适用场景
所有在业务中收集、处理或传输中国公民个人信息的出海企业,特别是在产品开发、用户运营、营销推广和数据跨境传输阶段的企业。
核心要点
1. 个人信息定义广泛,涵盖活动情况
中国法律对“公民个人信息”的定义非常宽泛,不仅包括姓名、身份证号等直接身份识别信息,还包括住址、通讯方式、账号密码、财产状况、行踪轨迹等能够单独或结合其他信息识别特定自然人身份或反映其活动情况的各种信息。这意味着企业日常收集的许多用户数据都可能落入监管范围。
2. 合法收集后非法提供同样构成犯罪
即使企业通过合法渠道收集了个人信息,未经信息主体同意而向他人提供,也可能构成“侵犯公民个人信息罪”。唯一的例外是信息经过匿名化处理,达到无法识别特定个人且不能复原的程度。这要求企业在数据共享、转让或委托处理前必须获得有效授权。
3. 入罪门槛明确,依信息敏感度分级
司法解释明确了“情节严重”的入罪标准,主要依据信息数量和违法所得。标准根据信息敏感度分级:行踪轨迹、通信内容、征信、财产信息50条以上;住宿、通信记录、健康生理、交易等信息500条以上;其他信息5000条以上。违法所得5000元以上也可入罪。这为企业评估风险提供了具体量化参考。
4. 网络服务提供者负有特定义务
网络服务提供者(包括提供在线服务的出海企业)若拒不履行法定的信息网络安全管理义务,经监管部门责令改正而拒不改正,导致用户个人信息泄露并造成严重后果的,可能单独构成“拒不履行信息网络安全管理义务罪”,面临刑事处罚。
5. 罚金与单位犯罪规定严厉
罚金数额通常在违法所得的一倍至五倍之间。不仅自然人,单位也可构成此罪,将对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。这意味着企业需要建立有效的内部合规体系来规避组织风险。
实务建议
- 立即梳理业务中涉及的中国公民个人信息类型与数量,对照司法解释的敏感信息分类与数量门槛进行风险评估。
- 建立严格的个人信息对外提供(包括向关联公司、第三方合作伙伴提供)的审批流程,确保每次提供都事先获得用户的明确同意,或对数据进行彻底的匿名化处理。
- 在用户协议和隐私政策中,清晰、具体地告知个人信息收集、使用、共享的目的、方式和范围,确保获得有效的知情同意。
- 针对网络服务提供者的身份,建立内部信息安全管理制度,并确保能及时响应监管部门的整改要求。
- 对员工,特别是能接触用户信息的“内部人员”,进行定期的刑事合规培训,强调法律红线与后果。
- 在数据跨境传输场景中,确保同时满足中国《个人信息保护法》等法规的出境要求,避免因跨境传输触发刑事风险。
风险提示
- 误区:认为只要初始收集是合法的,后续如何使用和提供数据就相对自由。事实是,未经同意的提供行为本身就可能构成犯罪。
- 误区:只关注民事和行政处罚,忽视刑事风险。侵犯公民个人信息罪的入罪门槛(如5000条信息)在业务规模下很容易达到,刑事后果远比罚款严重。
- 注意事项:匿名化处理有严格标准,必须是“无法识别特定个人且不能复原”,简单的去标识化(如删除姓名)可能不足以规避风险。
- 注意事项:为合法经营活动(如精准营销)而购买公民个人信息,若获利超过5万元,也可能构成“情节严重”,切勿以为商业用途就能免责。
- 注意事项:司法解释具有溯及力,对于2017年6月1日之前发生但尚未处理完毕的行为同样适用,需对历史数据操作进行回溯审查。