适用场景
适用于所有涉及个人信息处理的中国出海企业,尤其是在用户规模较大、涉及数据跨境传输、计划进行并购重组或向第三方提供个人信息的企业。在企业产品或服务上线前、运营中以及发生重大业务变动时,都需高度关注并落实相关合规要求。
核心要点
1. 数据安全事件的紧急报告与后续评估
针对涉及10万以上个人信息或重要数据的泄露、损毁、丢失事件,企业需在事发8小时内进行初步报告,并在事件补救完成后的5个工作日内提交详细的调查评估报告。
2. 并购重组中的个人信息承继与告知义务
企业在发生合并、分立等情况导致个人信息转移时,接收方需继续履行数据安全保护义务。若涉及100万以上个人信息,还需向市级主管机关进行告知。
3. 向第三方提供个人信息的严格要求
企业向第三方提供个人信息时,除了需告知用户接收方信息、处理目的和方式外,还需明确告知数据存储期限和地点,并与第三方签订协议明确责任,同时将相关同意记录和提供日志至少保存五年。
4. 个人信息处理规则与告知的全面性
企业在处理个人信息前,需以清晰、易懂、系统的方式公开展示处理规则,详细列明处理目的、方式、频率、类型、存储地点及期限,并明确告知用户行使各项权利的途径和方法,以及嵌入的第三方代码/插件信息。
5. 获取个人信息同意的必要性与举证责任
企业获取个人信息同意必须遵循“最小必要”原则,禁止强制、捆绑或诱导同意。对于敏感个人信息和未成年人信息,需获得单独同意。一旦同意有效性产生争议,举证责任将由数据处理者承担。
实务建议
- 建立并定期演练数据安全事件应急响应机制,确保能在规定时限内完成报告。
- 在企业并购、重组或分立过程中,将数据合规作为尽职调查和协议谈判的关键环节,明确数据承继方的数据安全保护责任。
- 与所有涉及个人信息共享的第三方签订详细的数据处理协议,明确双方权利义务、数据安全措施,并定期监督第三方的数据处理活动。
- 全面审视并更新用户隐私政策、服务协议,确保其中包含所有法律法规新增的告知事项,特别是关于第三方插件、数据存储期限和用户权利行使方式的详细说明。
- 设计精细化的用户同意获取界面和流程,避免一揽子同意,确保用户对不同服务或不同类型数据处理的同意是独立且明确的。
- 建立完善的个人信息处理日志和用户同意记录系统,确保记录保存至少五年,并能随时调取以应对可能的举证要求。
- 制定并执行个人信息删除和匿名化流程,确保在用户注销账户或数据不再必要时,能在15个工作日内完成处理,并对技术困难情况提供合理解释。
- 提供便捷的用户权利行使渠道,如自助查询、修改、删除等功能,并确保对用户提出的合理请求及时响应,不设置不合理障碍。
风险提示
- 报告时限风险:未能按规定时限完成数据安全事件报告,可能面临行政处罚。
- M&A合规盲区:在并购重组中忽视对数据合规的尽职调查,可能导致接收方继承未知的合规风险和巨额罚款。
- 第三方责任风险:对第三方数据接收方的监督不足,或合同约定不清晰,一旦第三方发生数据安全事件,原数据处理者可能承担连带责任。
- 告知不充分风险:隐私政策和用户协议未能涵盖所有法定告知事项,特别是对第三方插件、数据存储期限和用户权利行使方式的遗漏,可能被认定为违法处理。
- 同意无效风险:采取强制、捆绑或诱导方式获取用户同意,或未能对敏感信息、未成年人信息获取单独同意,可能导致同意无效,进而使数据处理行为违法。
- 举证责任倒置:在个人信息同意有效性争议中,企业需承担举证责任,若无法提供有效证据,将面临不利后果。
- 删除权响应滞后:未能在规定时限内响应用户的删除请求,或未提供合理解释和替代方案,将损害用户权益并面临合规风险。