适用场景
面向所有在业务中收集、处理或传输个人敏感信息的中国出海企业,尤其是在App开发、电商、金融科技、医疗健康、在线教育、酒店旅游等行业,以及业务涉及欧盟、日本等主要法域的企业。
核心要点
1. 明确个人敏感信息的界定与范围
中国对个人敏感信息的定义比欧盟GDPR更广泛,不仅包括可能导致歧视的种族、信仰等信息,更强调对人身财产安全、个人名誉与健康的保护。具体涵盖个人财产、健康生理、生物识别、身份信息、行踪轨迹、通信记录等。企业需首先准确识别自身业务处理的信息是否属于敏感范畴。
2. 严格遵守“明示同意”的核心原则
收集和处理个人敏感信息必须事先获得用户的“明示同意”,即用户通过主动勾选、点击同意等肯定性动作作出的明确授权。预先勾选、捆绑授权、默示同意等隐性方式均不合规,存在显著法律风险。
3. 落实全生命周期的特别处理规则
对个人敏感信息的收集、存储、传输、共享、访问等各环节均有严于一般信息的规则。例如,传输存储需加密,共享转让需单独告知并获明示同意,内部访问需基于业务流程授权。处理超10万人敏感信息的企业需设立专职保护负责人和机构。
4. 对生物识别信息实施加重保护
生物识别信息(如人脸、指纹)具有不可逆性,保护要求最高。收集前需单独告知并获明示同意;原则上禁止存储原始信息(如图像),应存储摘要信息或在终端使用后立即删除;原则上禁止共享、转让和公开披露。
5. 关注特殊行业与跨境合规差异
金融、儿童、医疗健康等行业有专门法规(如个人金融信息保护规范、儿童个人信息保护规定)。同时,各国规则存在差异(如GDPR原则上禁止处理敏感信息,日本对一般信息收集无明确同意要求),直接套用境外母公司制度可能在中国违规,需进行本地化合规适配。
实务建议
- 立即开展数据盘点:梳理业务各环节收集和处理的数据,准确识别其中的个人敏感信息类型。
- 优化用户同意机制:确保所有敏感信息收集界面均设置独立的、需用户主动勾选或点击的“明示同意”选项,废除一切默认同意或捆绑授权设计。
- 强化技术安全措施:对敏感信息的传输和存储强制采用加密技术,并遵循国家密码管理标准。
- 建立内部管控流程:制定敏感信息访问审批制度,确保仅因必要业务(如处理投诉)才授权访问;与相关岗位员工签订保密协议,对核心岗位进行背景审查。
- 制定应急预案:建立个人信息安全事件应急响应机制,确保一旦发生泄露能及时通知受影响用户并报告监管部门。
- 进行制度本地化审查:若集团有全球隐私政策,务必依据中国法律(特别是《个人信息保护法》及《安全规范》)进行审查和修订,不可直接套用。
风险提示
- 切勿将“默示同意”或“捆绑同意”用于敏感信息收集,这是最常见的违规雷区。
- 生物识别信息原始图像切勿随意存储,除非业务必需且已获单独明示同意,并确保与身份信息分开存储。
- 刑事风险极高:非法获取、出售或提供行踪轨迹、通信内容、财产信息等敏感信息,数量门槛很低(如行踪轨迹信息50条以上即可入刑),行业从业人员犯罪将从重处罚。
- 忽视行业特殊规定:从事金融、医疗、儿童相关业务的企业,除通用规则外,还必须遵守行业专门法规,否则将面临更严厉的监管。
- 盲目照搬境外制度:GDPR等境外规则与中国存在差异,直接适用可能导致在中国境内的操作不合规。