适用场景
所有在中国境内开展网络数据处理活动的企业;尤其适用于处理中国境内自然人个人信息,或其数据处理活动可能影响中国国家安全、公共利益的境外企业;以及计划或已进行数据跨境传输的出海企业。
核心要点
1. 域外管辖与数据分类分级
《条例》不仅适用于中国境内的数据处理,对境外处理中国境内个人信息或损害中国国家利益的活动也具有管辖力。国家对数据实行分类分级保护,企业需识别并申报重要数据,并根据其重要程度采取差异化保护措施。
2. 数据处理者主体责任与安全保障
企业作为网络数据处理者,需承担数据安全主体责任,建立健全管理制度,并采取加密、备份、访问控制等技术措施。同时,需确保网络产品和服务符合国家标准,并及时报告和处置安全缺陷与事件。
3. 个人信息保护核心要求
处理个人信息前,企业需通过清晰透明的规则充分告知用户处理目的、方式、种类等,并确保获得合法有效的同意,特别是敏感个人信息和未成年人信息。企业还需保障个人查阅、复制、更正、删除、转移等权利。
4. 重要数据管理与风险评估
处理重要数据的企业需设立数据安全负责人和管理机构,制定应急预案,并定期开展风险评估。在向第三方提供、委托处理或共同处理重要数据前,也必须进行风险评估,并按规定向主管部门报送报告。
5. 严格的跨境数据传输机制
个人信息出境需满足国家网信部门的安全评估、专业机构认证或标准合同等条件;重要数据出境则必须通过国家网信部门组织的安全评估。企业在跨境传输时不得超出评估时确定的目的、方式和范围。
实务建议
- 建立并完善内部数据安全管理制度和应急预案,明确数据安全负责人和管理机构,并定期组织员工进行合规培训。
- 对企业所处理的网络数据进行全面梳理、分类分级,尤其要识别并申报重要数据,并根据分类结果采取相应的保护措施。
- 定期开展数据安全合规审计和风险评估,特别是针对重要数据处理活动,并按要求向主管部门报送风险评估报告。
- 在处理个人信息前,制定清晰、易懂的个人信息处理规则,确保充分告知用户并获得合法有效的同意,尤其注意敏感个人信息和未成年人信息的处理。
- 与第三方合作处理数据(包括提供、委托处理、共同处理)时,通过合同明确双方责任和安全保护义务,并对第三方履行义务的情况进行监督。
- 对于数据出境,提前规划并选择合适的合规路径(如安全评估、标准合同或认证),确保符合国家网信部门的各项要求。
- 设立便捷的用户投诉举报渠道,及时响应并处理数据安全相关诉求,提升用户信任和满意度。
风险提示
- 忽视《条例》的域外管辖效力,认为境外业务不受中国法律约束,可能导致境外数据处理活动面临法律风险。
- 未能准确识别和申报重要数据,或未按规定履行重要数据安全保护义务,可能面临行政处罚。
- 个人信息收集和处理中未充分告知、未取得合法同意,或超范围收集使用,将严重侵犯用户权益并触犯法律。
- 未经安全评估或不符合规定条件,擅自进行个人信息或重要数据跨境传输,将面临高额罚款和业务暂停的风险。
- 未建立健全数据安全管理制度、未采取必要技术措施,导致数据泄露、篡改或滥用,可能引发法律诉讼和声誉损害。
- 未及时处理数据安全事件,或未按规定向主管部门报告,可能导致危害扩大,并面临更严厉的处罚。