适用场景
适用于所有涉及个人信息收集、存储、使用、共享等处理活动的出海企业,尤其是有互联网产品或服务的企业,在产品设计、服务上线及日常运营阶段均需关注。
核心要点
1. 个人信息处理的“三维”逻辑框架
GB/T 35273规范以“区分功能、定性定量、过程管理”为核心逻辑,要求企业在处理个人信息时,首先明确业务功能(核心/附加),其次对信息进行定性定量分析(目的正当性、最小必要性、存储期限等),最后贯穿个人信息全生命周期进行标准化管理。
2. 明确“个人信息控制者”职责
规范引入“个人信息控制者”概念,强调其对个人信息处理目的和方式的决定权,而非所有权。这明确了企业在个人信息保护中的核心责任主体地位,要求其对数据处理活动负主要责任。
3. 精细化知情同意规则
规范细化了个人信息收集阶段的知情同意要求,区分了核心功能与附加功能、一般个人信息与个人敏感信息,并要求针对不同情况采取差异化的同意获取方式,特别是对个人敏感信息需获得明确授权同意。
4. 全生命周期合规管理
规范对个人信息的收集、存储、使用、委托处理、共享、转让、公开披露,乃至服务终止后的信息处理等各个环节都提出了具体的合规要求,确保企业在数据处理的每一个阶段都符合安全标准。
5. 第三方数据获取与合作责任
对于企业从第三方间接获取个人信息,或与第三方进行委托处理、共享、转让等合作时,规范要求企业进行必要的尽职调查,并明确了在这些多方关系中,个人信息控制者应承担的责任,包括对信息接收方安全能力的评估。
实务建议
- 细化产品功能与隐私政策:将产品或服务功能明确划分为核心功能和附加功能,并在隐私政策中清晰说明各功能所需收集的个人信息类型、目的及拒绝提供可能的影响。
- 构建多层次同意机制:针对一般个人信息可采用“默示同意”(Opt-Out)与“明示同意”(Opt-In)结合的方式;对于个人敏感信息,务必采取“明示同意”机制,如勾选确认框。
- 加强第三方合作尽职调查:在从第三方获取个人信息或与第三方进行数据共享、委托处理前,务必对数据提供方或接收方的合规能力、安全措施进行充分评估和审查。
- 建立数据生命周期管理制度:明确个人信息的存储期限,并制定服务终止后个人信息删除或匿名化的具体流程和技术措施,确保数据不再被收集和不当保留。
- 定期进行个人信息安全影响评估:对涉及个人信息处理的重大业务活动(如委托处理、共享、转让等)进行安全影响评估,识别并降低潜在风险。
风险提示
- 混淆“所有权”与“控制权”:错误地认为拥有个人信息所有权,可能导致忽视作为“控制者”应承担的保护责任。
- “一揽子”隐私政策失效:采用通用、模糊的隐私政策,或将所有功能捆绑要求用户一次性同意,可能被认定为未获得有效知情同意。
- 间接获取数据合规风险:即使个人信息来自第三方,控制者仍需承担验证来源合法性、确保原授权范围的责任,否则可能面临合规风险。
- 服务终止后数据处理不当:未能及时、彻底地删除或匿名化已终止服务用户的个人信息,可能导致数据泄露或违规留存的风险。
- 第三方合作连带责任:在委托处理或共享个人信息时,若未充分评估第三方安全能力,导致数据泄露或滥用,控制者可能需承担连带责任。