¿Cómo se debe proteger la información personal o corporativa durante las transacciones de comercio electrónico transfronterizo?
El 1 de septiembre de 2022, las "Medidas de evaluación de la seguridad de la exportación de datos" (en adelante, las "Medidas") entraron en vigor oficialmente. Las "Medidas" estipulan que "si las actividades de retirada de datos realizadas antes de la implementación de estas Medidas no cumplen con las disposiciones de estas Medidas, la rectificación se completará dentro de los 6 meses a partir de la fecha de implementación de estas Medidas". El período de rectificación de medio año ha pasado la mitad.
En las importaciones minoristas de comercio electrónico transfronterizo, dado que una de las partes de la transacción está ubicada en el extranjero, la cuestión de la exportación de datos seguramente estará involucrada. Por ejemplo, bajo el modo de importación 9610, la entrega urgente no se puede realizar sin proporcionar la información de contacto y la dirección del consumidor en el extranjero. Como plataforma de comercio electrónico transfronterizo, si no ha realizado un trabajo de cumplimiento de la exportación de datos, debería llevar tiempo evaluar completamente si entra dentro del alcance de la evaluación de seguridad de la exportación de datos.
Además de la exportación de datos, la protección de la información personal y el cumplimiento de los datos también han sido el foco de atención nacional en los últimos años, y deberían ser el foco de las operaciones diarias de las plataformas de comercio electrónico transfronterizo. Según mi experiencia en el servicio de plataformas de comercio electrónico transfronterizo, hablaré sobre los puntos de cumplimiento de las plataformas de comercio electrónico transfronterizos en términos de información personal y seguridad de los datos. Cabe señalar que este artículo se basa únicamente en la experiencia personal y no es exhaustivo. Las cuestiones legales específicas aún requieren un análisis e investigación detallados.
1. Principios del procesamiento de información personal
Entre los datos recopilados y procesados por plataformas de comercio electrónico transfronterizas, la más importante y la que tiene mayor riesgo legal es la información personal de los consumidores. En el nivel legal de protección de información personal, el procesamiento de información personal incluye la recopilación, almacenamiento, uso, procesamiento, transmisión, suministro, divulgación y eliminación de información personal.
El Capítulo 1 de la "Ley de Protección de Información Personal" estipula los principios para el procesamiento de información personal, que en teoría es bastante diferente de otras leyes. Los principios pertinentes de protección de la información personal son a los que las plataformas de comercio electrónico transfronterizo deben prestar atención y considerar al procesar toda la información personal. En particular, la formulación de leyes y regulaciones de seguridad de datos e información personal en nuestro país aún está en sus inicios. Cuando no existan disposiciones legales y reglamentarias, la información personal debe manejarse de acuerdo con los principios pertinentes.
Entre ellos, algunos principios son obvios, tales como:
Principio de legalidad: Al procesar información personal, debemos cumplir estrictamente con las disposiciones de las leyes y reglamentos administrativos, adoptar métodos legales, y no procesará su información personal ilegalmente.
Principio de legalidad: El comportamiento de procesamiento de información personal debe ser legal, y los procesadores no deben procesar información personal por medios indebidos como el engaño o sin el completo conocimiento del titular de la información.
Principio de calidad: Los procesadores de información personal deben garantizar la calidad de la información personal que procesan y evitar efectos adversos sobre los derechos e intereses personales debido a información personal inexacta e incompleta. Combinando la Ley de Protección de Información Personal y las prácticas legales nacionales y extranjeras, creo que, como plataforma de comercio electrónico transfronterizo, al manejar información personal, lo fundamental es comprender dos puntos.
El principio de necesidad mínima
Este principio tiene principalmente los siguientes significados.
En primer lugar, debe haber un propósito claro y razonable.
El procesamiento de información personal debe tener un propósito, en lugar de simplemente recopilarla porque no sabes cuál es el uso y crees que existe una solución técnica. El propósito también debe ser claro y no deben utilizarse expresiones amplias y generales como “brindar mejores servicios” y “mejorar la experiencia del usuario”.
Para las plataformas de comercio electrónico, su servicio funcional básico es "comprar bienes". El propósito de recopilar información personal generalmente incluye registrar usuarios, realizar pedidos para comprar bienes, pago, entrega, brindar servicio al cliente y manejar disputas. , etc.
Además, la plataforma de comercio electrónico y sus socios relacionados también proporcionarán a los usuarios servicios adicionales que implican el procesamiento de la información personal de los usuarios. Al prestar estos servicios, el propósito debe ser claro. Por ejemplo, la política de privacidad de Tmall establece que el comportamiento de procesamiento de Tmall "proporciona la información de su cuenta a terceros con su consentimiento por separado", con el fin de "permitirle registrar fácilmente una cuenta de un tercero o iniciar sesión directamente en un tercero". Inicio de sesión tripartito", esto quedará más claro.
