适用场景
所有涉及收集、处理中国用户个人信息的出海企业,尤其是在产品开发、数据运营及市场拓展阶段的企业。
核心要点
1. 核心与附加功能的区分管理
企业需将产品或服务的功能区分为核心业务功能与附加业务功能。为前者收集个人信息可获取概括授权,而为后者收集信息(尤其是个人敏感信息)时,必须逐一获得用户的明示同意,且不能因用户拒绝而停止核心服务。
2. 分级的用户同意规则
收集一般个人信息可采用默示同意(Opt-Out)或明示同意(Opt-In);但收集个人敏感信息(如生物识别、金融账户信息等)必须获得用户的明示同意,即需要用户主动做出肯定性动作,如勾选、点击同意。
3. 数据流转环节的三方责任
在委托处理、共享、转让个人信息时,企业(作为控制者)需对受托方或接收方进行安全评估,并明确告知用户。若因共享、转让导致用户权益受损,控制者可能需承担相应责任,即使问题出在接收方。
4. 间接获取信息的审慎义务
从第三方获取个人信息时,企业有义务核实第三方信息来源的合法性及其已获得的授权范围。如果自身使用范围超出原授权,必须在合理期限内重新征得用户明示同意。
5. 服务终止后的数据处理义务
当企业停止运营产品或服务时,必须停止收集个人信息,通过逐一通知或公告告知用户,并对已持有的个人信息进行删除或匿名化处理,履行信息保存期限最小化原则。
实务建议
- 立即根据《个人信息安全规范》附录的模板,审查并修订您的隐私政策,确保内容完整、语言清晰。
- 在产品设计阶段,就将功能区分为“核心”与“附加”,并为此设计不同的用户授权界面与流程。
- 建立内部制度,对涉及个人敏感信息的操作(如收集、共享)强制要求获得单独的明示同意(如弹窗勾选)。
- 在与第三方进行数据合作前,将其数据来源合法性及安全保护能力纳入尽职调查范围,并在合同中明确责任。
- 指定专人(如首席信息官CIO)负责数据合规,并建立个人信息安全影响评估、事件应急响应等内部制度。
风险提示
- 切勿将《个人信息安全规范》仅视为推荐性国标而忽视,监管机构在实践中会将其作为重要的执法参考依据。
- 避免使用模糊、笼统的隐私政策获取“一揽子”授权,尤其是对于附加功能和个人敏感信息,此做法风险极高。
- 在数据共享转让时,不要认为将数据交给第三方即可免责,若接收方安全保障不足,您仍可能被追责。
- 停止运营时,切忌对用户数据置之不理或继续使用,必须履行告知和删除/匿名化义务,否则将构成违规。