适用场景
所有处理中国境内自然人个人信息的出海企业,无论其业务实体是否在中国境内,特别是涉及APP、网站运营、跨境数据传输或处理敏感信息(如医疗、金融、生物识别信息)的企业。
核心要点
1. 法律具有域外效力
即使企业在中国境内没有实体,只要其业务活动涉及向中国境内自然人提供产品或服务、分析评估其行为,就必须遵守中国的个人信息保护法规。企业通常需要在境内设立专门机构或指定代表。
2. 处理个人信息的基本原则
处理个人信息必须遵循合法、正当、必要和诚信原则,目的明确且最小化,并确保信息准确安全。处理前通常需要获得个人的单独同意,尤其是针对敏感信息。
3. 跨境传输数据门槛高
向境外传输中国公民的个人信息面临严格限制。需满足通过安全评估、获得专业认证或签订标准合同等条件之一,并事先告知用户并获得其单独同意,同时进行出境风险自评估。
4. 委托处理与第三方责任
企业可以委托第三方处理数据,但必须签订协议明确双方权责,并对受托方的处理活动进行监督。未经委托方同意,受托方不得转委托。
5. 违法后果严重
违规处罚严厉,包括高额罚款(最高可达上年度营收5%或五千万元)、责令暂停业务、吊销执照等。直接责任人员也可能面临个人罚款。举证责任倒置,企业需自证清白。
实务建议
- 立即开展数据合规自查:梳理业务中收集、存储、使用、传输的个人信息类型、目的、流程和涉及方。
- 建立合规基础框架:更新隐私政策,确保告知内容完整、清晰;设计并获得用户有效的单独同意机制,特别是针对敏感信息和跨境传输。
- 审慎规划数据跨境流动:评估是否必须跨境传输;如必须,提前研究并准备满足安全评估、认证或标准合同等合规路径。
- 规范第三方合作:与所有数据受托方签订包含法定必备条款的数据处理协议,并建立监督机制。
- 设立境内法律实体或指定代表:若业务面向中国用户,应依法在境内设立专门机构或指定联系人,并向主管部门报备。
- 建立数据安全与事件响应机制:采取技术和管理措施保障数据安全,制定个人信息泄露等安全事件应急预案。
风险提示
- 误区:公司注册地在海外就不受中国数据法规管辖。正解:只要业务活动涉及中国境内自然人,即受管辖。
- 误区:一份笼统的用户协议或隐私政策可获取所有处理活动的授权。正解:处理敏感信息、跨境传输等场景需获取用户的“单独同意”。
- 注意事项:委托第三方处理数据不能免除委托方自身的法律责任,必须进行有效监督。
- 注意事项:数据出境合规路径(安全评估/认证/标准合同)并非任选,需根据企业类型和数据量级满足特定条件,务必提前确认。
- 注意事项:对14周岁以下未成年人信息的处理,必须获得其监护人同意。