适用场景
所有涉及处理中国境内个人信息(包括员工、客户、用户信息)并计划或正在进行海外业务拓展的中国企业,尤其是在产品开发、数据跨境传输、平台运营阶段的企业。
核心要点
1. 明确个人信息处理的法律基础
处理个人信息原则上必须取得个人同意,但法律也规定了六种无需同意的例外情形,例如为履行合同所必需或处理已公开信息。企业必须确保自身的每一项处理行为都有明确、合法的依据。
2. 严格规范个人信息跨境传输
向境外提供个人信息,必须满足特定条件之一,例如通过国家网信部门的安全评估、获得专业机构保护认证或与境外接收方订立网信部门制定的标准合同。向境外司法或执法机构提供境内存储的个人信息,必须经过中国主管机关批准。
3. 强化委托处理与平台责任
委托第三方处理个人信息时,受托方需承担与处理者同等的安全保障义务。委托关系终止后,信息必须返还或删除。提供基础性互联网平台服务的大型平台,需设立独立监督机构、对违规商家停止服务,并定期发布个人信息保护社会责任报告。
4. 适用过错推定原则与死者信息保护
一旦发生个人信息权益侵害纠纷,法律推定处理者存在过错,处理者需自证无过错方可免责,这大幅提高了企业的举证责任。此外,自然人身故后,其近亲属可代为行使相关个人信息权利。
实务建议
- 立即梳理企业业务中所有涉及个人信息(包括员工、用户、客户数据)的处理活动,并逐一对照法律,明确其处理的法律依据。
- 若业务涉及数据出境,尽快评估自身符合哪种跨境传输条件(安全评估、保护认证或标准合同),并启动相应合规流程的准备。
- 审查与所有第三方(如云服务商、数据分析服务商)的数据处理委托协议,确保合同明确约定受托方的安全义务、委托终止后的数据返还或删除条款。
- 若企业属于用户量大、业务复杂的互联网平台,应开始筹划建立由外部成员组成的独立监督机构,并规划个人信息保护社会责任报告的编制与发布。
- 更新隐私政策与用户协议,确保其清晰告知用户信息处理规则,特别是关于跨境传输、委托处理等关键环节,并依法获取有效的用户同意。
风险提示
- 切勿认为仅获取用户一次“一揽子”同意即可万事大吉,对于敏感个人信息处理、数据跨境等特定场景,法律要求获取用户的“单独同意”。
- 委托第三方处理数据不等于转移合规责任,委托方(本企业)仍需对受托方的处理行为负责,必须进行有效监督。
- 向境外母公司、关联公司或海外服务器传输中国境内收集的个人信息,同样属于“跨境提供”,必须履行法定程序,不可内部默认许可。
- 法律对“超大型互联网平台”的认定标准尚未完全明确,企业不应抱侥幸心理,若用户规模大、业务复杂,应主动参照最高标准进行合规建设。
- 民事责任适用“过错推定”,一旦发生数据泄露等事件,企业将面临极高的赔偿风险与举证压力,事前预防远胜于事后补救。