China - Nova directriz sobre a coleta e uso de informações pessoais por meio de aplicativos móveis (APPs)

A diretriz é um documento legalmente aplicável, semelhante ao regulamento da legislação dos E.U.A. No entanto, não está claro sobre, a que operadores de aplicativos a diretriz se aplica[...]

China - Nova directriz sobre a coleta e uso de informações pessoais por meio de aplicativos móveis (APPs)

Nova directriz sobre a coleta e uso de informações pessoais por meio de aplicativos móveis.

O presente documento é uma actualização e refere-se ao post, ‘Um olhar sobre o padrão nacional cybersecurity da china’, de Maio de 2019. 

 

A 30 de dezembro de 2019, a Administração do Ciberespaço da China, o Ministério da Indústria e Tecnologia da Informação, o Ministério da Segurança Pública e a Administração do Estado para Regulamentação do Mercado publicaram em conjunto a Directriz sobre a Determinação da, ‘Coleta Ilegal de Aplicativos e Uso de Informações Pessoais’ (diretriz), para facilitar a implementação da Lei de Cibersegurança da China (CSL), que entrou em vigor a 1 de junho de 2017 e se tornou a primeira lei a nível nacional a abordar a segurança cibernética e a proteção da privacidade de dados. A diretriz fornece referências para que as agências de aplicação da lei chinesas identifiquem a coleta ilegal de aplicativos e o uso de informações pessoais servindo igualmente como orientação para que os operadores de aplicativos conduzam o auto-exame e auto-correção.

 

Exigibilidade e aplicabilidade

A directriz é um documento legalmente aplicável, semelhante ao regulamento da legislação dos EUA. Não está totalmente claro, entretanto, a quais operadores de aplicativos a directriz se aplica, uma vez que nenhuma menção no documento de jurisdição pode ser encontrada. Na prática, está claro que os operadores de aplicativos com base na China estão sujeitos à directriz. Além disso, é comumente reconhecido que as multinacionais que coletam informações pessoais usando servidores localizados dentro do território chinês por meio de aplicativos estão sujeitas à CSL e à directriz, mesmo se a empresa tiver sede fora da China. Ainda não está claro, entretanto, se a CSL e a diretriz se aplicam a operadores de aplicativos localizados inteiramente fora da China que coletam informações sobre cidadãos chineses.

 

Comportamentos Proibidos

A directriz identifica seis categorias de comportamentos proibidos relacionados à coleta e uso de informações pessoais por meio de aplicativos (que são sub-divididos em 31 subcategorias). As seis categorias de comportamentos proibidos são:

 

  • não divulgação das regras de coleta e uso;
  • falha em declarar expressamente a finalidade, método e escopo da coleta e uso de informações pessoais;
  • coletar e usar informações pessoais sem o consentimento dos usuários;
  • coleta de informações pessoais não relacionadas aos serviços prestados e em violação ao princípio da necessidade;
  • fornecer informações pessoais a terceiros sem o consentimento dos usuários; e
  • falha em (1) fornecer a função de excluir ou corrigir informações pessoais de acordo com a lei ou (2) anunciar informações, como canais para fazer reclamações ou agir como denunciante.

 

No entanto, algumas ambiguidades podem ser encontradas no que respeita à colecta de, ‘informações pessoais’ previstas no código cívil.   Consulte o post, ‘Privacidade e proteção de dados no código civil chinês[…]’, de 28 de maio de 2020.

 

Aviso e consentimento

A directriz é amplamente baseada numa estrutura de notificação e consentimento.

 

Aviso prévio

No geral, a directriz exige que os operadores de aplicativos notifiquem claramente os usuários antes de coletar as suas informações pessoais. Os operadores de aplicativos devem formular uma política de privacidade clara contendo regras para coleta e manuseio de informações pessoais, devendo fazer uso de janelas pop-up ou outros métodos visíveis para solicitar aos usuários que leiam a política de privacidade ao usar o aplicativo pela primeira vez.

A directriz também exige que os operadores de aplicativos especifiquem a finalidade, o método e o escopo das informações pessoais coletadas ou usadas pelos aplicativos (incluindo código de terceiros ou plug-ins comissionados ou incorporados no aplicativo). Os operadores devem notificar os usuários sobre quaisquer alterações em tal propósito, método ou escopo, como, por exemplo, atualizando e lembrando os usuários de ler a política de privacidade.

Além disso, a diretriz estabelece alguns requisitos com relação aos métodos de notificação aos usuários de aplicativos, incluindo a proibição do uso de terminologia confusa nas políticas de privacidade e a exigência de que os operadores de aplicativos forneçam versões chinesas simplificadas das suas políticas de privacidade. Por fim, a diretriz inclui requisitos quanto à acessibilidade das políticas de privacidade, exigindo que esses documentos estejam a menos de quatro cliques da interface principal do aplicativo.