En segundo lugar, las actividades de procesamiento de información personal deben estar directamente relacionadas con el propósito del procesamiento.
“Directamente relacionado” significa que el procesamiento de información personal debe estar dentro del alcance del propósito del procesamiento y estar estrechamente relacionado.
Por ejemplo, si una plataforma informa a los consumidores que ha recopilado información personal, como números de teléfonos móviles y direcciones, con el fin de vender productos, pero envía anuncios de otros productos en la plataforma a los consumidores, esto no tiene relación directa con el propósito de tratamiento.
En tercer lugar, minimizar.
Minimización significa que el procesamiento de información personal debe limitarse a lo necesario para lograr el propósito específico. Cuando se pueda recopilar y procesar información personal, se debe recopilar y procesar lo menos posible.
El artículo 5(6) del "Reglamento sobre el alcance de la información personal necesaria para las aplicaciones comunes de Internet móvil" estipula que la información personal necesaria para las compras en línea incluye:
1. Número de teléfono móvil;
2. Nombre, dirección y número de teléfono del destinatario;
3. Información de pago, como tiempo de pago, monto del pago, canal de pago.
Para las plataformas de comercio electrónico en general, para lograr el propósito básico de comprar en línea, basta con obtener la información anterior de los usuarios. Información de ubicación del usuario, información de la libreta de direcciones, etc. No es necesario recopilar toda la información personal.
Por supuesto, la información personal que las plataformas de comercio electrónico transfronterizos pueden recopilar no se limita a esto. Por un lado, debido a las particularidades del comercio electrónico transfronterizo, los usuarios deben proporcionar otra información, especialmente los requisitos de declaración aduanera del comercio electrónico transfronterizo, y las plataformas de comercio electrónico transfronterizo deben obtener la identificación de los consumidores. información de la tarjeta. Por otro lado, para brindar a los usuarios una gama más amplia de servicios, la plataforma también puede recopilar otra información personal para fines claros, legales y razonables, y cumplir plenamente con sus obligaciones de notificación.
Regla "Información-Consentimiento"
La información y el consentimiento son las reglas básicas para la protección de la información personal. Las plataformas deben prestar atención a los siguientes puntos.
En primer lugar, sea abierto y transparente.
Se refiere a la divulgación de las normas de procesamiento de información personal, explicando el propósito, método y alcance del procesamiento. Como plataforma de comercio electrónico transfronterizo, el principal método de implementación es formular una política de privacidad (o política de protección de información personal) y hacerla pública.
Las plataformas de comercio electrónico transfronterizo deben:
1. La política de privacidad debe publicarse por escrito por separado, no como parte del acuerdo de usuario, las instrucciones del usuario y otros documentos. .
2. Antes de que los usuarios utilicen el servicio, especialmente cuando la aplicación se ejecuta por primera vez, se les debe solicitar que lean la política de privacidad a través de ventanas emergentes y otros métodos obvios.
3. Las políticas de privacidad deben ser fácilmente accesibles. Después de ingresar a la interfaz de funciones principal, los usuarios pueden ingresar la política de privacidad con 4 clics (inclusive).
2. Notificación y Consentimiento
Al procesar información personal, las plataformas de comercio electrónico transfronterizo deben, en principio, cumplir con las reglas de notificación y consentimiento, y solo después de notificar y obtener el consentimiento. del interesado de conformidad con la ley, podrá procesar información personal.
A la hora de desarrollar apps, miniprogramas y diseñar páginas, la plataforma siempre debe prestar atención a qué información personal se procesa durante todo el proceso y si se sigue el proceso de "informar y consentir". Cabe señalar también que la "Ley de Protección de Información Personal" estipula que "si un individuo acepta el procesamiento de información personal, deberá expresar voluntaria y claramente su consentimiento bajo la premisa de su pleno conocimiento". El requisito aquí requiere que no pueda aceptar involucrar al usuario en el contenido de la información personal, como las políticas de privacidad.
Además, la "Ley de Protección de Información Personal" también estipula que también se debe obtener el consentimiento individual al proporcionar información personal a terceros, procesar información personal sensible o proporcionar información personal en el extranjero. El "consentimiento individual" requiere que el consentimiento en el escenario correspondiente se distinga de otros consentimientos y no pueda ocultarse en otros asuntos. El consentimiento o aceptación individual puede obtenerse mediante una autorización general. Las cuestiones anteriores no pueden incluirse simplemente en los términos generales de privacidad cuando los usuarios se registran.
En tercer lugar, excepciones a la regla del consentimiento informado.
