适用场景
所有涉及收集、处理或跨境传输中国境内自然人个人信息的出海企业,尤其是在业务运营、客户管理、员工管理中涉及此类活动的企业,在业务启动前及持续运营阶段均需重点关注。
核心要点
1. PIPL的管辖范围广泛,具有域外效力
PIPL不仅适用于在中国境内处理个人信息的行为,如果境外处理活动的目的是分析、评估中国境内自然人的行为,同样受其管辖。受此域外管辖的企业,必须在中国境内指定代表或设立专门机构负责个人信息保护事宜,并向主管部门报备。
2. 跨境传输个人信息面临严格限制
向境外提供个人信息,必须有明确的业务或其他合理必要性。企业必须向个人告知境外接收方的详细信息、处理目的与方式,并获取个人的单独同意。同时,必须确保境外接收方提供的保护水平不低于PIPL标准。
3. 敏感个人信息处理要求极为严格
生物识别、宗教信仰、医疗健康、金融账户、行踪轨迹及14岁以下未成年人信息等均属敏感个人信息。处理此类信息需具有特定的必要性,进行个人信息保护影响评估,并必须获取个人的单独同意。
4. 个人信息处理者需履行系列法定义务
企业作为“个人信息处理者”,需建立内部管理制度、实施分类管理、采取加密等安全技术措施、定期进行员工培训、制定应急预案并开展合规审计等,以履行其保护责任。
5. 违法后果严重,涵盖行政、民事及刑事责任
违规企业可能面临最高五千万元人民币或年营业额百分之五的罚款、停业整顿、吊销许可等行政处罚。直接责任人可能被处以高额罚款及从业禁止。此外,企业还需承担侵权赔偿责任,在诉讼中承担主要举证责任,情节严重者可能涉及刑事责任。
实务建议
- 立即开展数据盘点与分类:全面梳理业务中收集、存储、使用的个人信息,并严格区分一般个人信息与敏感个人信息。
- 建立并优化告知与同意机制:确保所有个人信息收集活动均有明确告知,特别是针对跨境传输和敏感信息处理,必须设置并获取清晰、可验证的“单独同意”。
- 完善内部合规体系:制定专门的个人信息保护管理制度、操作流程、安全事件应急预案,并定期对员工进行合规培训与演练。
- 进行个人信息保护影响评估:在处理敏感信息、进行跨境传输等高风险活动前,必须开展评估,并记录评估结果与处理情况。
- 审视并修订现有政策:根据PIPL要求,更新企业的隐私政策、用户协议及内部数据管理政策。
- 设立境内联系主体:若业务受PIPL域外管辖,务必在中国境内指定代表或设立机构,并完成报备。
- 评估并约束境外合作方:在与境外关联方或第三方共享数据时,通过合同等方式确保其保护水平符合PIPL要求。
风险提示
- 误区:认为公司注册在境外或服务器在境外就不受PIPL约束。事实:只要处理中国境内自然人的信息且目的是分析其行为,就可能受域外管辖。
- 误区:将用户协议中的一揽子同意视为有效同意。事实:跨境传输、处理敏感信息等场景必须获取明确、单独的同意,一揽子同意无效。
- 注意事项:处理14岁以下未成年人信息需格外谨慎,必须取得其监护人的同意。
- 注意事项:发生个人信息安全事件时,必须立即启动应急预案,采取补救措施,并依法向主管部门报告和通知受影响的个人。
- 注意事项:不要忽视对内部员工个人信息的保护,员工信息的收集与处理同样需遵守PIPL规定。