适用场景
所有涉及处理个人信息的中国出海企业,尤其是在数字营销、电商、社交、金融科技、SaaS、人工智能、物联网及拥有海外员工的企业,在业务启动、产品设计及日常运营阶段均需重点关注。
核心要点
1. 明确个人信息处理的合法基础
《个人信息保护法》提供了多元化的合法处理基础,包括履行合同、法定义务及人力资源管理所必需等,不再仅依赖用户同意。这为企业处理员工信息等场景提供了合规路径,但也对“同意”的真实有效性提出了更高要求。企业需根据具体场景选择并证明其合法性基础。
2. 严格规制自动化决策与大数据杀熟
法律明确禁止通过自动化决策在交易价格等方面实行不合理的差别待遇(即“大数据杀熟”)。同时,利用自动化决策进行个性化营销时,必须为用户提供非个性化选项或便捷的拒绝方式。对于可能对个人权益产生重大影响的自动化决策(如招聘筛选、信用评估),个人有权要求解释并有权拒绝仅由算法作出的决定。
3. 强化敏感个人信息与未成年人信息保护
不满14周岁未成年人的个人信息被明确列为敏感个人信息。处理任何敏感个人信息都必须满足“目的特定、充分必要、严格保护”的前提条件。处理敏感个人信息通常需要获取个人的“单独同意”,这要求同意必须是明确、具体且与其他授权分离的。
4. 新增个人信息可携带权与应用程序监管
个人有权要求将其个人信息转移至其指定的其他处理者,这借鉴了GDPR的数据可携带权,旨在促进平台间数据流动和市场竞争。同时,法律强化了对移动应用程序(APP)的监管,网信部门将组织对APP进行测评并公布结果,违规APP可能面临暂停或终止服务的处罚。
5. 区分义务与关注诉讼风险
法律引入了“小型个人信息处理者”概念,未来可能为其制定专门的、相对简化的保护规则,以减轻中小企业的合规负担。另一方面,法律强化了个人诉权和公益诉讼制度,个人在行权被拒时可提起诉讼,消费者组织也可提起公益诉讼,企业面临的诉讼风险显著增加。
实务建议
- 立即全面梳理业务各环节(包括对用户和员工)的个人信息处理活动,并依据法律明确的合法性基础(如履行合同、人力资源管理必需等)进行映射和评估。
- 审查并优化自动化决策(如定价、推荐算法)机制,确保决策透明、结果公平公正,并为用户提供清晰有效的非个性化选项或拒绝个性化推荐的便捷渠道。
- 更新隐私政策与用户协议,以清晰、易懂的方式向用户说明个人信息处理规则,特别是关于自动化决策、数据跨境、敏感信息处理及用户权利行使途径的部分。
- 建立并完善用户行权响应机制,确保能够有效响应个人的查阅、复制、更正、删除、撤回同意、解释及可携带权等请求,并制定内部流程应对可能发生的诉讼。
- 针对员工个人信息处理,尽快依据《劳动合同法》完善内部劳动规章制度,将员工信息收集、使用、保护等内容依法纳入,作为“人力资源管理所必需”的合规依据。
- 重点关注APP的合规设计,确保在收集、使用个人信息时遵循“最小必要”原则,并提供真实的权限管理选项,以应对日益严格的APP专项测评与监管。
- 在处理已公开个人信息(如从公开渠道获取)时,需评估处理行为的合理性,尊重个人隐私期待,若对个人权益有重大影响,仍需取得个人同意。
- 为处理敏感个人信息(包括儿童信息)建立单独流程,确保获取符合法律要求的“单独同意”,并采取加密、访问控制等严格的安全保护措施。
风险提示
- 切勿将“人力资源管理所必需”作为过度收集员工信息的万能借口,其范围必须严格限定在依法制定的规章制度和集体合同框架内。
- “大数据杀熟”与合理的差异化营销策略界限模糊,企业需谨慎评估自动化定价策略的公平性,避免构成不合理的差别待遇。
- “单独同意”的具体形式尚未有官方细则,但企业应避免将其与普通用户协议捆绑,需确保同意是突出、明确、且可单独作出的。
- 处理已公开个人信息并非绝对自由,需在“合理范围”内,并密切关注个人是否明确拒绝,否则仍可能侵权。
- “小型个人信息处理者”的豁免细则尚未出台,在明确前,所有企业仍应尽力满足《个人信息保护法》的全部要求,不可自行豁免。
- 个人诉权与公益诉讼门槛降低,企业因个人信息处理不当而成为被告的风险急剧上升,需提前做好应诉准备。
- APP测评结果可能直接影响业务运营,企业不应仅满足于通过技术检测,更应从业务逻辑和用户权益角度审视个人信息处理的实质合规性。