适用场景
适用于所有处理中国境内居民个人信息的出海企业,无论其运营地点在中国境内还是境外。特别是在产品设计、服务拓展、国际化运营及用户数据处理阶段,企业需重点关注。
核心要点
1. 广泛的适用范围与境外管辖权
PIPL不仅适用于中国境内的个人信息处理活动,还对处理中国境内居民个人信息的部分境外活动具有域外效力(如向其提供商品/服务、分析其行为)。境外企业需在中国境内设立专门机构或指定代表负责个人信息保护事务并备案。
2. 七大核心处理原则
强调合法、正当、必要、诚信原则,以及目的明确、数据最小化、公开透明、信息质量、责任明确和数据安全。其中,“必要性”与“透明度”是合规实践的重点,要求企业明确告知处理目的和范围,并限制数据收集。
3. 多元化的合法处理基础
PIPL提供了包括个人同意、履行合同、履行法定义务、应对突发公共卫生事件、公共利益、合理使用公开信息及其他法律规定等多种个人信息处理的合法基础,改变了以往过度依赖“同意”的局面。
4. 严格的同意与敏感信息处理要求
个人同意需在充分告知前提下自愿、明确且易于撤回。对于共享、跨境传输、处理敏感个人信息(特别是未成年人信息)等特定场景,需获得单独同意,并对敏感信息进行更严格的保护和影响评估。
5. 跨境传输的合规要求
企业在向境外传输个人信息时,必须采取必要措施,确保境外接收方能够达到PIPL规定的个人信息保护标准,这可能涉及合同约定、定期审计和技术监控等。
实务建议
- 对于受PIPL域外管辖的企业,务必在中国境内设立专门机构或指定代表,并向相关部门备案其联系方式。
- 在设计产品和服务时,确保个人信息处理活动与明确、合理的业务目的直接相关,并严格遵循数据最小化原则,仅收集必要信息。
- 制定清晰、完整且易于理解的隐私政策,避免使用模糊词语(如“等”、“例如”),并将其放置在网站首页、App设置等显著位置,确保用户在收集信息前充分知情。
- 建立有效的同意获取与撤回机制,确保用户可以便捷地撤回同意,并避免将服务捆绑不必要的个人信息处理同意。
- 识别需要单独同意的场景(如个人信息共享、敏感信息处理、跨境传输),并设计相应的单独同意流程。
- 对敏感个人信息(尤其是未成年人信息)采取更严格的保护措施,包括获取可验证的父母同意,并进行个人信息保护影响评估。
- 在进行自动化决策时,确保决策过程透明、结果公平,不进行不合理的差别待遇,并向用户提供便捷的解释请求和拒绝选项。
- 建立健全内部数据安全管理制度和操作规程,实施访问控制,定期进行合规培训,并指定个人信息保护负责人。
- 在进行个人信息跨境传输前,通过合同约定、技术保障、定期审查等方式,确保境外接收方具备符合PIPL要求的个人信息保护能力。
风险提示
- 未能识别并遵守PIPL的域外管辖要求,可能导致境外企业在中国境内面临法律责任。
- 隐私政策内容模糊、告知不充分,或未提供便捷的同意撤回渠道,可能被认定为无效同意。
- 在未获得单独同意的情况下进行个人信息共享、跨境传输或处理敏感信息,将面临严重合规风险。
- 自动化决策导致用户受到不合理差别待遇,或未提供解释/拒绝选项,可能引发用户投诉和监管处罚。
- 未能确保跨境传输的个人信息在境外获得与PIPL同等水平的保护,将承担法律责任。
- 忽视“必要性”原则,过度收集或处理个人信息,可能导致违规。