适用场景
所有涉及处理中国境内自然人个人信息的出海企业,无论是在业务拓展、市场分析还是日常运营阶段,均需关注。尤其适用于通过App、网站等向境内用户提供产品或服务,或分析、评估境内用户行为的企业。
核心要点
1. 《个人信息保护法》的广泛管辖权
该法不仅管辖在中国境内的个人信息处理活动,也延伸至境外。只要是以向中国境内自然人提供产品或服务为目的,或分析、评估其行为,即使企业在境外,也必须遵守该法。这意味着绝大多数服务中国用户的出海企业都在其监管范围内。
2. 处理个人信息的核心原则:合法、正当、必要
企业处理个人信息必须遵循合法、正当、必要原则。具体体现为“最小影响、最小范围、最短时间”规则。收集信息应限于实现处理目的的最小范围,采取对个人权益影响最小的方式,且保存期限应为实现目的所必需的最短时间。
3. 严格的“告知-同意”与“撤回”机制
处理个人信息通常需取得个人的明确同意,且同意应建立在充分、清晰的事先告知基础上。对于向第三方提供信息、公开信息、处理敏感信息、信息出境等重大事项,需取得个人的“单独同意”(即另行、特别同意)。同时,必须为用户提供便捷的撤回同意方式。
4. 对自动化决策的明确限制
利用个人信息进行自动化决策(如个性化推荐、精准营销、信用评估)必须保证透明度和结果公平公正,不得实行不合理的差别待遇(如“大数据杀熟”)。必须提供不针对个人特征的选项或便捷的拒绝方式,并对重大决策提供说明和人工复核渠道。
5. 企业必须履行的组织与制度义务
企业需建立完善的内部合规体系,包括制定内控制度、对个人信息进行分类分级管理、采取加密等安全技术措施、合理设定操作权限、制定安全事件应急预案,并指定个人信息保护负责人。对于高风险处理活动,必须事前进行个人信息保护影响评估。
实务建议
- 立即审查业务:梳理所有业务环节(收集、存储、使用、传输等)处理的个人信息类型、目的和合法性基础,确保符合“最小必要”原则。
- 更新隐私政策与告知方式:以清晰易懂的语言更新隐私政策,并通过弹窗等显著方式告知用户核心内容。确保在获取“单独同意”时,采用增强式告知(如独立弹窗),并与一般性同意分开。
- 建立用户权利响应机制:设置易于找到的“撤回同意”入口,并建立流程确保能及时停止处理并删除(或匿名化)相关数据。建立渠道响应用户关于自动化决策的查询与申诉。
- 开展数据分类分级与风险评估:参考行业标准,对企业处理的个人信息进行分类分级,并对敏感信息、出境信息、未成年人信息等重点保护。对自动化决策、信息出境等高危场景强制进行个人信息保护影响评估。
- 落实内部合规管理:任命个人信息保护负责人,制定并完善内部管理制度、操作规程和安全应急预案,定期对员工进行合规培训,并做好所有合规举措的记录留存,以备“自证清白”。
风险提示
- 误区:认为公司注册在境外或服务器在境外就不受中国《个人信息保护法》管辖。正解:只要业务面向中国境内用户,即受管辖。
- 误区:将《用户协议》和《隐私政策》混为一谈,或告知内容晦涩冗长。正解:应将个人信息处理规则单独、显著地告知用户,确保告知有效。
- 误区:认为获得一次概括性同意即可用于所有后续处理。正解:向第三方提供、公开、出境、处理敏感信息等场景,必须重新获取用户的“单独同意”。
- 注意事项:自动化决策系统需避免算法歧视,并准备向用户解释算法逻辑。仅靠自动化决策作出对用户有重大不利影响的决定(如拒贷)存在法律风险。
- 注意事项:违法后果极其严重,包括高额罚款(最高可达上年度营业额5%)、责令暂停业务、吊销许可,以及面临公益诉讼和过错推定的民事赔偿风险。