适用场景
本指南适用于所有涉及中国境内自然人个人信息处理的中国出海企业,特别是跨境电商平台、跨境电商企业及其境内服务商(如支付、物流),无论企业规模大小,只要其业务活动涉及个人信息的收集、存储、使用、传输,或向境内自然人提供产品服务、分析其行为,均需关注并遵守《个人信息保护法》(PIPL)的相关规定。
核心要点
1. PIPL的广泛适用性与域外效力
《个人信息保护法》不仅规制境内个人信息处理活动,还对境外向境内自然人提供产品服务或分析其行为的活动具有域外管辖权。境外个人信息处理者需在中国境内设立专门机构或指定代表,并向监管部门报送相关信息。
2. 个人信息跨境传输的严格条件
关键信息基础设施运营者和处理达到国家网信部门规定数量个人信息的企业,原则上需将数据存储境内。确需向境外提供时,必须通过国家网信部门安全评估、专业机构认证、签订标准合同或满足其他法定条件之一,并取得个人的单独同意。
3. 平台企业的“守门人”义务
重要的互联网平台企业(用户数量巨大、业务复杂)负有特殊责任,包括建立健全合规制度、成立独立监督机构、制定平台规则、对违规商家停止服务,并定期发布个人信息保护社会责任报告。
4. 敏感个人信息的处理要求
处理如金融消费习惯等敏感个人信息,必须具备特定的目的和充分的必要性,并采取严格保护措施。同时,必须取得个人的单独同意,并特别告知其处理的必要性及对个人权益的影响。
5. 政府部门的数据合规责任
即使是海关等国家机关在履行法定职责处理个人信息时,也需遵循合法、正当、必要和诚信原则,公开处理规则,并采取必要措施保障数据安全,对个人信息泄露等事件承担相应责任。
实务建议
- 全面评估企业个人信息处理活动,识别PIPL下的合规风险点,尤其关注数据收集、存储、使用和跨境传输全流程。
- 对于涉及个人信息出境的业务,提前规划并选择合适的合规路径(如安全评估、标准合同或专业认证),并确保取得个人的单独同意。
- 建立健全内部数据合规管理体系,任命数据保护负责人(DPO),完善数据安全技术措施(如加密、匿名化),并定期进行个人信息保护影响评估(PIPIA)。
- 平台企业应将PIPL合规要求嵌入产品生命周期管理,制定并公示明确的平台规则,对平台内商家的数据处理行为进行监督,并对严重违规者采取停止服务等措施。
- 处理敏感个人信息时,务必确保目的明确、必要性充分,并以清晰易懂的方式向个人告知处理的必要性和潜在影响,获取单独同意。
风险提示
- 忽视PIPL的域外适用性,可能导致境外企业在华业务面临合规风险,并被要求在境内设立机构或指定代表。
- 未能正确识别自身是否属于关键信息基础设施运营者或达到数据量阈值,可能导致未履行境内存储义务,面临监管处罚。
- 个人信息跨境传输未满足法定条件或未取得单独同意,将面临高额罚款(最高可达年度营业额5%)及业务暂停、吊销执照等严厉处罚,并可能被记入信用档案。
- 对敏感个人信息的处理未采取严格保护措施或未取得单独同意,将面临更严格的监管和法律责任。
- 平台企业未能履行“守门人”义务,可能被追究连带责任或面临行政处罚。