适用场景
所有在业务中处理中国境内自然人个人信息的出海企业,无论其业务运营在境内还是境外,尤其是在产品开发、用户运营、市场营销等环节涉及用户数据收集、使用、跨境传输的企业。
核心要点
1. 广泛的域外适用效力
《个保法》不仅适用于在中国境内的数据处理活动,也适用于在境外处理中国境内自然人个人信息的行为,只要其目的是向境内自然人提供产品或服务,或分析评估境内自然人行为。此类境外处理者需在中国境内指定代表。
2. 严格的个人信息处理原则与规则
企业处理个人信息必须遵循合法、正当、必要、诚信、目的明确、最小必要、公开透明等核心原则。处理活动需有合法性基础,最常见的是取得个人同意,但人力资源管理、履行合同等特定情形下可豁免同意。处理敏感个人信息(如生物识别、金融账户、未成年人信息等)需取得单独同意并采取更严格保护措施。
3. 个人信息跨境传输的合规门槛
向境外提供个人信息需满足特定条件之一,如通过国家网信部门安全评估、进行个人信息保护认证或签订标准合同。关键信息基础设施运营者和处理个人信息达到规定数量的处理者,原则上需境内存储,确需出境的必须通过安全评估。跨境前还需向个人告知详情并取得单独同意。
4. 强化个人信息主体权利与处理者义务
法律赋予个人知情、决定、查阅、复制、删除、可携带、拒绝自动化决策等一系列权利,企业必须建立便捷的受理机制。同时,企业被赋予多项合规管理义务,包括制定内部管理制度、指定保护负责人、进行合规审计、对高风险活动进行事前风险评估、采取安全措施防止数据泄露等。
5. 严厉的法律责任与监管趋势
违法处理个人信息或未履行保护义务,将面临高额罚款(最高可达五千万元或上年度营业额的5%)、责令停业、吊销许可等处罚,并可能被记入信用档案。监管机构将持续加强对App等产品的测评与执法,重要互联网平台还需承担额外的平台治理责任。
实务建议
- 立即开展数据映射:全面梳理企业业务中个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期场景,识别数据流和合规风险点。
- 更新隐私政策与同意机制:根据法律要求修订隐私政策,确保告知内容完整、透明、易懂。优化用户同意流程,对敏感信息处理、跨境传输等场景设置清晰的单独同意环节。
- 建立跨境传输合规路径:评估向境外提供个人信息的必要性,并根据自身情况(如是否属于关键信息基础设施运营者、处理数据量等)选择并落实安全评估、认证或标准合同等合规路径。
- 完善内部管理制度:任命个人信息保护负责人,制定并落实个人信息分类分级、安全事件应急、合规审计、员工培训等内部管理制度。对自动化决策、处理敏感信息等高风险活动进行事前影响评估。
- 搭建个人权利响应机制:建立便捷的线上渠道,确保能够及时响应个人提出的查阅、复制、更正、删除、撤回同意、拒绝自动化决策等权利请求。
风险提示
- 误区:认为公司注册在境外或服务器在境外就不受《个保法》管辖。事实:只要业务面向中国境内用户,就可能触发域外适用条款,必须合规。
- 误区:将用户协议中的“一揽子”同意视为处理所有个人信息的合法依据。事实:处理敏感信息、进行数据跨境等特定场景必须获取单独、明确的同意。
- 注意事项:避免“过度收集”,收集的个人信息类型和范围必须与直接的产品或服务目的严格相关,并坚持最小必要原则。
- 注意事项:委托第三方处理或向第三方提供个人信息时,必须签订协议明确双方责任,并进行有效监督,不能“一托了之”。
- 注意事项:使用人脸识别等生物识别技术或在公共场所安装采集设备时,必须有明确的公共安全目的并设置显著提示,严格限制数据用途。