适用场景
处理中国境内用户数据的出海企业、跨国公司及大型互联网平台,在产品合规设计、数据跨境流转及日常运营阶段需重点关注。
核心要点
1. 合法性基础拓宽与未成年人保护升级
明确了处理“已公开数据”的合理边界,并将“同意”与其他合法性基础置于同等地位。针对不满14周岁未成年人的数据,采取了更为严格的客观识别标准,要求企业必须落实监护人同意机制。
2. 数据跨境传输与应对境外调取规则
引入了中国版“标准合同条款”(SCC)作为数据出境的核心合法机制之一。同时明确,面对境外司法或执法机构的数据调取要求,企业必须履行国内相关审批程序,不得擅自提供。
3. 大型平台“守门人”义务与强制合规审计
针对基础性大型互联网平台增设了特殊监管要求,需设立外部独立监督机构并对违规第三方采取断开服务等措施。此外,确立了合规审计制度,监管部门在发现重大风险时可强制要求企业开展审计。
4. 侵权过错推定与数据主体权利细化
数据侵权责任确立为“过错推定”原则,企业需承担自证无过错的举证责任。新增死者个人信息由近亲属行使权利的规定,并优化了自动化决策的拒绝机制及数据无法彻底删除时的降级处理方案。
实务建议
- 梳理现有数据出境场景,提前准备并与境外接收方签署中国版“标准合同条款”(SCC),建立境外执法机构数据调取请求的内部上报与合规审查SOP。
- 升级用户年龄客观识别与实名认证机制,针对未成年用户建立专门的监护人同意获取与验证流程。
- 在产品端完善自动化决策(如算法推荐、用户画像)的“一键拒绝”或退出功能;优化数据生命周期管理,确保在用户注销时能主动删除数据,若技术受限则必须停止除存储外的其他处理。
- 将数据合规审计纳入企业年度常规工作;若企业属于大型平台,需尽早筹备由外部专家组成的独立监督机构,并完善对平台内第三方商家的违规清退机制。
风险提示
- 误以为处理“已公开信息”绝对安全。若超出信息公开时的初始用途,或用于对个人有重大影响的自动化分析,仍需获取额外授权。
- 面对境外法院或监管机构的数据调取指令时盲目配合。必须先经过中国主管机关的审批,否则将面临国内严重的违法风险。
- 忽视“过错推定”原则下的举证责任。若未妥善留存数据处理的合法性记录(如同意日志、审计报告),在发生纠纷时将面临败诉及巨额罚款(最高可达营业额5%)。
- 应对死者近亲属的数据行权请求时缺乏标准。需谨慎核实近亲属身份及死者生前意愿,避免因盲目响应而侵犯死者隐私或其他亲属权益。