适用场景
面向所有涉及处理中国境内用户个人信息的出海企业,尤其是在业务中涉及用户数据收集、分析、跨境传输或使用自动化决策(如推荐算法)的互联网平台、电商、金融科技、SaaS服务等企业,在业务启动、产品设计及日常运营阶段均需关注。
核心要点
1. 明确处理个人信息的法律基础
《个保法》规定了包括同意、履行合同、人力资源管理、公共利益等在内的多项法律基础。企业必须清晰梳理所有数据处理活动,并为其匹配恰当的法律依据,这是所有合规工作的前提。
2. 理解并落实“单独同意”要求
在处理敏感信息、对外提供、跨境传输等高风险场景时,若以“同意”为基础,则需获取用户的“单独同意”。其核心在于确保用户被单独、显著地告知并拥有独立选择权,而非机械地追求形式。
3. 区分对外提供、委托处理与共同处理
这三种模式法律责任不同。对外提供需向用户告知接收方详细信息并获得单独同意;委托处理则无需告知受托方具体信息,但应说明处理场景;共同处理需与第三方约定权利义务。企业需准确界定与第三方的关系。
4. 评估数据本地化与跨境传输义务
关键信息基础设施运营者及处理百万人以上个人信息的企业,需将数据存储在境内。数据出境需通过安全评估、认证或标准合同等路径。企业需评估自身是否触发门槛,并提前规划合规出境方案。
5. 应对自动化决策的透明性要求
使用算法进行自动化决策(如个性化推荐、定价)时,需保证决策的透明和结果公平。企业需以显著方式告知用户其基本原理、目的和运行机制,并提供拒绝或人工干预的选项,但无需公开技术细节。
6. 识别重要互联网平台的额外义务
用户规模巨大、业务类型复杂的平台可能被认定为“重要互联网平台”,需承担更高义务,如成立独立监督机构、制定平台规则等。企业可参考相关标准(如年活用户超5000万)进行自我评估。
实务建议
- 立即开展数据映射:全面梳理业务中所有收集、使用、存储、共享和跨境传输个人信息的场景,并记录对应的法律基础。
- 优化告知与同意机制:审查并更新隐私政策,对高风险处理活动设计清晰、醒目的单独同意流程,确保用户充分知情。
- 厘清第三方合作模式:审核与供应商、合作伙伴的数据处理协议,明确是委托处理、共同处理还是对外提供,并履行相应的告知义务。
- 评估跨境传输风险:统计处理的个人信息数量(特别是是否超百万),判断是否触发本地化存储义务,并提前研究安全评估等出境路径。
- 准备算法解释说明:为非技术用户准备关于自动化决策的通俗解释,例如使用示例、流程图说明算法逻辑、目的和影响。
- 建立内部合规台账:记录法律基础判定、同意获取、第三方合作等关键决策过程,以备监管问询或审计。
风险提示
- 误区:认为“同意”是唯一法律基础。实际上,履行合同、法定义务等均可作为依据,滥用“同意”可能导致同意疲劳和合规风险。
- 误区:将所有的第三方数据交互都视为“委托处理”以规避严格义务。需根据实际控制权与法律责任进行实质性判断。
- 注意事项:数据出境合规路径(如标准合同)尚在完善中,企业需密切关注网信部门的最新规定和动态。
- 注意事项:合规责任可能延伸到具体负责人。不仅公司会受罚,直接负责的个人信息保护负责人或高管也可能承担个人责任。
- 注意事项:不要忽视“软性”风险。除了行政处罚,用户诉讼、公益诉讼、媒体负面报道及商业伙伴的合规审查都可能对企业造成重大影响。