适用场景
适用于所有处理中国境内自然人个人信息的出海企业,无论其商业模式或发展阶段,尤其关注涉及数据跨境传输、敏感信息处理及自动化决策的场景。
核心要点
1. 多维度合法性基础,但“告知-同意”仍是核心
《个人信息保护法》(PIPL)拓宽了个人信息处理的合法性基础,不再局限于单一的“同意”,新增了履行合同、法定职责等情形。然而,“充分告知”和“自愿明确同意”依然是个人信息处理的核心原则,尤其在特定高风险场景(如向第三方提供、公开、处理敏感信息、跨境传输)需获得“单独同意”。
2. 敏感个人信息处理的严格要求
敏感个人信息(如生物识别、医疗健康、金融账户、种族、宗教等)受到更高级别的保护。处理者必须具备特定目的和充分必要性,并额外告知处理的必要性及潜在影响,同时取得个人的“单独同意”或书面同意。
3. 自动化决策的广泛规制与用户权利
PIPL首次明确规制自动化决策,涵盖利用个人信息进行自动分析、评估并作出决策的活动。企业需向个人告知自动化决策的存在、逻辑及影响,并确保决策的公平性、准确性与透明度,个人有权要求解释并拒绝仅通过自动化方式作出的重大影响决策。
4. 跨境数据传输的多元路径与评估要求
PIPL对个人信息跨境传输设定了严格要求,关键信息基础设施运营者及处理达到规定数量的个人信息处理者需通过国家网信部门安全评估。其他处理者可选择安全评估、专业机构认证或与境外接收方签订标准合同等方式,但无论何种方式,告知-同意义务均不可豁免。
5. 全面赋能个人权利与强化处理者义务
PIPL构建了完整的个人信息权利体系(知情、决定、查阅、复制、更正、删除等)和处理者义务(技术与管理措施、DPO设置、合规审计、事前风险评估、泄露通知等)。处理者需确保个人能够有效行使这些权利,并建立健全的内部管理与应急响应机制。
实务建议
- 全面审视并更新企业隐私政策和用户协议,确保告知内容清晰、易懂,并涵盖所有法定告知事项。
- 针对敏感个人信息处理、自动化决策、跨境传输等高风险场景,设计并实施“单独同意”机制,避免一揽子授权。
- 定期开展数据保护影响评估(DPIA),尤其是在处理敏感信息、进行自动化决策或进行大规模数据传输前。
- 建立健全个人信息主体权利响应机制,确保个人能够便捷地行使查阅、更正、删除、解释说明等权利。
- 对于跨境数据传输,根据企业类型和数据量选择合适的合规路径(如安全评估、认证或标准合同),并确保境外接收方符合PIPL保护标准。
- 指定个人信息保护负责人(DPO),建立内部合规审计制度,并定期对数据处理活动进行风险评估。
- 制定并演练数据泄露应急响应计划,确保在事件发生时能及时采取补救措施并履行通知义务。
风险提示
- “同意”的误区:简单勾选或默认同意不等于“自愿、明确”的同意,尤其在劳动关系中,员工签署授权书也可能不被视为“自愿”。
- “必需”的严格解释:履行合同“必需”处理个人信息应被严格解释为服务个人必不可少的行为,而非合同约定或用语表达的全部。
- 公开信息非“安全港”:处理已公开的个人信息并非没有合规隐患,若对个人产生重大影响,仍需告知并取得同意。
- 自动化决策的广泛性:自动化决策的规制范围远超“对个人权益造成重大影响”的情形,几乎所有利用大数据的企业都可能受影响。
- 域外管辖与高额罚款:PIPL具有域外管辖效力,对违法行为设定了高额罚款(最高可达5000万元或上一年度营业额5%),企业需高度重视。
- 数据泄露通知义务:即使能有效避免损失,泄露事件仍可能触发向监管部门的通知义务,需谨慎评估。