaciones en las principales tiendas de aplicaciones de Android en mi país, este número sigue siendo considerable. Dichos operadores de aplicaciones deberían rectificar esta situación. problema de manera oportuna. Al mismo tiempo, incluso si se ha formulado una política de protección de la información personal, eso no significa que se resolverán todos los problemas. En la práctica, el problema del establecimiento irregular de políticas de protección de la información personal también es un foco de atención de las autoridades reguladoras. Por ejemplo, el artículo 17 de la "Ley de Protección de Información Personal" aclara que "si un procesador de información personal notifica los asuntos especificados en el párrafo 1 mediante la formulación de reglas de procesamiento de información personal, las reglas de procesamiento deben hacerse públicas y ser fáciles de revisar y guardar". Por lo tanto, los operadores de aplicaciones no solo deben formular una política de protección de la información personal, sino que también deben hacerla pública para facilitar el acceso. En particular, no deben establecerse barreras de acceso, de lo contrario se podrían violar las regulaciones anteriores. Para conocer los estándares específicos de "fácil acceso y almacenamiento", los operadores de la aplicación pueden consultar las disposiciones pertinentes del "Método de determinación". De acuerdo con el "Método de reconocimiento", para evitar que sea difícil acceder o leer la política de protección de la información personal, los operadores de la aplicación deben hacer al menos dos cosas: Primero, después de que el sujeto de la información personal ingresa a la interfaz principal de la aplicación, hay no debe haber demasiadas operaciones para acceder a la política de protección de información personal en cuatro clics, en segundo lugar, el texto de la política de protección de información personal no debe ser demasiado pequeño, demasiado denso, de color demasiado claro, poco claro o la versión china simplificada de. No se debe proporcionar la política de protección de información personal.

Al mismo tiempo, cabe señalar que, de conformidad con las disposiciones de la "Ley de Protección de Información Personal", los operadores de aplicaciones deben obtener el consentimiento por separado del titular de la información personal al procesar información personal confidencial. En la práctica, algunos operadores de aplicaciones pueden exigir que los sujetos de información personal brinden un consentimiento por separado haciendo clic en una ventana emergente o verificando reglas de procesamiento de información personal confidencial por separado. Dado que el "consentimiento individual" también es una forma de "consentimiento", si es difícil obtener un consentimiento independiente en ciertos escenarios o tiene un mayor impacto en la experiencia del usuario, el operador de la aplicación también puede considerar utilizar el Artículo 13 de la "Protección de información personal". Ley" Se proporcionan otras bases jurídicas en lugar de "obtener el consentimiento por separado". 04 Establecer un mecanismo conveniente de aceptación y procesamiento El artículo 50 de la "Ley de Protección de Información Personal" estipula que "los procesadores de información personal deben establecer un mecanismo conveniente de aceptación y procesamiento para que las personas ejerzan sus derechos. Si rechazan la solicitud de un individuo para ejercer sus derechos. derechos, deberían explicar los motivos". En la actualidad, la mayoría de las aplicaciones han configurado dicho mecanismo y también publicarán la forma de cancelar la cuenta. Sin embargo, los sistemas y procesos en papel por sí solos no pueden garantizar que los operadores de aplicaciones cumplan plenamente con los requisitos de las leyes y regulaciones. Si los sistemas y procesos en sí son "convenientes" y si se han implementado y ejecutado en la práctica también son cuestiones de cumplimiento que merecen atención. . En la práctica judicial, algunos tribunales también creen que si un procesador de información personal no responde de manera oportuna a la solicitud de derechos de un usuario individual, incluso si ha formulado reglas de aceptación y procesamiento relativamente completas, todavía no se puede considerar que haya cumplido con los requisitos. Obligaciones bajo el artículo 50 de la Ley de Protección de Datos Personales. Por ejemplo, el operador de la aplicación verifica la autenticidad de la identidad del titular de la información personal como requisito previo para realizar una solicitud de derechos, pero no informa el método o canal de verificación específico ni publica la dirección de correo electrónico para aceptar solicitudes, pero no verifica; la solicitud de