适用场景
所有处理中国境内自然人个人信息的出海企业,无论其注册地在境内还是境外,在业务启动、数据收集、跨境传输等各阶段均需关注。
核心要点
1. 第一步:精准识别数据类型与主体身份
合规始于准确判断所处理的信息是否属于《个保法》定义的‘个人信息’及‘敏感个人信息’。同时,企业需明确自身是‘一般处理者’、‘守门人’(大型平台)还是‘受托人’,不同身份对应不同的法定义务。境外企业若以向中国境内自然人提供产品或服务为目的,或分析评估其行为,同样受《个保法》管辖。
2. 第二步:遵循核心处理原则与一般规则
所有个人信息处理活动必须遵循合法、正当、必要、诚信、公开透明、信息准确等基本原则。处理个人信息必须具备七类合法性事由之一(如取得个人同意),并履行清晰、易懂的告知义务,这是合规的基石。
3. 第三步:履行一般处理者的法定义务
企业需建立个人信息保护负责人制度,制定内部管理制度和操作规程,对个人信息实行分类管理,采取加密、去标识化等安全技术措施,定期进行合规审计与员工培训,并管理好与第三方合作的数据安全。
4. 第四步:关注高风险场景的增强义务
在向他人提供、向境外提供、处理敏感信息、公开信息、在公共场所收集个人图像身份信息这五种场景下,必须获取个人的‘单独同意’。此外,进行自动化决策、数据跨境传输等高风险活动前,必须进行个人信息保护影响评估并留存记录至少三年。
5. 第五步:保障个人信息主体的权利
企业必须建立便捷的机制,保障个人行使知情、决定、查阅、复制、更正、删除、撤回同意、可携带等权利。对于死者个人信息,其近亲属在特定条件下也可行使相关权利。
实务建议
- 立即开展数据盘点:梳理业务中收集、存储、使用的所有数据,明确哪些属于个人信息和敏感个人信息(如人脸、行踪轨迹、金融账户等)。
- 审查并更新告知与同意机制:确保隐私政策等告知文本清晰、显著,对需要‘单独同意’的五大场景设置独立的授权环节,避免一揽子捆绑。
- 建立数据跨境传输合规路径:若需向境外提供数据,评估是否触发安全评估,并优先考虑通过认证或签订标准合同等法定渠道完成。
- 设立内部管理角色与制度:根据处理规模指定个人信息保护负责人,制定内部管理流程、安全事件应急预案,并开展定期培训。
- 进行高风险活动前置评估:在启动自动化决策、数据跨境等业务前,必须完成个人信息保护影响评估,分析风险并采取相应保护措施。
- 搭建个人权利响应通道:设立便捷的在线申请入口或联系方式,建立内部流程以确保能在法定期限内响应个人的查阅、复制、删除等请求。
风险提示
- 误区:认为公司注册在境外就不受《个保法》约束。正解:只要业务活动以向中国境内自然人为目标或分析其行为,即受管辖。
- 误区:将‘告知同意’流于形式,使用晦涩难懂的条款。正解:告知必须显著、清晰易懂,同意需在充分知情基础上自愿作出。
- 误区:忽视‘单独同意’要求,在隐私政策中一次性获取所有授权。正解:向境外提供、处理敏感信息等五大场景必须获得单独、明确的授权。
- 注意事项:处理不满十四周岁未成年人信息,需同时遵守敏感个人信息和儿童个人信息保护的特殊规定。
- 注意事项:‘守门人’平台(用户量大、业务复杂)需承担额外义务,如制定平台规则、发布社会责任报告等,即使目前标准未细化也应提前准备。
- 注意事项:数据出境合规是高压线,切勿在未满足安全评估、认证、标准合同任一条件且未获单独同意的情况下擅自传输。