适用场景
面向所有涉及处理用户个人信息的中国出海企业,尤其是在App、网站、电商等业务中收集、使用、存储或跨境传输用户数据的企业。
核心要点
1. 获取有效同意的核心要求
处理个人信息必须获得用户自愿、明确、充分知情下的同意。对于向第三方提供信息、处理敏感信息、跨境传输等特定场景,必须获取用户的单独同意。当处理目的、方式或信息种类变更时,必须重新获取同意。
2. 对未成年人信息的特殊保护
如果知道或应当知道处理的是不满14周岁未成年人的个人信息,必须取得其监护人的同意。企业需建立有效的年龄验证机制,以履行此项义务并降低合规风险。
3. 用户权利的保障与业务平衡
用户有权撤回其基于同意的授权。企业不得因用户不同意或撤回同意而拒绝提供核心产品或服务,除非该信息是提供服务所绝对必需的。这要求企业精准界定信息收集的必要性范围。
4. 处理前的透明告知义务
在处理信息前,必须以显著、清晰易懂的方式告知用户处理者身份、处理目的、方式、信息种类、保存期限及用户行使权利的方式。告知内容变更时也需及时通知。个人信息处理规则应公开且便于用户查阅和保存。
5. 合作与委托处理中的责任界定
与其他方共同决定处理个人信息时,需内部明确权责,但对外需共同对用户承担责任。委托第三方处理时,必须通过合同明确约束并监督受托方,且未经同意受托方不得转委托。企业合并分立导致信息转移时,需告知用户并确保接收方继续履行义务。
实务建议
- 在隐私政策或弹窗中,使用清晰语言说明信息处理规则,并为‘单独同意’设置独立的勾选框或确认步骤。
- 在App或网站中,确保用户能在四次点击内找到完整的隐私政策,并提供PDF下载等便于保存的格式。
- 建立用户权利响应机制,确保用户能便捷地行使查询、更正、删除、撤回同意等权利。
- 与任何第三方(如数据分析服务商、云服务商)签订数据处理协议,明确其处理范围、安全义务及违约责任。
- 定期审查并更新隐私政策,当业务功能或数据处理方式变更时,及时通知用户并重新获取必要同意。
- 针对可能涉及未成年人的业务,设计年龄筛查环节,并对确认为未成年人的用户启动监护人同意流程。
- 遵循‘最短必要时间’原则,在内部数据管理政策中明确各类个人信息的保存期限,并设置到期自动删除机制。
风险提示
- 避免‘捆绑式’同意,即不能将多项信息处理授权打包,迫使用户一次性全部同意。
- 注意‘单独同意’的法定场景(向第三方提供、处理敏感信息、跨境传输),遗漏将导致合规瑕疵。
- 委托第三方处理数据时,不能‘一托了之’,必须进行持续监督,否则可能因第三方违规而承担连带责任。
- 切勿认为匿名化信息可随意共享,法律禁止接收方试图重新识别个人身份。
- 在紧急情况下(如为保护生命财产安全)无法事先告知的,也应在紧急情况消除后及时补上告知程序。