contenido por parte del usuario de manera oportuna, etc. Todo esto puede ser considerado por los tribunales o las autoridades reguladoras como incumplimiento de obligaciones legales. Entre los diversos derechos que disfrutan los titulares de información personal, el derecho a conocer el comportamiento del procesamiento de información personal es un derecho muy importante y, en cierta medida, también es la base para el ejercicio de otros derechos. Las autoridades reguladoras también conceden gran importancia a esto. En julio de 2022, la Administración de Comunicaciones de Shanghai decidió centrarse en inspeccionar “las aplicaciones de aplicaciones (incluidas las aplicaciones rápidas y las aplicaciones pequeñas) con más de 5 millones de descargas/instalaciones en el mercado nacional de aplicaciones únicas. formularios como programas)", uno de los puntos clave a comprobar es si la App ha establecido una "lista dual". La "lista doble" se originó a partir del "Aviso sobre la realización de acciones para mejorar la concientización sobre los servicios de información y comunicación" emitido por el Ministerio de Industria y Tecnología de la Información el 1 de noviembre de 2021. El aviso requiere que las empresas pertinentes establezcan una "lista de información personal recopilada". y una "lista de intercambio de información privada de terceros" "Lista de información", que enumera de manera concisa y clara la información básica de la información personal de los usuarios que la aplicación (incluido el kit de desarrollo de herramientas de software de terceros integrado SDK) ha recopilado/compartido. terceros. En base a esto, el autor entiende que además de cumplir con las obligaciones de notificación estipuladas en la "Ley de Protección de Datos Personales", los operadores de Apps también deben mostrar información relevante a los titulares de datos personales de acuerdo con los requisitos de la "Lista Doble" para que los datos personales Los interesados ​​pueden comprender los contenidos del procesamiento de información personal del operador de la aplicación y la afirmación oportuna de sus derechos. 05 Preste atención al cumplimiento de los datos del SDK. SDK generalmente se refiere al kit de desarrollo de software, que es un kit de herramientas de desarrollo de software. En pocas palabras, es una colección de documentos, ejemplos y herramientas relevantes que ayudan en el desarrollo de un determinado tipo de software de aplicación. Para las aplicaciones, para mejorar la eficiencia del desarrollo, un tercero puede desarrollar una determinada función. El proveedor de servicios externo encapsula el servicio en un kit de herramientas (es decir, SDK) para que lo utilicen los desarrolladores. El "Método de determinación" aclara que "una aplicación que no enumera uno por uno el propósito, método, alcance, etc. de la recopilación y el uso de información personal (incluidos terceros confiados o códigos y complementos integrados de terceros)" puede se considerará como "no recopilar y utilizar expresamente información personal". "Finalidad, método y alcance", lo cual es una conducta ilegal de procesamiento de información personal y debe conllevar la responsabilidad legal correspondiente.

El artículo 8 de las "Disposiciones Provisionales sobre la Protección y Gestión de Información Personal en Aplicaciones Móviles de Internet (Borrador para Comentarios)" aclara que "quienes utilicen servicios de terceros deberán formular reglas de gestión para indicar claramente el nombre, funciones, procesamiento de información personal reglas, etc. del proveedor de servicios externo de la aplicación". Contenido; se debe firmar un acuerdo de procesamiento de información personal con un proveedor de servicios externo para aclarar los derechos y obligaciones relevantes de ambas partes, y administrar y supervisar la información personal. las actividades de procesamiento de información y los riesgos de seguridad de la información del proveedor de servicios externo y los operadores de aplicaciones no han cumplido con sus obligaciones de supervisión. "Si la aplicación contiene un SDK que infringe los derechos e intereses de los sujetos de información personal, el operador de la aplicación puede ser "sujeto a publicidad negativa", perjudicando así la buena voluntad. En la práctica regulatoria, el Ministerio de Industria y Tecnología de la Información ha realizado recientemente múltiples notificaciones sobre SDK ilegales, lo que demuestra que esta cuestión también es un tema de interés para las autoridades reguladoras. Por lo tanto, el SDK es como un "arma de doble filo". Para proteger los derechos e intereses de los operadores de aplicaciones, el autor recomienda que los operadores de aplicaciones clasifiquen exhaustivamente todos los SDK a los que se ha conectado la aplicación e identifiquen el propósito y el método. y el propósito de los SDK conectados para recopilar y utilizar información personal. El alcance debe estar escrito en la política de protección de la información personal para dejarlo claro y obtener el consentimiento del titular de la información personal. Para los SDK con problemas expuestos por los medios y reportados por. supervisión, si su propia aplicación está conectada a dichos SDK, se tomarán medidas oportunas de acuerdo con la gravedad del problema, exigirá que dichos SDK rectifiquen dentro de un límite de tiempo, dejen de usarlos y otras medidas. 