中美歐個人信息保護法比較

0 評論 8426 瀏覽 16 收藏 14 分鐘

編輯導(dǎo)語:個人信息保護法的頒布是個人權(quán)利保障的彰顯,這說明個人信息和個人隱私的保護逐漸被提上了日程,并取得了一定進展。本篇文章里,作者綜合中歐美的個人信息保護法,對當前的個人信息保護法做了相對客觀的評價,一起來看一下。

2021年8月 20日,《個人信息保護法》頒布,并將于2021 年11月1日起正式實施。《個人信息保護法》是我國邁入數(shù)字化社會,彰顯“以人為本”的法律制度里程碑,也是我國為全球數(shù)字治理貢獻的中國方案。

近年來,個人信息保護立法在世界范圍內(nèi)如火如荼地展開,目前已經(jīng)有128個國家通過立法保護個人信息和隱私。[1]其中,結(jié)合市場規(guī)模,規(guī)制范圍等因素,以歐盟《通用數(shù)據(jù)保護條例》(以下簡稱GDPR),美國加利福尼亞州隱私保護法(CCPA&CPRA)[2],以及中國剛剛出臺的《個人信息保護法》為最具有影響力的法律文本。

以這四部法律文本為基礎(chǔ),開展條款比較工作,能夠系統(tǒng)展現(xiàn)當今世界個人信息保護立法在最為主要的區(qū)域及國家的共性與差異,為企業(yè)合規(guī)工作及學(xué)者研究帶來積極價值,并對中國《個人信息保護法》的嚴苛程度作出較為客觀的評價。

騰訊研究院依托對個人信息保護領(lǐng)域法律制度的長期積累和專業(yè)洞察,完成了《中美歐個人信息保護法比較——以中國<個人信息保護法>、歐盟GDPR,美國加州CCPA&CPRA為樣本》的專題報告,以饗讀者。其中有不完善甚至謬誤之處,歡迎指出!

中美歐個人信息保護法比較|附4萬字解讀報告下載

核心結(jié)論

從四部法律嚴厲程度比較的概覽圖可以看出,中國《個人信息保護法》在規(guī)則的嚴厲程度上基本對標歐盟GDPR,美國加州隱私立法(CCPA&CPRA)相較更為寬松:

適用范圍:在地域范圍上GDPR最寬泛,《個人信息保護法》更為克制,CCPA&CPRA最有限;而在排除適用的范圍上,CCPA&CPRA排除范圍最廣,GDPR次之,《個人信息保護法》最有限;在規(guī)制的數(shù)據(jù)活動方面,《個人信息保護法》和GDPR調(diào)整范圍更寬泛,CCPA&CPRA更為限縮。

在個人信息處理的合法性基礎(chǔ)、同意規(guī)則、死者個人信息保護、數(shù)據(jù)本地化要求、數(shù)據(jù)出境安全評估、跨境證據(jù)調(diào)取、信息主體的知情權(quán)、行政監(jiān)管方面,中國《個人信息保護法》比GDPR更嚴格,CCPA&CPRA最寬松。

在個人信息的定義、敏感信息的處理規(guī)則、未成年人個人信息的處理規(guī)則、匿名化、去識別化信息的處理規(guī)則、采取安全保障措施的義務(wù)、保存(儲存)期限、個人信息保護影響評估、DPO/個人信息保護責(zé)任人制度等方面,《個人信息保護法》和GDPR嚴格程度基本一致,CCPA&CPRA最寬松。

在受規(guī)制的對象類型、信息主體的反對權(quán)、刪除權(quán)、發(fā)生數(shù)據(jù)安全事件時的通知義務(wù)等方面,GDPR最嚴格,《個人信息保護法》次之,CCPA&CPRA最寬松。

下圖為對比概覽圖。通過雷達坐標圖方式對中美歐個人信息保護法律的29個方面的嚴格程度進行了直觀比較。

中美歐個人信息保護法比較|附4萬字解讀報告下載

圖標說明

中美歐個人信息保護法比較|附4萬字解讀報告下載

五種矢量圖具體說明如下:

