适用场景
面向所有在业务中处理个人信息的中国出海企业,特别是涉及用户数据收集、跨境传输、委托第三方处理或使用敏感个人信息的企业,在业务启动、产品设计及日常运营阶段均需关注。
核心要点
1. 法律适用范围广泛,具有域外效力
未来的《个人信息保护法》不仅适用于在中国境内处理个人信息的活动,也可能适用于在境外处理中国境内自然人个人信息的活动,只要其活动目的是向境内自然人提供产品或服务,或分析、评估境内自然人的行为。出海企业需评估自身业务是否落入管辖范围。
2. 处理个人信息需有合法基础,同意规则更严格
处理个人信息需遵循“告知-同意”等多项法定基础。同意必须是充分知情、自愿且明确的。对于敏感个人信息、向第三方提供等特定情形,需取得个人的“单独同意”。企业需审视现有业务流程,确保处理活动具备合法依据。
3. 委托处理与对外提供需明确规则与责任
委托第三方处理数据时,需通过合同明确双方权利义务。向其他个人信息处理者提供个人信息时,必须告知个人第三方的身份、处理目的等信息,并取得单独同意。企业在合作中需做好数据流转的合规管理。
4. 个人信息跨境传输面临多重合规路径
关键信息基础设施运营者和处理个人信息达到规定数量的处理者,需将境内收集的个人信息存储在境内,出境前需通过安全评估。其他情形可通过专业机构保护认证、订立标准合同等途径满足出境条件。企业需根据自身情况选择合规路径。
5. 企业需建立系统的内部治理与应急机制
企业需制定内部管理制度、采取安全技术措施、进行员工培训。达到规定信息处理数量的企业需设立个人信息保护负责人。发生个人信息泄露时,必须立即采取补救措施并履行通知义务。
实务建议
- 立即开展数据合规自查,梳理业务中个人信息的收集、使用、存储、共享和跨境传输全流程。
- 更新隐私政策与用户协议,确保告知内容清晰、完整,并获得有效的用户同意,对敏感信息处理、数据共享等设置单独的同意环节。
- 审视与第三方(如云服务商、数据分析伙伴)的合作协议,明确数据保护责任,建立数据安全评估机制。
- 评估个人信息跨境传输需求,提前规划数据本地化存储方案或准备安全评估、标准合同等出境合规材料。
- 设立或明确个人信息保护负责人,制定内部数据分类分级管理制度、安全应急预案,并定期进行合规审计与员工培训。
风险提示
- 误区:认为只要用户点击“同意”就万事大吉。注意:同意必须是自愿、明确且基于充分告知的,捆绑式、默认勾选等方式可能无效。
- 误区:直接套用GDPR的“控制者”与“处理者”框架来划分责任。注意:中国法律有“个人信息处理者”的独特定义,委托处理时的责任划分需依据中国法律重新审视合同。
- 注意事项:向第三方提供数据时,不仅要取得用户单独同意,还必须告知用户第三方的具体身份与处理目的,透明度要求极高。
- 注意事项:切勿忽视“敏感个人信息”的特殊规则,处理此类信息需具有特定目的和充分必要性,并取得单独同意。
- 注意事项:发生数据泄露事件时,切忌隐瞒,必须立即采取补救措施并依法向主管部门和个人(除非采取措施能有效避免损害)进行通知。