适用场景
本指南适用于所有在中国境内开展数据处理活动的企业,以及在境外处理中国境内个人和组织数据,且以向境内提供产品服务、分析评估境内行为或涉及重要数据为目的的出海企业。特别是处理大量个人信息(100万人以上)或重要数据的互联网平台运营者、计划境外上市的企业,需重点关注。
核心要点
1. 数据分类分级保护体系
国家将数据划分为一般数据、重要数据和核心数据,并对个人信息和重要数据进行重点保护,对核心数据实行严格保护。企业需根据数据敏感程度采取差异化安全措施。
2. 数据处理者主体责任
企业作为数据处理者,需对数据安全负总责,建立完善的数据安全管理制度和技术保护机制。同时,应积极应对数据安全事件,履行及时报告和通知义务。
3. 个人信息保护细化要求
强调个人信息处理的合法、正当、必要原则,要求企业获取个人信息时需取得明确、单独同意,并保障用户查阅、复制、更正、删除、转移等权利,禁止捆绑或强制同意。
4. 重要数据管理与备案
处理重要数据的企业需设立数据安全负责人和管理机构,对重要数据进行备案,并每年开展数据安全评估。共享、交易或委托处理重要数据需经主管部门同意。
5. 数据跨境传输合规路径
企业向境外提供数据,必须满足特定条件,包括通过国家安全评估、获得专业机构认证或签订标准合同。对出境数据需履行告知、单独同意和年度报告义务。
6. 互联网平台运营者特殊义务
大型互联网平台运营者需建立透明的平台规则和隐私政策披露制度,加强对第三方产品服务的数据安全管理,并规范个性化推荐和数据利用行为,防止损害用户权益和公平竞争。
实务建议
- 建立完善的数据合规管理体系,参照国家数据分类分级要求,梳理企业数据资产,明确各级别数据的保护措施和管理流程。
- 优化个人信息处理规则和同意机制,确保隐私政策清晰透明,针对不同服务类型和敏感信息,获取用户单独、明确的同意,并提供便捷的用户权利行使通道。
- 识别并备案重要数据,尽快识别企业内部的重要数据,设立数据安全负责人和管理机构,并按规定向网信部门备案,定期开展安全评估。
- 提前规划数据跨境传输策略,评估数据出境的必要性与合规路径(安全评估、认证或标准合同),准备相关材料,并履行告知、同意和年度报告义务。
- 加强第三方合作方数据安全管理,与第三方合作时,通过合同明确数据安全责任,并监督其数据处理活动,避免因第三方违规导致连带责任。
- 关注境外上市的网络安全审查要求,计划境外上市的企业,特别是处理百万级以上个人信息或涉及重要数据的,应提前启动网络安全审查准备工作。
风险提示
- 高额罚款与业务中断风险:违反数据安全和个人信息保护规定,可能面临巨额罚款(最高可达年度营业额5%或5000万元),甚至暂停业务、停业整顿、吊销执照。
- 数据跨境传输合规门槛高:数据出境安全评估流程复杂、周期长,且对数据接收方有严格要求,可能阻碍部分业务的国际化发展。
- 个人信息同意的举证责任:企业需对个人同意行为的有效性负举证责任,不当的同意获取方式(如捆绑、强制)将面临法律风险。
- 境外上市合规成本与不确定性:赴境外上市的网络安全审查要求增加了上市的合规成本和不确定性,可能影响融资进程。
- 数据本地化与境外司法调取限制:境内数据未经批准不得向境外司法机构提供,且境内用户流量不得路由至境外,对全球化数据架构和运营提出挑战。