  • 圖一:《個人信息保護法》模式和GDPR相似,但比GDPR更寬松。
  • 圖二:《個人信息保護法》模式和嚴厲程度上與GDPR基本一致。
  • 圖三:《個人信息保護法》模式上與GDPR相似,但是比GDPR更嚴格。
  • 圖四:《個人信息保護法》模式上與加州隱私法(CCPA&CPRA)相似,但是比加州隱私法(CCPA&CPRA)更嚴格。
  • 圖五:《個人信息保護法》模式上與加州隱私法(CCPA&CPRA)相似,寬松程度與其基本一致。

一、立法模式和適用范圍比較

中國《個人信息保護法》采取了類似于GDPR的綜合立法模式,而加州隱私法(CCPA&CPRA)是在消費者保護領(lǐng)域的個人信息保護專門立法。兩種立法模式下,法律的適用范圍有顯著的不同,總體而言《個人信息保護法》適用范圍和GDPR基本一致,加州隱私法則在地域范圍、規(guī)制實體類型、規(guī)制數(shù)據(jù)活動的類型等方面更為克制。

中美歐個人信息保護法比較|附4萬字解讀報告下載

二、個人信息的定義及分類

關(guān)于個人信息的定義,各部法律在具體的界定方式、概念的內(nèi)涵和外延上均存在區(qū)別。

中國《個人信息保護法》與GDPR在定義方法上更接近,將所有可識別與已識別的自然人有關(guān)的個人信息納入了調(diào)整范圍,保護范圍更廣。而CCPA&CPRA則通過定義+列舉+排除的方式界定個人信息,范圍更加限定和明確。在各類個人信息的處理規(guī)則上,整體而言《個人信息保護法》的要求更為嚴格。

中美歐個人信息保護法比較|附4萬字解讀報告下載

三、合法性基礎(chǔ)

由于適用范圍的不同,各部法律在確立數(shù)據(jù)處理合法性基礎(chǔ)方面存在重要差別。

1)GDPR和中國《個人信息保護法》作為通用性法律,更為全面的列出了合法性基礎(chǔ),但同時,前者給出的合法理由似乎更為周延,中國《個人信息保護法》并未籠統(tǒng)的借鑒GDPR中關(guān)于“控制者的正當利益”作為合法性基礎(chǔ),而僅是認可了一種正當性——人力資源管理的需要。

CCPA&CPRA由于僅適用于企業(yè)收集、出售和披露個人信息的場景,因此其合法性基礎(chǔ)更為簡單明確,且符合美國法一直以來貼合實踐的傳統(tǒng),在同意機制方面,也主要仍采取了選擇退出模式(opt-out)。

2)在同意規(guī)則方面,依照規(guī)則愈加嚴苛的程度排序,依次為加州隱私保護法(CCPA&CPRA)、歐盟GDPR、中國《個人信息保護法》。

中美歐個人信息保護法比較|附4萬字解讀報告下載

四、個人信息的跨境提供

GDPR和《個人信息保護法》均構(gòu)建了個人信息跨境提供制度框架:歐盟GDPR從保障基本權(quán)利的角度出發(fā),規(guī)定了允許個人數(shù)據(jù)轉(zhuǎn)移的兩種基本場景和八種例外情況;而中國《個人信息保護法》則主要從網(wǎng)絡(luò)安全和數(shù)據(jù)主權(quán)出發(fā),規(guī)定了可以向境外提供個人信息的四種條件,以及特定情況下的數(shù)據(jù)本地化要求。

總體而言,《個人信息保護法》對個人信息跨境傳輸設(shè)置了更多的限制,提出了更高的要求。

中美歐個人信息保護法比較|附4萬字解讀報告下載

五、信息主體的權(quán)利

在信息主體權(quán)利方面,《個人信息保護法》與GDPR類似,賦予了信息主體全面、細致的權(quán)利,同時對企業(yè)施加了更高的合規(guī)義務(wù)。而 CCPA&CPRA下消費者的權(quán)利更為有限,但是在實踐中更具可操作性。

中美歐個人信息保護法比較|附4萬字解讀報告下載

六、信息處理者的義務(wù)

