适用场景
面向所有涉及处理个人信息(包括员工、客户、用户信息)并计划或正在向境外提供产品或服务、或在境外运营的中国出海企业,尤其是在业务启动、产品设计、数据跨境传输等关键阶段。
核心要点
1. 法律适用范围广泛,具有“长臂管辖”效力
《个人信息保护法》不仅适用于在中国境内进行的个人信息处理活动,也适用于在境外向境内自然人提供产品或服务,或分析、评估境内自然人行为的情形。这意味着,即使企业主体在境外,只要业务涉及中国境内个人,就必须遵守该法,并可能需要在境内设立专门机构或指定代表。
2. 处理个人信息需遵循六大基本原则
处理个人信息必须遵循合法、正当、必要、诚信、目的明确与直接相关、公开透明等核心原则。企业不得过度收集信息,处理目的必须明确合理,且需以清晰易懂的方式向个人公开处理规则。这些原则是评估所有数据处理活动合规性的基石。
3. 确立多元化的个人信息处理法律基础
处理个人信息的合法性并非仅依赖于个人“同意”。法律还规定了履行合同所必需、实施人力资源管理、履行法定义务等共七项合法基础。企业需准确识别每项处理活动对应的法律基础,这直接影响合规路径的设计(如是否需要获取同意)。
4. 跨境传输数据需满足严格条件与路径要求
向境外提供个人信息面临严格监管。企业需履行告知并获取单独同意、进行安全影响评估等通用义务。此外,关键信息基础设施运营者和处理个人信息达到规定数量的企业,必须将数据存储在境内,出境需通过国家网信部门的安全评估;其他企业则可通过专业机构认证或签订标准合同等路径实现合规传输。
5. 企业需承担系统性的合规管理义务
企业不仅是数据处理者,更是责任承担者。法律要求企业建立全面的合规体系,包括指定负责人、制定内部管理制度、对个人信息进行分类管理、采取加密等安全技术措施、定期进行安全审计与培训、制定应急预案等,以落实可问责性原则。
实务建议
- 立即开展数据映射:全面梳理企业收集、存储、使用、传输、删除的个人信息类型、处理目的、法律基础、涉及的系统及第三方,建立数据资产清单。
- 审查并更新隐私政策:确保隐私政策内容真实、准确、完整,明确告知处理者信息、处理目的方式、保存期限、个人权利行使方式等,特别是涉及跨境传输、敏感信息处理时需突出提示。
- 建立有效的同意机制:确保获取个人同意(尤其是“单独同意”)是在个人充分知情、自愿的前提下进行,并提供便捷的撤回同意渠道。不得因用户不同意或撤回同意而拒绝提供核心服务。
- 设计并落实跨境传输合规路径:根据企业是否属于关键信息基础设施运营者或处理数据量是否达标,选择对应的合规路径(如安全评估、保护认证、标准合同),并提前准备所需材料与合同文本。
- 建立个人权利响应机制:设立便捷的渠道(如在线申请入口、专用邮箱),并制定内部流程,确保能够及时响应个人的查阅、复制、更正、删除、撤回同意等请求。
- 进行个人信息保护影响评估:在处理敏感信息、进行自动化决策、数据跨境传输等高风险活动前,必须开展评估,分析风险并采取相应保护措施,评估报告至少保存三年。
- 强化对第三方合作方的管理:在与供应商、合作伙伴等共享或委托处理数据时,通过合同明确双方权利义务,对其数据保护能力进行审核,并持续监督其处理活动。
- 任命个人信息保护负责人:若处理个人信息达到规定数量,必须指定负责人并公开其联系方式,同时向监管部门报备。负责人应负责统筹内部合规体系建设与监督。
风险提示
- 误区:认为只要用户点击“同意”就万事大吉。警告:同意必须真实、自愿、明确,且不能捆绑授权。对于敏感信息处理、数据跨境等场景,需获取“单独同意”,设计上需与其他授权区分开。
- 误区:将中国境外的用户数据直接传输至境外服务器存储或处理。警告:若用户是境内自然人,即使其在境外使用服务,其个人信息处理活动仍可能受《个人信息保护法》管辖,需满足跨境传输要求。
- 误区:过度收集“越多越好”的数据以备未来之需。警告:收集个人信息必须遵循“最小必要”原则,仅收集与实现产品功能直接相关的最少类型和数量信息,保存期限也应为实现目的所必需的最短时间。
- 注意事项:使用自动化决策(如算法推荐、用户画像)时,需保证决策透明和结果公平公正,避免“大数据杀熟”,并提供非个性化选项或便捷的拒绝方式。
- 注意事项:处理已公开的个人信息(如从公开渠道获取)并非绝对自由,需在合理范围内进行,若个人明确拒绝或处理对其权益有重大影响,仍需另行取得同意。
- 注意事项:大型互联网平台企业责任更重,需建立独立监督机构、制定平台规则管理平台内经营者、定期发布社会责任报告,履行更高的个人信息保护义务。