适用场景
所有涉及中国境内居民个人信息处理的出海企业,无论其运营地是否在中国境内,均需关注。尤其是在产品/服务面向中国用户、分析中国用户行为、或计划进行数据跨境传输时,合规性审查应在早期阶段启动。
核心要点
1. PIPL的域外效力与适用范围
中国《个人信息保护法》(PIPL)具有域外效力,即使企业在境外运营,只要处理中国境内居民的个人信息(如为中国用户提供产品服务、分析其行为),就可能受PIPL管辖。受PIPL管辖的境外企业需在中国境内设立专门机构或指定代表,并向相关部门报备其联系方式。
2. 个人信息处理的合法基础与核心原则
企业处理个人信息必须具备合法基础,包括获得个人同意、履行合同、履行法定职责、应对紧急情况、开展新闻报道或公共监督等。同时,处理过程需遵循合法正当、最小必要、公开透明、准确完整和安全负责等基本原则,避免过度收集和不当使用。
3. 严格的个人信息跨境传输要求
个人信息跨境传输是PIPL的重点监管领域。企业在向境外提供个人信息前,需履行告知义务、获得个人“单独同意”、进行个人信息保护影响评估,并确保境外接收方提供不低于PIPL的保护水平。对于关键信息基础设施运营者或处理量达到特定阈值的企业,还需将境内收集的个人信息存储在境内,并通过国家网信部门的安全评估。
4. “单独同意”与“敏感个人信息”的特殊保护
在向其他处理者提供、公开披露、用于公共场所非公共安全目的、跨境传输以及处理敏感个人信息等特定高风险场景下,企业必须获得用户的“单独同意”。敏感个人信息(如生物识别、医疗健康、金融账户、未满14周岁未成年人信息等)的处理,需有特定目的和充分必要性,并采取更严格的保护措施和影响评估。
5. 有效同意的构成要件
有效的个人同意需基于充分知情、自愿且明确的表达。企业在获取同意前,必须以清晰易懂的语言真实、准确、完整地告知用户处理者的信息、处理目的、方式、类别、保存期限以及用户权利行使方式等。用户有权撤回同意,且企业不得仅因用户不同意或撤回同意而拒绝提供非必要的产品或服务。
实务建议
- 密切关注中国国家网信部门关于“小规模个人信息处理者”的后续细则,以便及时调整合规策略。
- 全面评估企业业务是否涉及中国境内居民个人信息处理,如适用PIPL,应在中国境内设立专门机构或指定代表并及时报备联系方式。
- 在设计个人信息跨境传输方案时,需仔细规划并确保符合PIPL的通用要求(告知、单独同意、影响评估、境外保护水平),并根据企业类型(如是否为CIIO、处理量大小)满足特定附加条件,同时注意对港澳台地区传输的适用性。
- 重新设计网站或APP的用户界面和隐私政策,确保个人信息处理规则易于访问且在显著位置展示,提升透明度。
- 针对不同业务场景和功能,制定差异化的个人信息处理政策,明确告知用户每个场景下的处理目的,并严格限制在实现目的所需的最小范围内收集个人信息,避免“过度收集”。
- 在需要“单独同意”的场景下,通过独立弹窗、勾选框等方式,确保单独、充分告知用户相关事项,并获取明确同意。用户拒绝同意特定功能不应影响其使用其他非必要功能。
- 对企业所处理的个人信息进行敏感度分级,并对敏感个人信息(如生物识别、金融账户等)采取更严格的处理政策、保护措施和事前影响评估。
风险提示
- 忽视PIPL的域外效力,错误认为境外运营不受中国法律管辖,导致合规盲区。
- 未能在中国境内设立合规机构或指定代表并进行报备,面临行政处罚风险。
- 在个人信息跨境传输前,未进行充分的风险评估、未获得“单独同意”或未能确保境外接收方提供足够的保护,导致数据泄露或违规传输。
- 将“一揽子同意”等同于“单独同意”,尤其是在敏感信息处理、对外提供或跨境传输等高风险场景中,可能被认定为无效同意。
- 过度收集与业务目的不相关的个人信息,或未按“最小必要”原则处理数据,增加合规风险和用户投诉。
- 未能对敏感个人信息采取更严格的保护措施,一旦发生泄露,可能面临更严重的法律后果和声誉损害。