本文来自微信公众号:腾讯研究院(ID:cyberlawrc),作者:王融(腾讯研究院首席数据法律政策专家)、易泓清(腾讯研究院助理研究员),原文标题:《中美欧个人信息保护法比较|附4万字解读报告下载》,题图来自:视觉中国
2021年8月 20 日,《个人信息保护法》颁布,并将于2021 年11月1日起正式实施。《个人信息保护法》是我国迈入数字化社会,彰显“以人为本”的法律制度里程碑,也是我国为全球数字治理贡献的中国方案。
近年来,个人信息保护立法在世界范围内如火如荼地展开,目前已经有128个国家通过立法保护个人信息和隐私。[1]其中,结合市场规模,规制范围等因素,以欧盟《通用数据保护条例》(以下简称GDPR),美国加利福尼亚州隐私保护法(CCPA&CPRA)[2],以及中国刚刚出台的《个人信息保护法》为最具有影响力的法律文本。
以这四部法律文本为基础,开展条款比较工作,能够系统展现当今世界个人信息保护立法在最为主要的区域及国家的共性与差异,为企业合规工作及学者研究带来积极价值,并对中国《个人信息保护法》的严苛程度作出较为客观的评价。
腾讯研究院依托对个人信息保护领域法律制度的长期积累和专业洞察,完成了《中美欧个人信息保护法比较——以中国<个人信息保护法>、欧盟GDPR,美国加州CCPA&CPRA为样本》的专题报告,以飨读者。其中有不完善甚至谬误之处,欢迎指出!
核心结论
从四部法律严厉程度比较的概览图可以看出,中国《个人信息保护法》在规则的严厉程度上基本对标欧盟GDPR,美国加州隐私立法(CCPA&CPRA)相较更为宽松:
适用范围:在地域范围上GDPR最宽泛,《个人信息保护法》更为克制,CCPA&CPRA最有限;而在排除适用的范围上,CCPA&CPRA排除范围最广,GDPR次之,《个人信息保护法》最有限;在规制的数据活动方面,《个人信息保护法》和GDPR调整范围更宽泛,CCPA&CPRA更为限缩。
在个人信息处理的合法性基础、同意规则、死者个人信息保护、数据本地化要求、数据出境安全评估、跨境证据调取、信息主体的知情权、行政监管方面,中国《个人信息保护法》比GDPR更严格,CCPA&CPRA最宽松。
在个人信息的定义、敏感信息的处理规则、未成年人个人信息的处理规则、匿名化、去识别化信息的处理规则、采取安全保障措施的义务、保存(储存)期限、个人信息保护影响评估、DPO/个人信息保护责任人制度等方面,《个人信息保护法》和GDPR严格程度基本一致,CCPA&CPRA最宽松。
在受规制的对象类型、信息主体的反对权、删除权、发生数据安全事件时的通知义务等方面,GDPR最严格,《个人信息保护法》次之,CCPA&CPRA最宽松。
下图为对比概览图。通过雷达坐标图方式对中美欧个人信息保护法律的29个方面的严格程度进行了直观比较。
图标说明:
二、个人信息的定义及分类
关于个人信息的定义,各部法律在具体的界定方式、概念的内涵和外延上均存在区别。中国《个人信息保护法》与GDPR在定义方法上更接近,将所有可识别与已识别的自然人有关的个人信息纳入了调整范围,保护范围更广。而CCPA&CPRA则通过定义+列举+排除的方式界定个人信息,范围更加限定和明确。在各类个人信息的处理规则上,整体而言《个人信息保护法》的要求更为严格。
三、合法性基础
由于适用范围的不同,各部法律在确立数据处理合法性基础方面存在重要差别。
1. GDPR和中国《个人信息保护法》作为通用性法律,更为全面的列出了合法性基础,但同时,前者给出的合法理由似乎更为周延,中国《个人信息保护法》并未笼统的借鉴GDPR中关于“控制者的正当利益”作为合法性基础,而仅是认可了一种正当性——人力资源管理的需要。CCPA&CPRA由于仅适用于企业收集、出售和披露个人信息的场景,因此其合法性基础更为简单明确,且符合美国法一直以来贴合实践的传统,在同意机制方面,也主要仍采取了选择退出模式(opt-out)。
2. 在同意规则方面,依照规则愈加严苛的程度排序,依次为加州隐私保护法(CCPA&CPRA),欧盟GDPR,中国《个人信息保护法》。
四、个人信息的跨境提供
GDPR和《个人信息保护法》均构建了个人信息跨境提供制度框架:欧盟GDPR从保障基本权利的角度出发,规定了允许个人数据转移的两种基本场景和八种例外情况;而中国《个人信息保护法》则主要从网络安全和数据主权出发,规定了可以向境外提供个人信息的四种条件,以及特定情况下的数据本地化要求。总体而言,《个人信息保护法》对个人信息跨境传输设置了更多的限制,提出了更高的要求。
五、信息主体的权利
在信息主体权利方面,《个人信息保护法》与GDPR类似,赋予了信息主体全面、细致的权利,同时对企业施加了更高的合规义务。而 CCPA&CPRA下消费者的权利更为有限,但是在实践中更具可操作性。
六、信息处理者的义务
对于信息处理者的义务设定,中欧立法更为详尽,体现了合规清单(check list)思路。GDPR和中国《个人信息保护法》均通过独立的章节规定了信息处理者(或数据控制者、处理者)的义务,主要包括:采取安全保障措施的义务、发生数据安全事件时的通知义务、隐私保护影响评估、任命数据保护官等的义务,而加州隐私法(CCPA&CPRA)则仅在1798.100条笼统提出采取安全措施的要求。
七、其他特别条款
对于社会公众普遍关注的热点话题,各部法律均予以了制度回应,特别是关于数据处理的“算法规制”,以及“人脸识别”问题。在规则的严厉程度上,《个人信息保护法》基本上达到了与GDPR一致的水平。
八、法律责任
1. 中国关于个人信息保护违法行为的责任追究体系十分完整,涵盖了民事、行政与刑事领域,且十分严厉;
2. 在民事诉讼方面,加州隐私法特点突出,其从实体上和程序上,大大限制了个人信息违法行为的可诉性,由此更倾向于由检察长行使监管职权。在具有行为规模性、事前可规范性的个人信息保护领域,行政规制的确彰显了更高的执法效率。
3. 行政监管方面,中欧都可以以违法主体的营收总额为基准作出处罚,区别在于欧盟各国均采取了独立的专门的数据保护监管机构机制(DPAs),而中国仍维持多部门执法机制。
4. 刑事领域,中国较为严厉。个人信息违法犯罪相关罪名适用主体广泛,入罪门槛极低。
注释:
[1] See: https://unctad.org/page/data-protection-and-privacy-legislation-worldwide, 最后访问日期:2021年8月17日。
[2] 美国迄今为止并没有联邦统一的综合性个人信息保护法。2018年6月,美国加州通过的加州居民隐私权和消费者保护的州法规——CCPA,以及在其基础上,2020年11月加州再次通过的CPRA,二者共同构建了美国加州隐私保护法的主要制度框架。从全面性来说,这是美国目前最具有典型意义的州隐私立法。同时,作为科技行业聚集地,加州经济体量排名世界第五,加州隐私保护法(CCPA&CPRA)的影响力可与欧盟GDPR比肩,业界也往往对二者进行比较。
本文来自微信公众号:腾讯研究院(ID:cyberlawrc),作者:王融、易泓清