La “Ley de Protección de Datos Personales” también tiene disposiciones específicas sobre excepciones a la regla del consentimiento informado. En estos casos no se requiere el consentimiento individual. Por ejemplo, de conformidad con los requisitos realizados por las autoridades administrativas y judiciales de conformidad con la ley, y la necesidad de cumplir otras obligaciones legales, * * * disfruta de información personal. Es más probable que las plataformas de comercio electrónico transfronterizo utilicen "lo necesario para la celebración y ejecución de contratos en los que el individuo es parte".
Sin embargo, cabe señalar que:
1. En este caso, aunque no se requiere el consentimiento, sí se debe cumplir con la obligación de informar.
2. En la actualidad, todavía existe controversia sobre la definición de "necesario para la ejecución del contrato", y faltan opiniones específicas sobre cómo aplicar las excepciones a la regla de notificación y consentimiento. en el comercio electrónico. Se recomienda que al diseñar páginas y desarrollar funciones, especialmente para la información personal de usuarios individuales, como los consumidores, las plataformas sigan utilizando el "consentimiento informado" como proceso operativo básico para procesar información personal, y omitan cuidadosamente los pasos relevantes con el argumento de que necesitan realizar contratos.
En cuanto a los problemas que a menudo encuentra la plataforma, los comerciantes requieren acceso a la información personal de los consumidores para realizar marketing. En mi opinión, proporcionar información del consumidor a los comerciantes constituye proporcionar información personal a un tercero. El marketing obviamente excede el alcance necesario para cumplir el contrato de compra de bienes, y se debe exigir a los consumidores que den su consentimiento por separado. De acuerdo con las normas y prácticas pertinentes, se recomienda informar claramente este asunto por separado a través de una ventana emergente y exigir a los consumidores que hagan clic para aceptar por separado. En la ventana emergente, nombre, información de contacto, finalidad del procesamiento, método de procesamiento, etc. Los comerciantes que obtienen información personal de los consumidores deben ser informados claramente. Como se mencionó anteriormente, el propósito del tratamiento aquí debe quedar completamente claro. En cuanto a cómo evitar que el proceso de consentimiento personal sea demasiado rígido y cause disgusto entre los consumidores, será una prueba para los gerentes de producto de las empresas de plataformas.
En segundo lugar, información personal sensible
La información personal sensible se refiere a personas cuya dignidad personal, si se divulga o se utiliza ilegalmente, será fácilmente violada o la seguridad personal y de propiedad de una persona física se verá afectada. estar en peligro, incluida la identificación biométrica, creencias religiosas, identidades específicas, salud médica, cuentas financieras, paradero y otra información, así como información personal de menores de 14 años.
Las "Especificaciones de seguridad de la información personal de la tecnología de seguridad de la información" (GB/T 35273-2020) enumeran la información personal confidencial con más detalle:
Las plataformas de comercio electrónico transfronterizo manejan información personal confidencial en Al manejar información personal, tenga en cuenta:
1. Recopilela si puede y trate de no proporcionársela a otros a menos que sea absolutamente necesario. Según las leyes y reglamentos, la protección de la información personal confidencial es relativamente estricta y los requisitos de procesamiento también son engorrosos. Las empresas deben implementar medidas de seguridad como el cifrado, evaluar el impacto de la protección de la información personal con anticipación y formular los correspondientes sistemas de gestión interna y procedimientos operativos.
2. El procesamiento de información personal sensible debe obtener el consentimiento por separado del individuo. Para las plataformas de comercio electrónico transfronterizo, la información personal sensible que debe incluirse es la información de la tarjeta de identificación del consumidor. Es mejor tener opciones de notificación y confirmación separadas al recopilar información de la tarjeta de identificación.
En tercer lugar, evaluación del impacto de la protección de la información personal
La "Ley de Protección de la Información Personal" estipula las circunstancias legales y el contenido principal de la evaluación del impacto de la protección de la información personal. Según la normativa, es una obligación legal realizar una evaluación de protección de datos personales. En cualquiera de las siguientes situaciones, los procesadores de información personal deben realizar una evaluación del impacto de la protección de la información personal con anticipación y registrar la situación del procesamiento:
(1) Procesamiento de información personal confidencial;
( 2) )Usar información personal para la toma de decisiones automatizada;
(3) Encomendar el procesamiento de información personal, proporcionar información personal a otros procesadores de información personal y filtrar información personal;
(4) Proporcionar información personal en el extranjero;
(5) Otras actividades de procesamiento de información personal que tengan un impacto significativo en los derechos e intereses personales.
Las plataformas de comercio electrónico transfronterizo suelen implicar estas situaciones.
La ley estipula que la evaluación del impacto de la protección de la información personal debe incluir los siguientes contenidos:
(1) Si el propósito y el método de procesamiento de la información personal son legales, justos y necesarios;
p>
(2) El impacto sobre los derechos personales y los riesgos de seguridad;
(3) Si las medidas de protección tomadas son legales, efectivas y proporcionales al grado de riesgo.
