适用场景
面向所有涉及处理用户个人信息的中国出海企业,尤其是在业务中应用自动化决策、用户画像、数据跨境传输或作为大型平台运营的企业,在业务规划、产品设计及日常运营阶段均需重点关注。
核心要点
1. 处理原则与合法性基础更明确
二审稿强调处理个人信息应采取对个人权益影响最小的方式,并公开处理规则。在合法性基础上,新增了‘在合理范围内处理已公开信息’这一事由,并与‘同意’等其他事由明确了适用优先级,为企业提供了更灵活的合规路径选择。
2. 强化对个人信息主体的权益保护
新增了便捷的撤回同意机制,并明确撤回不影响此前已进行处理的效力。特别加强了对自动化决策的规制,要求处理者提供说明和拒绝选项。同时,明确了死者的个人信息可由近亲属行使相关权利。
3. 细化并加重了处理者责任
对提供基础性互联网平台服务的大型处理者,提出了设立独立监督机构、定期发布社会责任报告等新义务。明确了受托处理方的安全保障责任。在数据跨境传输方面,强调须使用国家网信部门制定的标准合同,并严格限制未经批准向境外司法或执法机构提供境内数据。
4. 监管细则落地与举证责任倒置
明确了国家网信部门的统筹协调与规则制定职责,并要求企业定期进行合规审计。最值得关注的是,二审稿确立了侵害个人信息权益纠纷中的‘过错推定’原则,即由企业承担证明自身无过错的举证责任,大幅提高了企业的合规举证义务。
实务建议
- 立即审视并优化个人信息处理流程,确保遵循‘影响最小化’原则,并清晰公开处理规则。
- 梳理数据处理活动的合法性基础,优先考虑使用‘履行合同所必需’等非同意类事由,以降低对‘同意’的依赖及后续的举证压力。
- 在产品中设置便捷、明显的用户同意撤回通道,并建立自动化决策的说明与拒绝机制。
- 若属于大型平台企业,着手规划设立由外部成员组成的独立监督机构,并准备定期发布个人信息保护社会责任报告。
- 开展数据跨境传输活动前,优先采用国家网信部门制定的标准合同,并严格履行安全评估或认证程序。
- 建立并完善内部合规审计机制,定期自查,并妥善保存所有能证明自身合规操作的文件与记录,以应对潜在的‘过错推定’风险。
- 密切关注国家网信部门针对人脸识别、人工智能等新技术应用制定的专门规则,及时调整合规策略。
风险提示
- 切勿忽视‘过错推定’原则,一旦发生纠纷,若无法自证无过错将直接承担侵权责任,务必做好全流程合规记录。
- 处理已公开个人信息时,必须严格遵循‘合理范围’,超出原公开用途或合理范围的处理需重新获取同意。
- 自动化决策不能完全替代人工干预,尤其在对用户权益有重大影响时,必须提供人工选项或拒绝渠道。
- 作为平台方,不仅需自身合规,还负有对平台内经营者(如入驻商家、第三方SDK提供方)的监督责任,需建立有效的监控与处置机制。
- 数据跨境传输路径必须合法,未经批准不得应境外司法或执法机构要求提供境内数据,避免触碰数据主权红线。
- 委托第三方处理数据时,合同必须明确双方责任,并确保受托方具备足够的安全保障能力,否则委托方可能承担连带责任。