适用场景
所有涉及处理中国境内自然人个人信息的出海企业,无论其服务器或运营主体位于境内还是境外,在业务启动、数据收集、跨境传输等各阶段均需关注。尤其适用于提供在线服务、电商、社交、金融科技等数字化业务的企业。
核心要点
1. 广泛的域外适用效力
该法不仅适用于在中国境内处理个人信息的行为,也适用于在境外以向中国境内自然人提供产品或服务、或分析评估其行为等为目的的个人信息处理活动。这意味着,即使服务器和运营主体在海外,只要服务对象是中国人,就必须遵守该法。
2. 处理个人信息需有合法基础
处理个人信息必须满足法定条件,最常见的是获得个人的“同意”。同意必须是基于充分知情、自愿且明确的。对于敏感个人信息(如生物特征、金融账户、行踪等)的处理,要求更严格,通常需要获得“单独同意”。
3. 严格的个人信息跨境传输规则
向境外提供个人信息,必须满足特定条件之一,例如通过国家网信部门的安全评估、进行个人信息保护认证或与境外接收方签订符合标准的合同。对于关键信息基础设施运营者和处理大量个人信息的企业,通常要求数据本地化存储,跨境传输必须通过安全评估。
4. 明确个人信息主体的权利
个人对其信息享有知情、决定、查询、复制、更正、删除等权利,并有权撤回同意或拒绝自动化决策。企业必须建立相应的机制来响应和实现这些权利请求。
5. 共同处理与委托处理的责任界定
当多个处理者共同决定处理目的和方式时,需约定各自权责,并对个人信息主体承担连带责任。委托他人处理时,委托方需对受托方的行为进行监督,确保其在约定范围内处理。
实务建议
- 立即进行数据映射:全面梳理业务中收集、存储、使用、共享和跨境传输的个人信息类型、目的、路径及涉及的第三方。
- 审查并更新隐私政策与同意机制:确保以清晰易懂的语言告知用户信息处理情况,并针对敏感信息处理、数据共享、跨境传输等场景设置明确的“单独同意”获取流程。
- 建立个人权利响应机制:设立便捷的渠道(如在线表单、专用邮箱),并制定内部流程,以响应个人查询、更正、删除信息或撤回同意的请求。
- 评估并规划数据跨境合规路径:若需向境外传输数据,根据自身是否属于关键信息基础设施运营者或处理数据量的大小,提前规划通过安全评估、认证或标准合同等合规路径。
- 完善第三方管理:在与供应商、合作伙伴(如云服务商、数据分析公司)的合同中,明确其作为受托方的数据保护责任,并建立监督机制。
风险提示
- 误区:认为公司注册在海外或服务器在海外就不受中国法律约束。事实:只要业务面向中国用户,就可能适用该法,需承担设立境内代表等义务。
- 误区:将“隐私政策”一揽子同意等同于所有场景下的有效同意。事实:对于敏感信息处理、数据共享、跨境传输等,法律要求更明确的“单独同意”,不能隐藏在冗长的条款中。
- 注意事项:处理14岁以下未成年人个人信息,必须获得其监护人的同意,并制定专门的隐私政策。
- 注意事项:企业因合并、分立等原因转移个人信息时,必须告知个人接收方信息,且接收方变更原处理目的时需重新获取同意。