适用场景
涉及收集中国境内用户数据、使用算法推荐进行营销、以及需要将境内数据传输至境外的出海企业,在产品研发、上线及日常运营阶段需重点关注。
核心要点
1. 规范数据收集与未成年人保护
企业严禁通过App过度收集用户数据。此外,不满14周岁未成年人的数据被严格界定为敏感个人信息,企业必须为此类数据制定专门的处理规则并采取强化保护措施。
2. 自动化决策与算法透明度
利用用户画像和算法推荐进行自动化决策时,需保证过程透明与结果公平,严禁“大数据杀熟”。在进行定向商业推送时,必须同步提供不针对个人特征的选项或便捷的拒绝通道。
3. 数据跨境传输的对等标准
向境外转移个人信息时,必须确保境外接收方的数据保护水平不低于中国法定的保护标准。同时,数据出境活动需严格遵守中国缔结或参加的相关国际条约与协定。
4. 强化用户权利与响应机制
法律赋予了用户数据可携带权,并完善了死者个人信息的保护要求。企业需建立高效的投诉举报机制,当自动化决策对用户权益产生重大影响时,用户有权要求解释说明并拒绝仅由机器作出的决定。
实务建议
- 开展全面的数据资产盘点,特别筛查业务线中是否涉及不满14周岁未成年人的数据,并为其单独设立合规处理与授权流程。
- 在App或网站的隐私设置中增加“关闭个性化推荐”的按钮,确保用户可以一键拒绝基于算法画像的定向营销推送。
- 涉及中国境内数据出境的业务,需提前开展个人信息保护影响评估(PIPIA),并实质性审查境外数据接收方的安全保护能力是否达标。
- 全面审查现有的定价策略与算法模型,杜绝基于用户画像在交易条件上实行不合理的差别待遇(如新老用户不同价)。
- 优化产品交互设计,确保在用户拒绝提供非必要个人信息时,仍能正常提供基础产品或服务,不得以此为由拒绝服务。
风险提示
- 误以为用户不同意收集非必要数据就可以拒绝提供基础服务,这属于典型的过度收集与强迫授权违规行为。
- 忽视自动化决策的事前评估义务,未在上线算法推荐或动态定价功能前完成个人信息保护影响评估。
- 数据出境时仅与境外接收方签订标准合同,而未实质核验其所在地的法律环境及实际保护水平,导致未达到中国法定标准。
- 未建立专门的个人信息合规投诉渠道,或对用户的权利响应请求(如数据导出、算法解释)处理超时。