06 Protección de la información personal de los niños Las obligaciones de los operadores de aplicaciones de proteger la información personal de los niños también son una máxima prioridad. Según el artículo 8 del "Reglamento sobre la protección de la información personal de los niños en Internet", "los operadores de redes deben establecer reglas especiales de protección de la información personal de los niños y acuerdos de usuario, y designar una persona dedicada que será responsable de la protección de la información personal de los niños. " El autor recomienda que los operadores de aplicaciones manejen la información personal de los niños. Se deben establecer reglas de protección de la información personal y acuerdos de usuario separados para los niños. Al mismo tiempo, debido a que el artículo 28 de la "Ley de protección de la información personal" estipula que la información personal de menores de catorce años es información personal confidencial, por lo tanto, información personal El procesador debe obtener el consentimiento por separado del tutor del sujeto de la información personal antes de procesar dicha información personal, y debe tomar medidas de protección más estrictas para proteger la información personal de los niños, garantizar la seguridad personal de los niños y proteger los derechos e intereses legítimos de los niños. Durante el funcionamiento de la aplicación, los operadores de aplicaciones, especialmente los operadores de aplicaciones de tipo UGC (UserGeneratedContent), generalmente agregan etiquetas al contenido publicado por los usuarios para recomendarlo a otros usuarios que puedan estar interesados ​​en un determinado tipo de contenido. Es muy común en las operaciones de la aplicación, pero debe tenerse en cuenta que si el contenido involucra a niños, los riesgos relevantes deben considerarse de antemano, especialmente si dichos métodos causarán riesgos potenciales para la seguridad personal, la paz de la vida, etc. de los niños, o incluso Esto resulta en que la información personal sea utilizada por delincuentes para cometer delitos contra niños. Además de evitar que delincuentes "externos" obtengan la información personal de los niños en las aplicaciones, el personal "interno" de los operadores de aplicaciones también debería ser objeto de regulación. El artículo 15 del "Reglamento sobre la protección de la información personal de los niños en Internet" estipula que "los operadores de red deben establecer estrictamente permisos de acceso a la información basados ​​​​en el principio de autorización mínima para su personal y controlar el alcance de la información personal de los niños. Si el personal acceder a la información personal de los niños debe ser revisado y aprobado por la persona encargada de proteger la información personal de los niños o su administrador autorizado, se debe registrar la situación del acceso y se deben tomar medidas técnicas para evitar la copia y descarga ilegal de la información personal de los niños. "Por lo tanto, los operadores de aplicaciones no sólo necesitan configurar sistemas de control de acceso a la información personal de los niños, sino que también es necesario establecer un "personal de protección de la información personal de los niños" para aprobar y registrar las acciones de procesamiento relevantes para evitar accesos innecesarios y reducir aún más posibles riesgos para los niños. Lo anterior es un breve resumen del autor de algunos de los puntos de cumplimiento de las aplicaciones. A medida que las leyes y regulaciones de mi país relacionadas con la protección de la información personal mejoran cada vez más, la supervisión de las aplicaciones por parte de las autoridades reguladoras también se fortalece cada vez más. preste atención al desarrollo y cambios de las leyes y regulaciones relevantes para mejorar su cumplimiento. El nivel de cumplimiento de la protección de la información personal de la Aplicación permite que la Aplicación brinde un mejor servicio a los usuarios bajo la premisa de proteger los derechos e intereses de los usuarios.