對于信息處理者的義務(wù)設(shè)定,中歐立法更為詳盡,體現(xiàn)了合規(guī)清單(check list)思路。

GDPR和中國《個人信息保護法》均通過獨立的章節(jié)規(guī)定了信息處理者(或數(shù)據(jù)控制者、處理者)的義務(wù),主要包括:采取安全保障措施的義務(wù)、發(fā)生數(shù)據(jù)安全事件時的通知義務(wù)、隱私保護影響評估、任命數(shù)據(jù)保護官等的義務(wù),而加州隱私法(CCPA&CPRA)則僅在1798.100條籠統(tǒng)提出采取安全措施的要求。

中美歐個人信息保護法比較|附4萬字解讀報告下載

中美歐個人信息保護法比較|附4萬字解讀報告下載

七、其他特別條款

對于社會公眾普遍關(guān)注的熱點話題,各部法律均予以了制度回應(yīng),特別是關(guān)于數(shù)據(jù)處理的“算法規(guī)制”,以及“人臉識別”問題。在規(guī)則的嚴厲程度上,《個人信息保護法》基本上達到了與GDPR一致的水平。

中美歐個人信息保護法比較|附4萬字解讀報告下載

八、法律責(zé)任

1)中國關(guān)于個人信息保護違法行為的責(zé)任追究體系十分完整,涵蓋了民事、行政與刑事領(lǐng)域,且十分嚴厲;

2)在民事訴訟方面,加州隱私法特點突出,其從實體上和程序上,大大限制了個人信息違法行為的可訴性,由此更傾向于由檢察長行使監(jiān)管職權(quán)。在具有行為規(guī)模性、事前可規(guī)范性的個人信息保護領(lǐng)域,行政規(guī)制的確彰顯了更高的執(zhí)法效率。

3)行政監(jiān)管方面,中歐都可以以違法主體的營收總額為基準作出處罰,區(qū)別在于歐盟各國均采取了獨立的專門的數(shù)據(jù)保護監(jiān)管機構(gòu)機制(DPAs),而中國仍維持多部門執(zhí)法機制。

4)刑事領(lǐng)域,中國較為嚴厲。個人信息違法犯罪相關(guān)罪名適用主體廣泛,入罪門檻極低。

中美歐個人信息保護法比較|附4萬字解讀報告下載

報告作者

王融(騰訊研究院首席數(shù)據(jù)法律政策專家)易泓清(騰訊研究院助理研究員),戴俊哲和李陽陽對本文亦有貢獻。

相關(guān)閱讀:

《個人信息保護法》——五個劃時代意義

注釋:

[1] See: https://unctad.org/page/data-protection-and-privacy-legislation-worldwide, 最后訪問日期:2021年8月17日。

[2]美國迄今為止并沒有聯(lián)邦統(tǒng)一的綜合性個人信息保護法。2018年6月,美國加州通過的加州居民隱私權(quán)和消費者保護的州法規(guī)——CCPA,以及在其基礎(chǔ)上,2020年11月加州再次通過的CPRA,二者共同構(gòu)建了美國加州隱私保護法的主要制度框架。從全面性來說,這是美國目前最具有典型意義的州隱私立法。同時,作為科技行業(yè)聚集地,加州經(jīng)濟體量排名世界第五,加州隱私保護法(CCPA&CPRA)的影響力可與歐盟GDPR比肩,業(yè)界也往往對二者進行比較。

 

作者:王融、易泓清;公眾號:騰訊研究院(ID:cyberlawrc)

本文由 @騰訊研究院 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可,禁止轉(zhuǎn)載

題圖來自Pexels,基于CC0協(xié)議

更多精彩內(nèi)容,請關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
騰訊研究院
騰訊研究院是騰訊公司設(shè)立的社會科學(xué)研究機構(gòu)
78篇作品 557744總閱讀量
12-123315 瀏覽
樸樸「實惠卡」功能分析
11-301530 瀏覽
你必須知道的8條個人發(fā)展的策略/模型
09-07723 瀏覽
該將外賣騎手職業(yè)“苦難化”嗎?
04-102010 瀏覽
B站UP主停更背后
08-245590 瀏覽
抖音達播:爆發(fā)、混亂與危機
評論
評論請登錄
  1. 目前還沒評論,等你發(fā)揮!