行业动态 | 《个人信息保护法》正式实施！跨境人需要特别注意的要点合集来啦！

个人信息保护法的域外效力

在数字化、智能化和网络化的时代，数据正在以前所未有的方式自由流动和跨境传输，因此个人信息保护立法仅有域内效力的规定根本无法充分保护本国公民的个人信息。2018年生效的欧盟GDPR率先确立了个人数据保护的域外效力，目前已有多个国家的个人信息保护法借鉴了GDPR域外效力的立法实践，我国的《个人信息保护法》也反映了国际个人信息保护的域外效力趋势。

我国《个人信息保护法》第三条第二款的规定，在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列三种情形之一的，也适用《个人信息保护法》：

一是“以向境内自然人提供产品或者服务为目的”，比如一家位于美国运营的电子商务网站（Amazon）向中国境内的自然人（包括本国人、外国人和无国籍人）提供产品或服务；

二是“分析、评估境内自然人的行为”，比如一家位于境外的社交网站分析、评估中国境内自然人的行为，像全球最大的社交网站Facebook，每年发布专门的用户行为习惯研究分析报告；

三是法律、行政法规规定的其他情形，如我国数据安全法第二条第二款明确规定：“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”。

个人信息跨境提供规则

在数字和网络时代，特别是疫情激发的非接触式经济，使得个人信息的跨境流动日益频繁，但是由于不同国家的个人信息法律制度存在差异，个人信息跨境流动的规则也有所不同。我国《个人信息保护法》立足我国实际，并借鉴了国际立法经验，确立了一套完善的个人信息跨境提供规则。

《个人信息保护法》明确了个人信息处理者向境外提供个人信息应当具备的基本条件，如关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估；对于其他需要跨境提供个人信息的，应由专业机构进行个人信息保护认证；个人信息处理者因业务需要向境外提供个人信息，需按照国家网信部门的标准合同与境外接收方订立合同；对我国缔结或者参加的国际条约、协定对向我国境外提供个人信息的条件等有规定的，可以按照其规定执行等。

《个人信息保护法》对个人信息处理者跨境提供个人信息的“告知与单独同意”作出了严格的要求；对因国际司法协助或者行政执法协助，需要向境外提供个人信息的，要求依法申请有关主管部门批准，特别是对从事损害我国公民个人信息权益或者危害我国国家安全、公共利益等活动的境外组织、个人，以及在个人信息保护方面对我国采取不合理措施的国家和地区，规定了相应的限制或者禁止措施。

严禁“大数据杀熟”以及为“用户画像”等涉及不当自动化决策

针对“大数据杀熟”、“用户画像”和“算法推荐”等涉及个人信息自动化决策的热点问题，《个人信息保护法》作出了明确规范（第二十四条）：首先，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇；其次，通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式；第三，通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

《个人信息保护法》就个人信息处理者利用个人信息进行自动化决策重点确立了一项义务性规范和一项禁止性规定：一是应当保证决策的透明度和结果公平、公正；二是不得对个人在交易价格等交易条件上实行不合理的差别待遇。

重要互联网平台的“守门人”制度

鉴于重要互联网平台掌握海量用户数据，一旦发生信息泄露或滥用，可能导致严重后果，《个人信息保护法》专门要求其履行“守门人”角色，并承担更多责任，主要包括：1.应按照国家规定建立健全个人信息保护合规制度体系；2.成立主要由外部成员组成的独立机构进行监督；3.遵循公开、公平、公正的原则制定平台规则；4.对严重违法处理个人信息的平台内产品或服务提供者停止提供服务；5.定期发布个人信息保护社会责任报告并接受社会监督等。

2021年10月29日，国家市场监督管理总局就《互联网平台分类分级指南（征求意见稿）》《互联网平台落实主体责任指南（征求意见稿）》公开征求意见。《互联网平台分类分级指南（征求意见稿）》根据用户规模、业务种类、限制能力，将互联网平台分为以下三级：超级平台、大型平台和中小平台，其中“超级平台”超级平台指同时具备超大用户规模、超广业务种类、超高经济体量和超强限制能力的平台。其中，超大用户规模，即平台上年度在中国的年活跃用户不低于5亿；超广业务种类，即平台核心业务至少涉及两类平台业务，该业务涉及网络销售、生活服务、社交娱乐、信息资讯、金融服务、计算应用等六大方面；超高经济体量，即平台上年底市值（估值）不低于10000亿人民币；超强限制能力，即平台具有超强的限制商户接触消费者（用户）的能力。

《互联网平台落实主体责任指南(征求意见稿)》明确了超大型平台经营者的八大主体责任：

一是公平竞争的示范责任，超大型平台经营者具有规模、数据、技术等优势，应当发挥公平竞争示范引领作用；

二是平等治理的责任，超大型平台经营者应当遵守公平和非歧视原则，平等对待平台自身（或关联企业）和平台内经营者，不实施自我优待；

三是开放生态的责任，超大型平台经营者应当在符合安全以及相关主体权益保障的前提下，推动其提供的服务与其他平台经营者提供的服务具有互操作性；

四是数据管理的责任，超大型平台经营者应当建立健全数据安全审查与内控机制，对涉及用户个人信息的处理、数据跨境流动，涉及国家和社会公共利益的数据开发行为，必须严格依法依规进行，确保数据安全；

五是内部治理的责任，超大型平台经营者应当设置平台合规部门，不断完善平台内部合规制度和合规机制，响应监管部门的监管要求，并建立平台内部预防腐败机制；

六是风险评估的责任，超大型平台经营者应当至少每年进行一次风险评估，重点识别、分析和评估由其提供的互联网平台服务可能引起的各种风险，并定期发布风险评估报告；

七是安全审计的责任，超大型平台经营者应定期委托第三方独立机构对《互联网平台落实主体责任指南》所规定的主体责任的遵守情况进行审计，并由第三方独立机构发布书面审计报告；

八是促进创新的责任，超大型互联网平台经营者应当充分利用数据、资金、人才、用户和技术等资源优势，加大创新投入，提升技术水平，组织核心技术攻关，加快技术迭代，扶持中小科技企业创新，不断激发平台经济领域创新发展活力。