 

 

Consentimento

A directriz exige que os operadores obtenham o consentimento expresso dos usuários antes de coletar informações pessoais por meio de um aplicativo. No entanto, tambêm proíbe uma série de atividades relacionadas a, ‘como obter esse consentimento’, incluindo:

 

  • interromper o uso normal do aplicativo pelos usuários, solicitando frequentemente que eles dêem consentimento;
  • coletar informações pessoais fora do escopo de autorização dos usuários;
  • configurar o aplicativo para que o usuário concorde com a política de privacidade por padrão;
  • alterar o status das permissões de configuração dos usuários para coletar informações pessoais sem o consentimento dos usuários; e
  • utilizar as informações pessoais dos usuários e algoritmos para enviar informações direcionadas, não fornecendo uma opção para fornecer informações não direcionadas.

Os operadores de aplicativos também devem fornecer aos usuários canais e métodos para retirar o consentimento para coletar informações pessoais e devem ser capazes de corrigir e excluir informações pessoais ou cancelar o registro de contas de usuários sem definir condições desnecessárias ou irracionais.

 

Necessidade

A directriz também estabelece um princípio de necessidade para controlar a coleta de informações pessoais. De acordo com esse princípio, os tipos de informações pessoais coletadas - ou as permissões do aplicativo ativadas para coletar informações pessoais - devem estar "relacionadas" à função de negócios existente. Além disso, os operadores de aplicativos não podem se recusar a fornecer funções de negócios aos usuários com base no facto de que os usuários não concordaram na coleta de informações "desnecessárias" ou ativar permissões "desnecessárias". Na prática, resta saber como esse princípio da necessidade será interpretado ou aplicado.

 

Algumas ambiguidades permanecem

Embora a directriz pareça relativamente clara e completa em muitos aspectos, existem algumas áreas de ambiguidade. Além da questão da aplicabilidade aos operadores de aplicativos localizados fora da China, conforme descrito acima, existem questões sobre que procedimentos as operadoras devem tomar depois de fazer as alterações necessárias nas suas políticas de privacidade. Conforme observado acima, a directriz exige que as operadoras atualizem as políticas de privacidade para refletir essas mudanças e lembrem os usuários de ler a política atualizada. No entanto, não está claro se os operadores do aplicativo devem obter o consentimento dos usuários para a política alterada antes de continuar a coletar informações ou se simplesmente aconselhá-los a ler as alterações é suficiente. A ênfase no consentimento pode sugerir que os autores preferem que os operadores obtenham um novo consentimento, mas a própria linguagem da diretriz sugere que tal não é necessário. Ambiguidades como essas precisam de interpretação adicional ou de ações coercitivas feitas pelas autoridades judiciais e administrativas chinesas.

 

Principais vantagens

A directriz reflete o esforço mais recente da China para regulamentar o uso de informações pessoais de usuários chineses. Os operadores de aplicativos devem rever cuidadosamente as suas políticas de privacidade e outras regras para a coleta de informações pessoais por forma a garantirem que estão em conformidade com os requisitos detalhados da directriz. Como as ambiguidades são resolvidas com o tempo, as empresas devem monitorar continuamente para uma melhor intrepetação de como a directriz é aplicada na China e ajustar os seus próprios esforços de conformidade de acordo com esta.

 

 

@RJCS

_______________________

 

 

Referências:

Aviso sobre a emissão dos "Métodos para identificar o acto de coleta e uso de informações pessoais em violação das leis e regulamentos de aplicativos"

http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm

 

Legislação da República Popular da China:

http://www.npc.gov.cn/englishnpc/c2763/list.shtml

 

Tecnologia de segurança da informação Especificação de segurança de informações pessoais:

http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=4FFAA51D63BA21B9EE40C51DD3CC40BE

 

Interpretação do Supremo Tribunal Popular e da Suprema Procuradoria do Povo sobre Diversas Questões Relativas à Aplicação da Lei no Tratamento de Casos Criminais de Infração de Informações Pessoais de Cidadãos:

https://www.spp.gov.cn/xwfbh/wsfbt/201705/t20170509_190088.shtml

 

Aviso do Gabinete de Informação da Internet sobre Consulta Pública sobre as "Medidas para Avaliação de Segurança na Divulgação de Informações Pessoais (Rascunho para Comentário)":

http://www.cac.gov.cn/2019-06/13/c_1124613618.htm

 

MIIT, a circular sobre como fazer um bom trabalho na inspeção administrativa de segurança de rede nas indústrias de telecomunicações e Internet, 2019:

http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057729/c6983820/content.html

 

MIIT, A administração de comunicações de Xangai notificou quatro empresas de Internet que a implementação dos requisitos de segurança de rede era inadequada:

http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057733/c6254778/content.html

 

Notificação MPS de lançamento da campanha 2018 'Net Action':

https://www.mps.gov.cn/n2254536/n2254544/n2254552/n6422073/index.html

 

Notificação MPS de casos típicos de lançamento da campanha 'Nova Acção' 2019:

https://www.mps.gov.cn/n2254536/n2254544/n2254552/n6528162/index.html

 

 

___________________

Posts relacionados:

 

Nova diretriz sobre a coleta e uso de informações pessoais por meio de aplicativos móveis:

https://www.republicadireito.com/blog/ccc-directriz-app

 

Privacidade e proteção de dados no código civil chinês:

https://www.republicadireito.com/blog/pd-ccc

 

Um olhar sobre o padrão nacional cybersecurity da china, de Maio de 2019:

https://www.republicadireito.com/blog/csl-china-gdpr