2025年9月18日,公安部网安局公布6起“护网—2025”专项工作中,涉及不履行网络安全、数据安全、个人信息保护义务的行政执法典型案例。(公安部公布“护网—2025”专项工作6起行政执法典型案例)本期特邀请公安部第三研究所黄道丽研究员解读案例六“上海公安机关侦办的某跨国公司不履行个人信息保护义务案”。
基本案情
2025年5月,多家媒体报道境外某时尚消费品牌发生数据泄露事件,中国大陆地区用户也陆续收到该公司警示短信。上海公安机关网安部门查明,该品牌中国公司未通过数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证,违规向境外总部传输用户个人信息,未向用户充分告知其个人信息境外接收方的处理方式,未取得用户“单独同意”,未对收集的个人信息采取加密、去标识化等安全技术措施。当地公安机关已依法对该公司予以行政处罚并责令限期改正。
当前,数据出境治理已成为数据法治的重要议题,世界主要国家和地区基于自身发展需要出台政策法规,探索双边、多边合作,积极构建安全有效的数据跨境流动治理体系。我国《网络安全法》《数据安全法》《个人信息保护法》在法律层面对数据出境活动作出明确规定。对于个人信息出境,法律规定了数据出境安全评估、个人信息保护认证、个人信息出境标准合同等多种途径。为落实法律规定,扩大高水平对外开放,国家网信办先后出台实施《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》,发布《关于实施个人信息保护认证的公告》及配套认证规则,明确数据出境相关制度的实施路径,探索便利化的数据跨境流动安全管理机制。在围绕数据出境安全风险防范不断寻求解决方案的同时,我国结合实践需求,对数据出境管理体系进行动态调整,便利简化出境申报流程,推动自贸试验区数据出境负面清单制定,释放便利数据出境的积极信号,但这并不意味着监管要求的降低。
2025年5月,上海公安机关查处某跨国公司不履行个人信息保护义务案,反映出监管部门对数据出境违法行为的监管力度持续增强,也揭示了企业加强数据出境合规管理的必要性和重要性。
一、案例分析
从监管部门来看,结合国家网络安全通报中心和公安部公众号披露的案件信息情况分析,该案执法机构为迪奥(上海)公司属地的上海公安机关。公安机关作为法律法规明确的数据安全和个人信息保护监管部门,是国家数据出境安全管理专项工作机制的成员,肩负数据出境安全管理的重要职责,对数据违法出境进行行政监管是公安机关依法履职的内在要求。为进一步健全网络空间安全综合治理体系,按照公安部部署要求,各地公安机关正深入推进“护网—2025”专项工作,聚焦人民群众反映强烈的网络和数据安全问题,坚持打管衔接,持续加大监管和集中整治力度。2025年5月,多家媒体报道法国时尚消费品牌迪奥发生数据泄露事件,中国大陆地区用户也陆续收到迪奥官方警示短信。对此,上海公安网安部门组织对迪奥(上海)公司依法开展行政调查。
从违法事实来看,迪奥(上海)公司在未满足中国法律要求的情况下,将其中国大陆地区用户的个人信息传输至位于法国的迪奥全球总部,并且在个人信息处理的全过程中存在多项安全合规漏洞,包括未向用户充分告知其个人信息境外接收方的处理方式,未取得用户“单独同意”,未对收集的个人信息采取加密、去标识化等安全技术措施。具体来说,违法行为体现在三方面:一是数据出境路径非法。未采用《个人信息保护法》第三十八条规定的向境外提供个人信息的三条安全通道,未通过数据出境安全评估、未订立标准合同、未通过保护认证,属于擅自、违规传输;二是侵害用户的知情权与同意权。在将用户信息提供给境外总部前,未向用户清晰、明确地告知境外接收方的处理方式、并取得个人的单独同意。“单独同意”是《个人信息保护法》中的一项重要制度。《个人信息保护法》第三十九条要求信息处理者在进行数据出境操作时,不能使用一揽子、模糊的授权协议,而必须就该项特定事宜向用户进行清晰、明确的告知,并获得用户主动、清晰的同意。三是未按《个人信息保护法》第五十一条规定对收集的个人信息采取加密、去标识化等实质性安全技术措施。安全技术措施是保护个人信息的最后一道防线。明文传形式存储、传输等可能使得个人信息极易被窃取或泄露,并放大危害后果。
