适用场景
面向所有处理中国境内自然人个人信息的出海企业,特别是涉及跨境数据传输、提供产品或服务给中国用户、或分析评估中国用户行为的公司,在业务规划、产品设计及日常运营阶段均需关注。
核心要点
1. 法律具有域外效力,境外企业也受管辖
《个人信息保护法》具有长臂管辖效力。只要境外企业以向中国境内自然人提供产品或服务为目的,或为分析、评估其行为,其处理中国境内自然人个人信息的活动就受到该法约束。这意味着,即使服务器和主体在海外,只要业务面向中国用户,就必须遵守中国法律。
2. 个人信息定义更宽,处理需有合法基础
法律采用“识别+关联”双重标准界定个人信息,范围更广泛。企业处理个人信息必须基于法定的合法性基础,例如取得个人同意、为履行合同所必需、为履行法定义务所必需等,不能随意处理。
3. “告知-同意”规则升级,引入“单独同意”要求
企业必须在处理前以显著、清晰的方式履行告知义务。在向第三方提供信息、处理敏感个人信息、公开采集的个人图像或身份信息、以及向境外提供个人信息等特定场景下,必须取得个人的“单独同意”,这有别于传统的概括性同意。
4. 跨境传输数据面临多重合规要求
向境外提供个人信息,需满足特定条件之一,如通过网信部门安全评估、进行专业保护认证或与境外接收方订立标准合同。关键信息基础设施运营者和处理大量个人信息的企业,还需将境内收集的个人信息存储在境内。
5. 违法后果严重,处罚力度空前
违反规定的企业可能面临高额罚款,情节严重的,最高可处五千万元以下或者上一年度营业额百分之五以下的罚款。这要求企业必须将数据合规提升到战略高度。
实务建议
- 立即开展数据合规自查:梳理业务各环节收集、使用、存储、共享和跨境传输的个人信息类型、目的和路径。
- 更新隐私政策与用户协议:确保告知内容显著、清晰、无歧义,并针对需要“单独同意”的场景设计独立的获取同意机制。
- 建立数据分类分级管理制度:区分一般个人信息与敏感个人信息,并对敏感信息实施更严格的访问和控制措施。
- 评估并规划数据跨境传输路径:根据自身是否属于关键信息基础设施运营者或处理数据量级,提前准备安全评估、保护认证或标准合同等合规方案。
- 完善内部合规体系:制定数据安全管理制度与操作规程,定期进行员工培训,并制定个人信息安全事件应急预案。
- 在涉及与第三方(尤其是境外合作方)共享数据时,通过合同明确双方权利义务与责任,并做好尽职调查。
风险提示
- 误区:认为公司注册和服务器在海外就不受中国《个人信息保护法》约束。正解:只要业务面向中国用户,即受管辖。
- 误区:一份笼统的隐私政策可以覆盖所有数据处理场景。正解:向境外传输、处理敏感信息等场景必须获取“单独同意”。
- 误区:数据已经公开就可以随意使用。正解:处理已公开信息,不得超出其公开时的用途,超出合理范围仍需告知同意。
- 注意事项:自动化决策(如用户画像、个性化推荐)需保证透明和公平,并对用户权益有重大影响的决策提供说明渠道,允许用户拒绝。
- 注意事项:与境内机构构成共同处理者时,可能需承担连带责任,需在合作架构与协议中明确责任划分。