CHATLABS
CHATLABS
AI驱动SXPChatLabs技术加入团队联系我们预约演示
website image

中国新出的《个人信息保护法》,对于国际品牌来说意味着什么?

10月 18日, 2021 | Danielle Sumerlin
行业分析微信 101

《个人信息保护法》- 重点内容是什么?

简单来说,《中华人民共和国个人信息保护法》(简称《个人信息保护法》),就是对中国境内收集到的个人信息保护。

其实之前政府也出台过相关法律保护个人信息,不过这部将在11月1日生效的法律,跟之前比,不同的地方在于,之前只是针对特定的个人信息,而现在的范围扩大到了所有可能暴露个人信息的数据。

举个例子。当我们在购物付费的时候,我们已经向商场传递了我们的消费内容、消费习惯,再加上我们的购物地址(即商场),和第三方平台收集到的信息(比如停车场付费信息等),这些信息足以让商家识别出消费者,即使我们在这个过程中没有输入任何邮箱或者手机号码。

六项法律原则构成了《个人信息保护法》中个人信息处理的基础:

  1. 合法、公平、必要性、诚挚

  2. 目的限制(通过同意管理)

  3. 数据最小化

  4. 公开透明

  5. 信息质量保证

  6. 信息可靠性和安全性

要符合《个人信息保护法》,公司必须具有处理以下个人信息之一的合法依据:

  1. 得到被获取信息本人的允许

  2. 履行合同

  3. 法律义务

  4. 收集到的信息在某些紧急情况下需要用到

  5. 为公共利益所必需的报告和舆论监督

  6. 合法公开的个人信息

  7. 法律法规规定的其他情形

对于大部分的国际公司来说,他们首要的任务是获取个人被收集信息的同意。除此之外,其他条件包括进行风险评估、保存记录、满足其他安全控制(见下文)以及通过安全评估或获得专门机构的认证。

个人信息处理者必须满足的必要安全控制包括遵循既定的政策和程序、对个人信息进行分类、获得操作意识和许可培训、加密和去标识化、事件响应以及通过定期合规性审计。

用户拥有数据主体权利 (DSR),类似于通用数据保护条例 GDPR:

  • 知情权

  • 访问权

  • 纠正/纠正权

  • 删除权

  • 反对处理数据的权利

  • 数据携带权(必须满足国家互联网信息办公室规定的条件)

  • 不受自动决策约束的权利(如分析和个性化)

  • 撤回同意的权利

  • 提出投诉的权利

虽然《个人信息保护法》没有指定确切的合规时间,但品牌必须在合理的业务时间范围内满足请求。

用户同意如何在《个人信息保护法》下运作?

获得必要的同意取决于收集的数据类型和该信息的预期用途。例如,敏感个人信息,或者是将用于完成交易、营销或分析的信息。

《个人信息保护法》定义的敏感个人信息需要明确的同意,包括个人的特定身份和位置,以及其他因素,如宗教、健康状况、财务账户和个人信息关于孩子。

品牌可以在以下四个情况请求用户被收集信息的同意:

  1. 运营(交易、商业和后续服务)

  2. 订阅(如会员资格)

  3. 营销(用于发送促销和类似通信)

  4. 分析(用于改善用户体验的所有 AI 和个性化)

在获得同意时,必须考虑其他四个问题:

  1. 谁在获取数据?仅内部品牌处理,还是涉及第三方(第三方包括中国大陆以外的品牌总部)?

  2. 数据将用于什么?这就是同意级别的来源。是否只是为了交付产品,还是为了个性化用户收到的促销信息?

  3. 什么时候?或者,持续时间是多少?例如,数据是否会在最后一次联系后保留一个月或一年?

  4. 在哪里?是否需要跨境同意?

同意书必须是有目的性且清晰的,而且是容易理解的,而不是被一堆复杂的法律术语包装起来。

而以下的特殊情况,对同意书又有着不同的要求:

  • 敏感信息(如位置)需要明确同意

  • 父母对孩子的同意

  • 跨境数据传输需要明确同意

《个人信息法》,对于在中国运营 的国际公司们意味着什么?

《个人信息保护法》的实施,意味着同意不再是二元的。例如,用户可能同意营销,但不同意分析(因此品牌无法再为他们提供个性化广告)。此外,品牌可能需要在不同平台获得用户的同意授权,比如微信上需要,京东上也需要,天猫上也需要再获得一次。

举个例子。一个品牌在上海举办一个活动,并希望他们每周的微信公众号内容能够向该市的所有粉丝宣传该活动。虽然这在以前是可能的,但现在不是那么简单了。品牌首先需要解决的问题是,是否已获得每个用户的明确同意使用敏感信息(位置)进行营销?

这就是复杂的地方了。《个人信息保护法》实施了之后,一些历史数据将不能被使用。该品牌知道他们在上海有 5000 名粉丝,但它可能没有得到每个人的明确同意去使用这些信息。这就是数据去标识化。

品牌将需要确保采取的每一项行动都有得到用户的同意。这就包括,与交易相关的,与营销相关,以及与分析相关的内容。品牌需要在这三个属性中查看用户当前的同意状态,以确保他们所做的任何活动实际上都合规。

因此,品牌必须对每个活动和每个操作进行用户同意检查。而且,如上所述,不同的数据源可能会在不同的同意级别下导入,因此数据源决定了同意碎片化。这就是需要品牌精细访问控制的原因:品牌必须查看用户列表,并在发送宣传材料或重新定位或采取其他行动之前,实时确认每个人的当前同意访问权限。每次品牌开展活动时,它都必须从头检查,比如“哪些用户同意接收重新定位等等?”品牌活动的一些前期准备工作会跟以前有很大不同。

此外,这并不是获得每个用户最大限度的同意那么简单。那些试图获得完全明确同意(包括跨境)的品牌大概最终只会获得约 2% 的采用率。品牌需要进行同意 A/B 测试,以了解人们愿意做出哪些同意。品牌使用的每个软件解决方案都必须考虑到用户的同意。

品牌现在必须在更细致的层面上获得用户的同意。个人信息处理者,特别是必须将用户信息传送回境外的总部的品牌,必须在用户互动和跟踪的问题上得到同意,以确保信息的安全控制和DSR(数据主体请求)合规性。


如果你想知道品牌在新规后具体应该做,请联系我们!

订阅邮件

想要第一时间获取中国市场行业资讯、热点事件、行业报告或是案例分析?订阅ChatLabs的邮件。