这是自《个人信息保护法》2021年11月1日生效以来,目前公开披露信息中为数不多的国际知名品牌因违法出境数据、违规个人信息处理等行为受到行政处罚的案件,具有非常典型的警示意义。属地公安机关严格按照《个人信息保护法》等法律法规进行行政处罚并责令限期改正,符合行政法上比例原则和宽严相济的执法理念,对提升包括该企业在内的跨国企业规范运营实际上具有积极正向作用。事实上,新时代的中国消费者不仅追求经济社会发展带来的物质丰裕,同时也强烈要求与之相匹配的个人信息权益与隐私保护,这种匹配是可持续的市场共生关系的基石。主动拥抱这种变化,将数据合规从成本项转变为竞争力,跨国企业才能真正赢得未来的中国市场。
可以预见的是,数据出境执法将成为常规化、常态化的监管动作,公安、网信、行业主管等多部门将形成协同监管合力,监管向更为精细化、规范化、场景化的方向发展,一方面根据数据的敏感度、数量和处理场景,对合规路径进行分行业、分区域的更精细的划分和指导,一方面升级监管工具,强化技术手段与标准建设,强化事前事中事后全链条全领域监管,有效发现、防范数据出境安全风险,在筑牢安全底线的前提下,促进数据依法有序自由流动,服务于数字经济的健康发展。
二、合规管理建议
无论是国内企业还是跨国公司在华分支机构,只要在中国境内运营并处理中国公民的个人信息,都必须严格遵守中国的法律法规,构建安全、透明、负责任的个人信息处理体系,切实保护好公民个人信息。跨国企业、出海的中国企业等都必须结合内部网络与数据治理实践、我国和目标国法律政策环境等因素高度重视,识别不同法域规则,建立与企业业务相匹配的数据出境、个人信息保护合规管理体系。
一是结合数据处理情况确定数据出境路径。全面梳理所有从中国向境外传输个人信息的业务流。不涉及个人信息或者重要数据的一般数据可以跨境自由流动。属于个人信息或者重要数据的,需要结合具体情况确定出境方式。由于数据出境安全评估、个人信息出境标准合同以及个人信息保护认证三种路径在适用的优先级别上并非并列关系,企业应首先判断自身处理活动是否符合适用数据出境安全评估路径的情形。不属于的,可以选择通过个人信息出境标准合同或是个人信息保护认证进行出境。
二是做好数据出境活动持续性管理。已通过数据出境安全评估、个人信息出境标准合同备案或是个人信息保护认证的企业,应当严格按照申报、备案或是认证时提交材料中说明的情形开展数据出境活动。同时,企业应及时跟踪、监测出境数据流动情况,衔接好内部出境合规和安全漏洞管理、安全事件响应等风险管理机制,形成系统性安全认识和多层次安全策略,一旦发现数据泄露等风险,采取告知用户、漏洞修复等补救措施并及时向属地监管部门报告,建立与监管部门的良性互动。数据出境活动发生规定变化情形的,应当按要求重新申报安全评估、订立标准合同或是通过个人信息保护认证。
三是合规管理和技术安全建设并重。用户个人信息安全是消费者信心的基础。合规是企业生存与发展的基石。跨国企业应基于中国法律制定本地化的数据安全和个人信息保护合规策略。如不能“隐私政策一刀切”,对于数据出境等需要“单独同意”的场景,必须设计明确的弹窗、勾选等交互方式,将境外接收方信息、处理目的等要素清晰、逐一地告知用户,并获取其主动同意,不能将其隐藏在长长的通用条款中,考虑到本案例情况,隐私政策可以增加对于线下交易,如何告知消费者出境和确定同意的规定;同时,加强内部数据安全技术防护,确保全生命周期处理活动安全。法律不仅要求告知、评估等程序合规,也要求实质性的安全保护。企业必须投入资源,采取加密、去标识化、访问控制等有效技术措施,落实个人信息安全保护责任。
作者:黄道丽 公安部第三研究所研究员
声明:本文来自公安三所网络安全法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
