适用场景
面向海外市场、涉及处理中国公民个人信息的出海企业,特别是业务中包含用户画像、自动化营销、面向儿童提供服务或需要处理用户数据转移请求的企业。
核心要点
1. 自动化决策的合规边界
《个保法》明确禁止利用自动化决策对个人实行不合理的差别待遇(如“大数据杀熟”)。企业需结合《深圳经济特区数据条例》和《反垄断指南》等规则,判断何为“交易条件相同”和“不合理差别”,并建立相应的风险评估与抗辩机制,以避免高额处罚。
2. 未成年人个人信息作为敏感信息
不满十四周岁未成年人的个人信息被明确列为敏感个人信息。处理此类信息必须取得监护人单独同意,且处理目的需具备充分必要性并采取严格保护措施。企业需建立有效的年龄识别机制和专门的未成年人信息处理规则。
3. 个人信息可携带权的落地挑战
《个保法》新增个人信息可携带权,个人可要求将其信息转移至指定的其他处理者。此权利旨在打破数据孤岛,但其具体行使范围(如哪些信息可转移)、前提条件及企业可拒绝的合法事由(如涉及商业秘密、技术不可行)尚待细则明确,企业需提前规划应对流程。
实务建议
- 审查并调整自动化决策(如个性化定价、推荐)机制,参照《深圳经济特区数据条例》评估是否存在‘不合理差别待遇’,并保留能证明交易条件存在‘实质性差别’或符合行业惯例的证据。
- 若业务可能触及未成年人,立即部署年龄验证机制(如输入年龄、结合行为分析),并制定独立的《儿童个人信息处理规则》,确保获取监护人单独同意。
- 提前规划个人信息可携带权的响应流程,明确可转移的信息范围(如优先考虑用户主动提供的数据)、技术实现方式及可能的收费政策,并在隐私政策中予以说明。
- 建立敏感个人信息(含未成年人信息)的专项处理台账,记录处理目的、必要性评估、同意获取情况及保护措施,以备监管核查。
- 持续关注网信部门后续发布的关于自动化决策差别待遇、可携带权实施细则的官方解释与执法案例,及时调整内部合规策略。
风险提示
- 误区:认为‘新用户优惠’一定合规。注意:需在合理期限内进行,且避免对‘交易条件相同’的老用户构成不合理歧视。
- 误区:认为取得一次性概括同意即可处理儿童信息。注意:必须就处理儿童信息取得监护人的‘单独’、‘明确’同意。
- 注意事项:在应对可携带权请求时,切勿简单拒绝或全部提供。需谨慎区分用户提供的数据与自身生成的推断数据(如信用评分),后者可能不属于必须转移的范围。
- 注意事项:自动化决策的合规举证责任在企业方。若无法证明差别待遇的合理性,可能面临最高上一年度营业额5%的巨额罚款。