适用场景
任何处理中国境内自然人个人信息的出海企业,无论其运营地是否在中国境内,特别是在向中国境内用户提供产品或服务、或分析评估其行为时,都需要关注并遵守本指南。
核心要点
1. 域外适用效力(“长臂管辖”原则)
中国《个人信息保护法(草案)》明确规定,即使个人信息处理活动发生在中国境外,只要目的是向中国境内自然人提供产品或服务,或分析评估其行为,该法就可能适用。境外个人信息处理者需在中国境内设立专门机构或指定代表,并向相关部门报备。
2. 多元化的个人信息处理合法性基础
与过去仅强调“同意”不同,草案提供了多项合法性基础,包括履行合同所必需、履行法定义务、应对突发公共卫生事件、保护自然人生命健康和财产安全等,为企业合规提供了更灵活的路径。
3. 严格的个人同意要求
个人信息处理需基于个人自愿、明确且充分知情的同意。对于处理敏感个人信息、向第三方提供、公开披露或进行自动化决策等特定情形,需获得单独同意或书面同意,且个人有权随时撤回同意。
4. 跨境个人信息传输规则
企业向境外提供个人信息,必须满足特定条件,包括通过国家网信部门的安全评估、获得专业机构的个人信息保护认证,或与境外接收方签订标准合同等。关键信息基础设施运营者和处理达到规定数量个人信息的企业,还需将数据存储在中国境内,确需出境的须通过安全评估。
5. 自动化决策与公开信息利用规范
草案对利用个人信息进行自动化决策提出了透明度、公平合理性要求,并赋予个人要求解释和拒绝仅依赖自动化决策的权利。对于公开披露的个人信息,处理者需遵循披露目的,超出合理范围需重新告知并征得同意。
实务建议
- 全面评估企业数据处理活动,识别是否受中国《个人信息保护法》域外管辖,并梳理所有个人信息处理的合法性基础。
- 修订隐私政策和用户协议,确保个人信息处理目的、方式、范围等告知清晰透明,并完善同意机制,特别是针对敏感信息、第三方共享和跨境传输的单独同意。
- 对于在中国境外运营但受中国法律管辖的企业,尽快在中国境内设立专门机构或指定代表,并向相关部门报备。
- 建立健全跨境数据传输合规机制,根据企业类型和数据量选择合适的传输路径(如安全评估、认证或标准合同),并确保满足相关要求。
- 审查并调整自动化决策系统,确保决策过程透明、结果公平,并提供个人解释和拒绝的选项,避免“大数据杀熟”等不当行为。
- 加强对第三方合作方的管理,明确其在个人信息处理中的责任,并确保其遵守相关法律法规。
- 建立完善的个人信息主体权利响应机制,确保个人能够有效行使其访问、更正、删除、撤回同意等权利。
风险提示
- 忽视《个人信息保护法》的域外适用效力,可能导致境外企业面临中国监管机构的处罚和法律风险。
- 未能获得有效、充分的同意,尤其是在处理敏感个人信息或进行跨境传输时,将构成严重违规。
- 未按规定履行跨境数据传输的安全评估、认证或合同签署义务,可能导致数据传输受阻或被处罚。
- 自动化决策缺乏透明度或公平性,可能引发用户投诉、法律诉讼及声誉损害。
- 对“个人信息处理者”的理解偏差,未能正确划分与合作方在联合处理或委托处理中的责任。
- 未能在中国境内设立代表机构或指定代表并报备,可能面临行政处罚。