适用场景
面向所有涉及收集、处理中国境内用户个人信息的出海企业,尤其是在业务启动、产品设计、数据跨境传输等关键阶段。
核心要点
1. 明确法律管辖范围
《个人信息保护法》具有域外效力,只要您的业务活动涉及向中国境内自然人提供产品或服务,或分析、评估其行为,即使运营主体在境外,也必须遵守该法。这意味着绝大多数服务中国用户的出海企业都在其监管范围内。
2. 掌握个人信息处理的核心规则
处理个人信息必须遵循合法、正当、必要和诚信原则,并满足特定的法定条件,如取得个人同意。处理敏感个人信息(如生物识别、金融账户、行踪轨迹等)要求更为严格,必须取得个人的单独同意,并进行事前影响评估。
3. 严格遵守个人信息跨境传输规定
将在中国境内收集的个人信息传输至境外,必须满足以下条件之一:通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方订立标准合同。关键信息基础设施运营者(CIIO)的数据原则上应存储在境内。
4. 保障个人的核心权利
企业必须建立机制,保障个人对其信息的知情权、决定权、查阅复制权、更正补充权、删除权以及撤回同意的权利。不得因个人拒绝提供非必要信息或撤回同意,而拒绝提供核心产品或服务。
5. 履行处理者的法定义务
企业作为个人信息处理者,必须履行一系列义务,包括制定内部管理制度、任命个人信息保护负责人、定期进行合规审计、对高风险处理活动进行事前影响评估、建立数据泄露应急与通知机制等。
实务建议
- 立即开展数据映射:全面梳理业务各环节收集、存储、使用、共享和跨境传输的个人信息类型、目的、路径及涉及的第三方。
- 更新隐私政策与用户协议:确保其内容清晰、透明,完全符合《个保法》的告知要求,特别是关于处理规则、跨境传输、个人权利行使途径等。
- 建立合规的同意机制:优化用户同意流程,确保同意是自愿、明确、知情的。对于敏感信息处理,务必设置单独的、突出的同意选项。
- 评估并落实跨境传输路径:根据自身情况(如数据量、类型、接收方所在国),尽早规划并通过安全评估、认证或标准合同等合法路径完成跨境传输。
- 设立内部管理角色与制度:任命个人信息保护负责人(DPO),建立数据分类分级、访问控制、安全审计、影响评估、泄露应急响应等内部管理制度。
- 进行员工合规培训:确保产品、技术、运营、客服等所有可能接触个人信息的员工了解并遵守《个保法》的基本规则和内部流程。
风险提示
- 误区:公司注册在海外,只服务海外用户,就不受中国《个保法》管辖。 注意:只要您的App、网站等能触及中国境内自然人并处理其信息,就可能受管辖。
- 误区:将隐私政策写得复杂晦涩可以规避责任。 注意:法律要求告知必须显著、清晰、易懂,晦涩的条款不能免除告知义务,反而可能在争议中处于不利地位。
- 误区:一次性获取“一揽子”同意后便可随意使用数据。 注意:处理目的、方式、个人信息种类发生变更时,需要重新取得同意。自动化决策(如个性化推荐)需提供不针对个人特征的选项或便捷的拒绝方式。
- 注意事项:委托第三方(如云服务商、数据分析公司)处理个人信息时,必须通过合同明确双方责任,并对受托方的处理活动进行监督。
- 注意事项:法律责任严厉,包括高额罚款(最高可达上一年度营业额5%)、责令暂停相关业务、吊销许可,以及民事赔偿(适用过错推定原则,企业需自证无过错)。