适用场景
面向所有在业务中收集、处理中国公民个人信息的出海企业,尤其是在产品开发、数据运营、营销推广等阶段的企业。
核心要点
1. 定义与原则的扩展与细化
新版规范将用户画像等加工后信息明确纳入个人信息定义,并新增了“个性化展示”和“业务功能”等关键概念。基本原则的表述也与上位法进行了更紧密的衔接,为企业提供了更清晰的合规边界。
2. 收集与使用环节要求显著增强
强调业务功能的自主选择,并配套了最小必要、告知同意的具体标准。特别规定收集个人生物识别信息需获得单独同意。在使用环节,新增了对用户画像、个性化展示、自动化决策等热点应用场景的具体约束。
3. 委托处理与第三方管理责任加重
强化了个人信息控制者对受托处理者的监督义务。细化了信息共享、转让的具体要求,并新增了对平台接入第三方(如SDK)的管理责任,要求控制者承担起共同或相应的责任。
4. 组织管理要求更具可操作性
明确了设立个人信息保护负责人/机构的规模标准,并新增了负责人的资质要求。引入了“个人信息安全工程”和“个人信息处理活动记录”等良好实践,要求将合规融入产品设计全流程。
5. 例外情形的明确与限缩
对无需获取授权同意、可拒绝响应主体权利请求等例外情形进行了调整和明确,例如将“法律法规另有规定”限缩为“履行法定义务相关”,并排除了将隐私政策本身视为合同以适用例外的情况。
实务建议
- 立即对照2020版规范,全面审查并更新您的隐私政策及个人信息收集、使用规则。
- 若业务涉及人脸等生物识别信息,务必设计并实施“单独同意”机制,并优先采用本地处理而非集中存储的方案。
- 建立并完善对第三方合作伙伴(如云服务商、数据分析SDK提供商)的数据安全能力评估与持续监督流程。
- 任命符合资质的个人信息保护负责人,并建立覆盖产品设计、开发、运营全流程的个人信息处理活动记录制度。
- 针对用户画像、个性化推荐、自动化决策等业务,进行个人信息安全影响评估,并向用户提供便捷的关闭或退出选项。
风险提示
- 切勿将隐私政策或用户协议简单等同于“履行合同所必需”,从而规避获取同意义务,此做法已被规范明确排除。
- 共享、转让个人敏感信息(尤其是生物识别信息)时,必须重新获取个人信息主体的明示同意,不可依赖原有授权。
- 尽管是推荐性国标,但其要求已成为国内监管执法的重要依据,忽视它将带来重大的合规与声誉风险。
- 在响应个人信息主体权利(如查询、删除、注销)时,注意新版规范的例外情形,避免无条件满足所有请求或一律拒绝两个极端。