适用场景
所有涉及处理中国境内自然人个人信息的出海企业,尤其是在产品/服务中设有App、网站或涉及用户数据收集、跨境传输、自动化决策等环节的企业,在业务启动前及运营全周期均需关注。
核心要点
1. 制度与流程建设是合规基石
企业必须建立内部个人信息保护制度、操作规程及应急预案,并定期进行安全培训与合规审计。明确的隐私政策和用户协议是向用户履行告知义务的法律文件,必须清晰、完整。
2. 全生命周期处理需遵循“告知-同意”核心原则
处理个人信息前,必须以显著方式清晰告知处理者信息、目的、方式、种类及保存期限等,并取得个人同意。不得因用户拒绝或撤回同意而拒绝提供核心服务,严禁误导、欺骗、胁迫获取同意。
3. 特殊处理活动面临更严要求
处理敏感个人信息(如生物识别、行踪轨迹、未成年人信息等)必须具有特定目的和充分必要性,并取得个人的单独同意。进行个人信息跨境提供、委托处理、公开或利用自动化决策(如算法推荐)前,必须事先进行个人信息保护影响评估并留存记录至少三年。
4. 个人信息出境需满足特定条件
向境外提供个人信息,需通过国家网信部门组织的安全评估、经专业机构保护认证或签订标准合同等路径之一,并确保境外接收方达到中国保护标准。必须向个人告知境外接收方详情,并取得其单独同意。
5. 大型平台及处理者承担额外责任
处理个人信息达到规定数量的企业需指定个人信息保护负责人。重要互联网平台需建立更完善的合规制度体系,设立独立监督机构,制定平台规则,并定期发布社会责任报告。
实务建议
- 立即依据《个保法》全面审查并更新隐私政策、用户协议及内部数据处理规则。
- 建立贯穿收集、使用、存储、提供、删除等环节的全流程管理制度,并设置便捷的个人权利(如查询、复制、更正、删除、撤回同意)响应机制。
- 在涉及跨境传输、处理敏感信息、自动化决策等高风险活动前,务必开展个人信息保护影响评估,并保存评估报告至少三年。
- 若业务涉及向境外提供数据,尽快厘清自身适用的出境路径(安全评估、认证或标准合同),并完善与境外接收方的合同约束。
- 对员工进行定期合规培训,明确各岗位操作权限,并定期开展合规审计与应急演练。
风险提示
- 切勿将用户同意与其他非必要权限捆绑,或变相强制用户同意,否则可能构成违法。
- 避免“大数据杀熟”等利用自动化决策实行不合理差别待遇的行为,需提供不针对个人特征的选项或便捷拒绝方式。
- 处理员工信息时,范围不得超出实施人力资源管理所必需,需注意劳动用工场景下的合规边界。
- 境外企业若向中国境内自然人提供产品或服务,或分析评估其行为,同样受《个保法》管辖,需在中国设立指定机构或代表。
- 违法处罚极其严厉,最高可处上一年度营业额百分之五或五千万元以下罚款,并可导致业务暂停、终止。