适用场景
所有在业务中收集、处理或使用个人信息的中国出海企业,尤其是在App、电商、金融科技、数字营销、SaaS服务等领域的企业,从业务启动阶段就需高度关注。
核心要点
1. 刑事入罪门槛明确,风险显著提升
中国《刑法》及司法解释对‘侵犯公民个人信息罪’的定罪量刑标准做出了清晰界定,大幅降低了入罪门槛。企业一旦违规,不仅面临行政处罚,更可能直接触发刑事责任,企业负责人也可能被追究。
2. 核心概念界定宽泛,覆盖业务全链条
法律对‘公民个人信息’、‘提供’和‘非法获取’的定义非常广泛。个人信息包括身份识别和活动轨迹信息;‘提供’行为涵盖向特定人提供、公开披露及未经同意向他人提供;‘非法获取’包括购买、收受及在履职中违规收集。
3. ‘情节严重’认定标准多元,需综合防范
是否构成‘情节严重’不仅看信息数量(如行踪轨迹信息50条即可),还看违法所得、信息用途、主体身份(内部人员标准减半)及是否有前科。即使为‘合法经营’而购买信息,获利超5万元也可能入罪。
4. 信息脱敏要求严格,技术标准是关键
仅对个人信息进行简单的脱敏处理可能不足以规避风险。法律要求必须达到‘无法识别特定个人且不能复原’的程度,否则向他人提供已收集的信息仍可能构成‘提供’行为,技术上的不可复原性是关键。
5. 合规依据扩展至部门规章,监管网络更密
认定行为‘违反国家有关规定’的依据,已从法律、行政法规扩展至各部委发布的部门规章。这意味着企业需要遵守的合规要求来源更广,监管触角更深,合规难度相应增加。
实务建议
- 立即审查并完善用户协议与隐私政策,确保个人信息收集、使用的授权清晰、合法、合规。
- 建立严格的内部数据访问与控制制度,对敏感个人信息(如行踪轨迹、财产信息)实施分级分类管理。
- 针对业务所需,若需向第三方提供个人信息,必须确保已获得用户单独同意,或对数据进行真正不可复原的脱敏处理。
- 加强员工,特别是技术、运营、营销岗位员工的合规培训,明确告知违规处理个人信息的刑事法律后果。
- 建立供应商管理制度,对合作方进行数据合规审查,并在合同中明确其保护个人信息的责任与违约后果。
- 定期进行数据安全审计,检查个人信息处理流程是否存在漏洞,并评估脱敏技术的有效性与不可复原性。
风险提示
- 误区:认为‘为合法经营活动’而购买、使用个人信息可以免责。 正解:以此为由购买非敏感信息,若获利超5万元,仍可能构成犯罪。
- 误区:认为简单的数据脱敏(如部分隐藏)就能安全地共享数据。 正解:法律要求脱敏必须达到无法识别且不可复原的技术标准,否则风险极高。
- 误区:只关注国内《网络安全法》《个人信息保护法》,忽视其他部门规章。 正解:工信、网信、金融等多部门的规章都是认定‘违规’的依据,需全面遵守。
- 注意事项:企业内部人员(‘内鬼’)泄露信息的刑事处罚标准减半,企业必须强化内控与员工管理。
- 注意事项:向多个对象出售或提供同一条个人信息,信息条数会累计计算,极易达到入罪数量标准。