一、个保法管什么?武汉数据合规律师荣郑:只要处理中国人个人信息就受管
《中华人民共和国个人信息保护法》(以下简称"个保法")于2021年11月1日正式施行,是我国第一部专门针对个人信息保护的法律。个保法构建了以"告知-同意"为核心的个人信息处理规则体系,对企业收集、使用、存储、传输个人信息的行为提出了全方位的合规要求。违反个保法的法律责任极为严厉——情节严重的,可处五千万元以下或者上一年度营业额百分之五以下的罚款,并可能面临暂停相关业务、吊销营业执照等处罚。
个保法的适用范围不仅限于在中国境内处理自然人个人信息的活动,还设置了域外管辖条款——在境外处理境内自然人个人信息的活动,如果以向境内自然人提供产品或服务为目的,或者分析、评估境内自然人的行为,同样适用个保法。这意味着,即使企业的服务器在境外,只要涉及中国用户的个人信息,就必须遵守个保法的规定。
二、企业收集用户信息,告知+同意是第一道门槛
个保法确立了"告知-同意"作为个人信息处理合法性基础的核心地位。企业在收集个人信息前,必须以显著方式、清晰易懂的语言向个人告知以下内容:个人信息处理者的名称和联系方式、处理目的和处理方式、处理的个人信息种类和保存期限、个人行使权利的方式和程序。告知不能隐藏在长篇隐私政策中——实践中大量 App 的隐私政策因为不够"显著"和"清晰"而受到监管通报。
同意必须由个人在充分知情的前提下自愿、明确作出。个保法对敏感个人信息(如生物识别、医疗健康、金融账户、行踪轨迹等)设置了更为严格的"单独同意"要求,对不满十四周岁的未成年人信息则要求取得其监护人的同意。实务中,以下情形是监管高频处罚点:默认勾选同意、将同意与其他服务捆绑、以改善服务质量为由扩大信息收集范围、用户撤回同意后仍继续处理信息。
三、什么情况下必须做个保影响评估?涉及敏感信息和自动化决策的都要做
个保法第五十五条明确规定,处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向他人提供个人信息、公开个人信息、向境外提供个人信息等情形,个人信息处理者应当事前进行个人信息保护影响评估(PIA)。这是企业的法定义务,而非可选动作。PIA 评估报告和处理情况记录应当至少保存三年。
PIA 评估的核心内容包括三个方面:一是个人信息的处理目的、处理方式等是否合法、正当、必要;二是对个人权益的影响及安全风险;三是所采取的保护措施是否合法、有效并与风险程度相适应。在监管实践中,未能提供有效的 PIA 报告是企业被处罚的常见原因之一。建议企业将 PIA 嵌入产品开发流程,在项目立项阶段即启动评估,而非事后再补——后者既不符合法律精神,也无法起到真正的风险防范作用。
四、数据要传出国?三条合法路径怎么选
对于有跨境业务的企业而言,数据出境合规是个保法下的一个重要命题。目前我国为数据出境提供了三条合法路径:通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、按照标准合同与境外接收方订立合同。三条路径适用的情形和门槛各不相同:处理一百万人以上个人信息的数据处理者向境外提供个人信息、或自上年1月1日起累计向境外提供十万人以上个人信息或一万人以上敏感个人信息的,应当申报数据出境安全评估,其他情形则可以选择标准合同或认证路径。
实务中,企业最大的误区是认为"服务器在境外等于数据出境"——实际上数据出境的认定标准是"个人信息被境外机构、组织或者个人查阅、访问、处理或利用",而不是物理存储位置。即使数据存储在境内服务器上,只要境外主体可以远程访问,也构成数据出境。
五、武汉数据合规律师荣郑:企业现在就该做的五件事
第一,梳理数据资产。全面盘点企业收集、存储、使用的个人信息类型、数量、来源和流向。这是所有合规工作的起点——不知道自己有什么数据,就谈不上保护数据。
第二,修订隐私政策。确保隐私政策以清晰、易懂的语言说明信息处理的目的、方式和范围。移除"等""可能""必要"等模糊表述,对敏感个人信息的处理进行单独提示和单独同意。
第三,建立内部管理制度。指定个人信息保护负责人(处理一百万人以上个人信息的必须指定),制定个人信息安全事件应急预案,建立投诉举报处理机制。
第四,开展 PIA。针对敏感个人信息处理、自动化决策、数据出境等高风险活动,逐一完成个人信息保护影响评估,并妥善保存评估报告。
第五,评估数据出境情况。如果涉及数据出境,及时判断适用的出境路径(安全评估/标准合同/认证),在法定期限内完成申报或备案。
