适用场景
所有涉及收集、处理、存储或跨境传输用户/员工个人信息的中国出海企业,尤其是在业务启动、产品上线及数据跨境流动阶段需要重点关注。
核心要点
1. 个人信息出境路径选择
企业向境外提供个人信息需满足特定条件。一般企业可选择通过安全评估、专业机构认证或签订标准合同三种路径之一。但关键信息基础设施运营者或处理大量个人信息的企业,则必须通过国家网信部门的安全评估,不能选择认证或标准合同路径。
2. 用户权利保障与便捷撤回
企业必须保障用户对其个人信息的控制权,核心是提供便捷的撤回同意方式。用户有权在信息处理的全生命周期内随时撤回同意,企业需确保撤回操作与当初表示同意一样简单,例如在App显著位置设置一键撤回功能或提供明确的响应渠道。
3. 处理个人信息的合法基础
处理个人信息不仅限于取得用户同意,还包括为履行合同所必需等法定情形。但企业需审慎适用这些非同意情形,避免滥用“合同必需”等理由过度收集信息,并注意留存相关证据以备核查。
4. 委托处理与平台特殊义务
当企业委托第三方处理个人信息时,受托方必须严格按约定处理,不得超范围、转委托,合同结束后需返还或删除数据。此外,大型基础性互联网平台需设立由外部成员组成的独立监督机构,定期发布社会责任报告,并对平台内违规服务商采取停止服务等措施。
5. 风险评估与过错推定防范
企业在处理敏感信息、进行自动化决策、数据出境等高风险活动前,必须进行个人信息保护影响评估并至少保存记录三年。法律采用“过错推定”原则,一旦发生侵害,企业若不能自证无过错则需担责,因此日常合规操作中的证据留痕至关重要。
实务建议
- 规划数据出境前,首先明确自身是否属于关键信息基础设施运营者或达到规定处理量级,以确定适用单一安全评估还是多路径选择。
- 在产品设计阶段,就将用户撤回同意的入口置于显著、易操作的位置,并建立后台及时响应机制。
- 若依据“履行合同所必需”等非同意情形处理信息,务必书面明确该处理行为与合同目的的直接关联性,并归档相关文件。
- 与数据处理受托方签订详细合同,明确约定处理目的、范围、期限、安全措施及违约责任,并定期进行合规审计。
- 在处理敏感个人信息、数据出境等场景前,严格按照国家标准《个人信息安全影响评估指南》开展评估,并妥善保存评估报告至少三年。
- 建立并持续完善内部个人信息保护制度,对数据分类、权限管理、员工培训、应急预案等环节做好记录,形成完整的合规证据链。
- 如收到境外司法或执法机构提供境内个人信息的要求,必须事先获得中国主管机关批准,否则应通过去标识化等技术手段处理相关数据。
风险提示
- 切勿误以为所有数据出境都可自由选择三种路径,特殊企业仅适用安全评估,选错路径将导致违规。
- 不要忽视用户撤回同意权的全周期性,仅在收集环节设置同意选项而无法在后续使用中撤回,属于不合规。
- 避免滥用“为履行合同所必需”等条款,无限扩大个人信息收集范围,这可能引发监管挑战和用户诉讼。
- 委托第三方处理数据时,切忌合同约定不清或缺乏监督,受托方的违规行为可能导致委托方承担连带责任。
- 大型互联网平台切勿忽视设立独立监督机构的法定义务,否则可能面临高额罚款甚至责令停业整顿。
- 在个人信息侵权诉讼中,企业若无法提供已尽到安全保障义务的证据,将因“过错推定”而大概率败诉并赔偿。
- 未经中国主管机关批准,绝对不得直接向境外司法或执法机构提供存储于境内的个人信息。