适用场景
所有涉及处理中国境内个人信息(包括用户、员工等)的出海企业,尤其是在业务规划、产品设计、系统开发及日常运营阶段,均需密切关注。对于提供互联网平台服务、用户量大或业务复杂的企业,要求更为严格。
核心要点
1. 明确个人信息处理的合法性基础
草案明确了包括“在合理范围内处理已公开信息”在内的多种合法性基础。企业需注意,依据“同意”之外的基础(如履行合同、法定义务)处理信息,无需再获取个人同意,这为特定业务场景提供了合规路径,但也要求企业准确界定适用场景。
2. 强化个人信息跨境传输监管
向境外提供个人信息的要求更加严格。若以合同作为出境条件,必须使用国家网信部门制定的标准合同。同时,严禁未经批准向境外司法或执法机构提供存储于境内的个人信息,企业需建立内部审批与阻断机制。
3. 设定超大互联网平台的额外义务
提供基础性服务、用户数量巨大、业务类型复杂的平台,被赋予更高义务。包括设立由外部成员组成的独立监督机构,对违规的平台内服务商停止服务,并定期发布个人信息保护社会责任报告。
4. 完善个人权利保障与侵权归责
个人撤回同意必须便捷,且撤回不影响此前已进行处理的效力。此外,草案确立了过错推定原则,一旦发生侵权纠纷,由企业承担证明自身无过错的举证责任,这大幅提高了企业的合规举证要求。
5. 扩展受托方与死者信息保护义务
接受委托处理个人信息的一方,也必须承担法定的个人信息保护义务。同时,新增规定死者的个人信息相关权利可由其近亲属行使,企业需相应建立针对死者信息权益的响应机制。
实务建议
- 立即梳理业务中所有个人信息的处理活动,并对照草案中的合法性基础(同意、合同履行、法定义务等)进行归类与评估。
- 若业务涉及个人信息出境,提前规划合规路径,并关注后续发布的标准合同范本,准备替换现有协议。
- 检查用户权利行使渠道(特别是撤回同意、注销账户等),确保操作流程便捷、明显,并做好操作日志留存。
- 建立并完善个人信息安全影响评估机制,对高风险处理活动(如跨境传输、使用人脸识别等新技术)进行事前评估。
- 大型平台企业应开始筹划设立外部独立监督机构,并考虑定期发布个人信息保护报告,展现合规成果。
- 对所有员工,特别是技术和运营人员,开展《个保法》草案要点与内部合规流程的培训。
- 完善内部文档管理体系,对所有合规措施(如安全策略、评估报告、培训记录)进行“留痕”,以备应对可能的过错推定举证。
风险提示
- 切勿将“处理已公开个人信息”作为万能合规借口,其“合理范围”界定严格,滥用(如用于金融营销)风险极高。
- 避免在用户界面中隐藏或复杂化撤回同意的路径,否则将直接违反“便捷”的法定要求。
- 警惕境外司法或执法机构的直接数据调取要求,未经中国主管机关批准,一律不得提供,否则将面临严重法律后果。
- 不要误认为委托第三方处理数据即可转移或免除自身责任,委托方需对受托方的处理活动进行监督。
- 对于大型平台,切勿忽视或拖延履行设立独立监督机构等特定义务,这将是监管关注的重点。
- 在诉讼中,企业若不能提供充分证据证明已尽到合规义务,将很可能因过错推定而败诉并承担赔偿责任。