No existen restricciones estrictas en los temas de evaluación del impacto de la protección de la información personal. La plataforma tiene sus propias capacidades profesionales y puede realizarla por sí sola. Si cree que no tiene la capacidad ni los medios para realizar una autoevaluación, también puede confiarla a una agencia externa, como un despacho de abogados o una empresa de consultoría.
Cuarto, salida de datos
¿Qué es la salida de datos? De acuerdo con las leyes y reglamentos pertinentes y la persona responsable de la Administración del Ciberespacio de China, las actividades de retirada de datos en leyes y reglamentos como las "Medidas de Evaluación" incluyen principalmente:
1. Procesar los datos recopilados y generados en operaciones nacionales. Transferencia y almacenamiento en el exterior.
2. Los datos recopilados y generados por el procesador de datos se almacenan en China y pueden acceder a ellos o recuperarlos instituciones, organizaciones o individuos extranjeros.
Los datos proporcionados por plataformas nacionales de comercio electrónico transfronterizo a comerciantes extranjeros, o los datos recopilados por empresas extranjeras que visitan plataformas nacionales de comercio electrónico transfronterizo, son todos exportaciones de datos.
La “Ley de Protección de Información Personal” estipula la vía de cumplimiento para la exportación de información personal. Si la plataforma necesita proporcionar información personal en el extranjero, puede cumplir con los requisitos de cumplimiento a través de las siguientes cuatro vías.
(1) Pasar la evaluación de seguridad;
(2) Realizar la certificación de protección de información personal
(3) Firmar un contrato con el destinatario en el extranjero; de conformidad con el contrato estándar;
(4) Otras condiciones estipuladas por las leyes, reglamentos administrativos o el departamento nacional del ciberespacio.
Estos caminos no son paralelos, sino que tienen requisitos prioritarios. En el caso de las plataformas de comercio electrónico transfronterizo, primero deben comparar y evaluar las medidas para determinar si entran dentro del alcance de la evaluación de seguridad.
De acuerdo con las disposiciones del método de evaluación, se requiere una evaluación de seguridad en las siguientes situaciones:
(1) El procesador de datos proporciona datos importantes en el extranjero;
(2) Operadores de infraestructura crítica de información;
(3) Los procesadores de datos que procesan la información personal de más de 6.543.800 personas proporcionan información personal en el extranjero;
(4) Desde junio del año anterior año Los procesadores de datos que han proporcionado información personal de 6,5438 millones de personas o información personal sensible de 6,5438 millones de personas en el extranjero desde el 0 de marzo han proporcionado información personal en el extranjero;
(5) Otras circunstancias especificadas por el departamento nacional de ciberespacio.
Las plataformas de comercio electrónico transfronterizo deben hacer un inventario de todas las situaciones relacionadas con la exportación de datos y contar si la cantidad de información personal involucrada cumple o se acerca a los estándares anteriores. Si la empresa cae dentro del alcance de la evaluación de seguridad, debería completar la evaluación correspondiente antes de finales de febrero del próximo año.
Si la empresa no entra dentro del alcance de la evaluación de seguridad, puede llevar a cabo actividades de salida de datos realizando una certificación de protección de información personal y firmando contratos con destinatarios en el extranjero de acuerdo con los contratos estándar. No existe ningún requisito obligatorio sobre qué método utilizar y las empresas elegirán en función del costo y la conveniencia.
Actualmente se están formulando paulatinamente las normas de funcionamiento específicas de estos dos métodos. El 4 de junio de 2022, 165438, la Administración Estatal de Regulación del Mercado y la Oficina Estatal de Información de Internet promulgaron recientemente las "Reglas de implementación de la certificación de protección de información personal" para promover aún más la implementación efectiva de la certificación de protección de información personal. En la actualidad, el contrato estándar de retiro de información personal solo se ha publicado para solicitar opiniones y no existe un texto de implementación formal. Sin embargo, al firmar un contrato con un inversor extranjero, puede consultar el contenido de las "Cláusulas contractuales estándar para la transferencia de información personal al extranjero (borrador para comentarios)" para estipular los términos relevantes para la protección de la información personal.
_Información de contacto:
Abogado Gong Zhuo de Beijing Huacheng (Shanghai) Law Firm
Cuenta con más de diez años de experiencia en derecho aduanero, principales áreas de práctica Aduanas asuntos legales y defensa penal.
Ha defendido muchos casos importantes de contrabando y ha trabajado como asesor legal de muchas empresas reconocidas, brindándoles servicios legales especiales. Sus artículos profesionales han sido publicados muchas veces por la revista "China Customs", la Asociación de Investigación de Derecho Aduanero y la Asociación de Pesca de China.
Teléfono (WeChat): 1896 4028223 _ _ _