适用场景
适用于所有处理个人信息,特别是涉及敏感信息、跨境传输、第三方共享、或使用自动化决策的中国出海企业。无论企业处于产品设计、市场拓展还是日常运营阶段,都需关注。
核心要点
1. 全面告知与合法性基础
企业在收集个人信息前,必须以清晰易懂的方式向个人充分告知数据处理的目的、方式、类型、保存期限及权利行使途径。对于敏感个人信息、跨境传输或第三方共享等特定场景,需额外告知并取得单独同意,确保数据处理具备合法性基础,如个人同意或履行合同所必需。
2. 第三方数据交互与影响评估
当企业与外部合作伙伴进行数据共享或委托处理时,不仅要与第三方明确合同责任和保护措施,还需向个人告知接收方信息并取得单独同意。对于涉及大量个人信息或敏感数据的高风险处理活动,企业必须事前进行个人信息保护影响评估,并留存记录。
3. 自动化决策的透明与公平
企业若利用自动化工具进行决策(如用户画像、风险评估),必须确保决策过程透明、结果公平公正,避免不合理差别待遇。同时,应提供不针对个人特征的选项或便捷的拒绝方式,并允许个人对有重大影响的自动化决策要求解释或拒绝,甚至要求人工复核。
4. 敏感个人信息识别与强化保护
企业应明确识别敏感个人信息(如健康、金融账户、生物识别等),并对其采取更严格的保护措施。处理敏感信息需具备特定目的和充分必要性,取得单独同意,并进行加密存储、传输,同时进行个人信息保护影响评估,确保最小化收集和目的限制。
5. 健全个人信息主体权利响应机制
企业应建立完善的制度和流程,确保能够有效响应个人信息主体行使知情、查阅、复制、更正、删除、撤回同意等权利。这包括建立专门部门、进行身份验证、开发请求处理系统及对客服人员进行定期培训,以保障用户权利的实现。
实务建议
- 制定并持续更新清晰、全面的隐私政策和个人信息处理规则,确保涵盖所有法律要求的告知内容。
- 在App等线上渠道中,明确展示“已收集个人信息清单”和“与第三方共享个人信息清单”。
- 对于敏感个人信息处理、跨境数据传输和向第三方提供个人信息,务必设计独立的同意机制(如单独勾选框或专门同意书)。
- 在与第三方合作时,签订详细的数据处理协议,明确双方在数据保护方面的权利义务和安全措施。
- 定期开展个人信息保护影响评估(DPIA),尤其是在启动新业务、处理敏感数据或进行跨境传输前。
- 确保自动化决策系统具备可解释性,并提供人工干预或复核的选项,特别是对个人权益有重大影响的决策。
- 为用户提供便捷的拒绝个性化推荐或营销的方式,并尊重用户的选择。
- 建立内部数据安全管理制度,对敏感个人信息采取加密、去标识化等强化保护措施。
- 设立专门的团队或指定负责人处理个人信息主体权利请求,并对请求处理流程进行标准化和自动化。
- 定期对全体员工,特别是客服和技术人员,进行数据合规和个人信息保护的专业培训。
风险提示
- 告知不充分或不清晰:未能以显著方式、清晰语言告知所有必要信息,或未针对特殊场景(如敏感信息、跨境传输)进行额外告知。
- 同意机制不合规:未能取得单独同意,尤其是在处理敏感个人信息、向境外传输或向第三方提供个人信息时。
- “履行合同必需”滥用:将非核心业务(如商业营销)也归类为“履行合同必需”,从而规避获取用户同意。
- 自动化决策缺乏透明度或公平性:算法歧视、未提供拒绝个性化推荐的选项,或未提供对重大决策的解释和拒绝权。
- 敏感个人信息保护不足:未能识别敏感个人信息,或未采取严格的保护措施(如加密),导致数据泄露风险。
- 第三方数据交互风险:未与第三方签订明确的数据处理协议,或未对第三方的数据处理活动进行有效监督,导致责任不清。
- 未进行或未充分进行影响评估:忽视对高风险数据处理活动进行个人信息保护影响评估,导致潜在合规风险。
- 个人信息主体权利响应不及时或不规范:未能建立有效机制响应用户的查阅、更正、删除等请求,或响应流程不合规。