适用场景
适用于所有涉及收集、处理敏感个人信息,特别是进行跨境数据传输的中国出海企业,尤其是在医疗健康、生物科技、金融等高度监管行业,以及任何需要通过知情同意获取用户数据的企业。
核心要点
1. 全面告知义务的细化与落实
企业需在知情同意书中清晰披露个人信息处理者的完整名称、联系方式、处理目的、方式、信息种类及保存期限。同时,必须提供一个真实有效且能响应用户权利请求的联系渠道,避免使用模糊或不完整的表述。
2. 敏感个人信息处理的特殊考量
对于医疗健康数据等敏感个人信息,企业不仅要明确告知处理的必要性及其对个人权益可能产生的影响,还需注意措辞的温和性与解释性,以避免增加用户的抵触情绪,确保告知内容既符合法规要求又兼顾用户体验。
3. 个人信息转移与跨境提供的披露挑战
在向关联方、第三方处理者或境外机构转移个人信息时,企业需明确接收方的名称、联系方式、处理目的和方式。对于集团内部或大量境外供应商,可考虑提供统一查询链接或采取集团整体披露方式,但对境外接收方应尽可能详细披露。
4. “单独同意”机制的规范实施
针对敏感个人信息处理、向其他处理者转移以及跨境提供个人信息这三类情形,企业必须获得用户的“单独同意”。应设计清晰、易操作的同意获取方式(如勾选),并确保其与可选服务区分开来,明确其为核心服务开展的必要条件。
实务建议
- 在知情同意书中,完整列明公司全称和专门负责个人信息保护的联系方式(如专用邮箱或电话),并确保该联系方式能有效响应用户权利请求。
- 对于“未来研究”等处理目的,可参考GDPR的科学研究指南,在告知中保持合理程度的概括性,并持续关注国内监管细则。
- 个人信息种类披露应保持合理颗粒度,避免过于冗长,同时确保涵盖所有收集信息类型。
- 设计单独同意环节时,采用清晰的勾选框形式,并将其置于主同意签署区域附近,避免与非必要或可选服务混淆,并可适当说明其必要性。
- 对于集团内部或大量境外接收方,可考虑在知情同意书中提供一个指向详细接收方列表的网站链接,或以“集团内部关联公司”的概括性方式披露,并辅以内部管理制度确保合规。
风险提示
- 未能完整披露个人信息处理者信息,或提供的联系方式无效,可能导致用户无法行使权利,引发合规风险。
- 对敏感个人信息的告知过于生硬或缺乏解释,可能增加用户抵触情绪,影响业务开展和用户参与度。
- 在个人信息转移和跨境提供中,未能充分披露接收方信息,特别是境外供应商,可能面临监管机构的质疑和处罚。
- 将“单独同意”与可选服务混淆,或未能明确其对核心服务开展的必要性,可能导致同意无效,进而影响业务的合法性。
- 未建立有效的个人信息权利响应机制,导致用户请求无法及时处理,损害企业声誉并增加法律风险。