數據合規觀察 | 觀千劍而後識器：中美歐個人信息保護制度比較_風聞

走出去智库-走出去智库官方账号-2021-11-01 19:20

2021-11-01

走出去智庫觀察

11月1日，《中華人民共和國個人信息保護法》正式施行，這標誌着我國個人信息保護立法體系進入新的階段，為個人信息權益保護、信息處理者的義務以及主管機關的職權範圍提供了全面的、體系化的法律依據。

走出去智庫(CGGT)特約法律專家、中倫律師事務所顧問賈申指出，對比我國《個人信息保護法》、歐盟GDPR、美國CCPA和CPRA三部法律而言，CCPA/CPRA的重點是救濟對消費者的損害、平衡隱私保護與高效的商業交易之間的關係，對個人信息的處理活動監管較少，而個保法和GDPR對於個人信息處理的監管則更加嚴格；GDPR認為個人信息保護是個體的基本權利，可以超越其他利益，而個保法與CCPA/CPRA除了關注個人信息安全外，也關注深層的網絡安全與國家安全。三部法律均對公民的個人信息權益保護產生深遠影響，同時也給企業的數據合規工作帶來挑戰。****

****中企如何做好個人信息保護的合規工作？政府如何實施監管？今天，走出去智庫（CGGT）刊發中倫律師事務所李瑞、賈申、鍾俊鵬、李夢涵的文章，供關注數據合規管理的讀者參考。

要點

CGGT，CHINA GOING GLOBAL THINKTANK

1、GDPR遵循“屬地+屬人”的管轄原則，管轄範圍廣泛、邏輯複雜；個保法對境外數據處理者的管轄較為明確，採取的是“屬地+例外”的原則；CCPA/CPRA主要聚焦於****“屬地”原則，僅管轄在加州開展的商業活動，並設置了一定的管轄門檻使符合條件的中小企業的經營活動可以豁免管轄。****

2、歐盟GDPR與美國CCPA/CPRA區分角色的行為能夠細化各個主體的義務與責任，更加有利於產業的發展和保護；而我國個保法統一定義為****“個人信息處理者”的模式則更加有助於個人信息的保護。****

3、在個保法監管和執法中，互聯網平台企業大多處理海量用户數據，我們也呼呼政府部門，一是踐行依法治國理念，尊重數字治理過程中逐步完善的客觀規律，給企業和業界留出合理化的完善時間和配套的法規指引****，相信各方也正在積極地配合相關合規落實工作********；二是在全球加強數字治理規則的大背景下，中國政府在全球的數字治理中樹立積極、理性、合規政府的國際形象，成為各國數字治理政府監管的良好示範，助力國際社會更好理解中國對於如何構建數字治理國際規則的立場主張與政策實踐。****

正文

CGGT，CHINA GOING GLOBAL THINKTANK

文/李瑞賈申鍾俊鵬李夢涵****

中倫律師事務所摘要：本文以中國《個人信息保護法》、歐盟GDPR、美國CCPA和CPRA三部法律為基礎，對中美歐三個法域的個人信息保護制度進行要點梳理和總結，以期助力進一步提高跨境數據合規業務水平，在不同法域的監管機制下發揮最佳運營效能。

前言

2021年8月20日，全國人大常委會通過了《個人信息保護法》（“個保法”），自2021年11月1日起施行，成為中國第一部專門規範個人信息保護的法律。此前，歐盟的《通用數據保護條例》（General Data Protection Regulation, “GDPR”）已於2018年5月生效，其被視為隱私保護領域最為權威和細緻的立法。美國在聯邦層面對個人信息保護採取“分散立法”的形式，但在州層面，《2018加州消費者隱私法案》（California Consumer Privacy Act of 2018, “CCPA”）及其修正案《加州隱私權法案》（California Privacy Rights Act of 2020, “CPRA”）為保護消費者個人數據的重量級法案。本文將以這三部法律為作為中美歐三個法域的個人信息保護法規的主要代表，對比個人信息保護制度在不同國家的聯繫與區別。

不同法域的法律法規皆根據本地區的實際情況量身定製，大體相同的法律框架下監管思路和運行機制各異。概括而言，CCPA/CPRA的重點是救濟對消費者的損害、平衡隱私保護與高效的商業交易之間的關係，對個人信息的處理活動監管較少，而個保法和GDPR對於個人信息處理的監管則更加嚴格；GDPR認為個人信息保護是個體的基本權利，可以超越其他利益，而個保法與CCPA/CPRA除了關注個人信息安全外，也關注深層的網絡安全與國家安全。三部法律均對公民的個人信息權益保護產生深遠影響，同時也給企業的數據合規工作帶來挑戰。

處於全球化時代，企業如何在“走出去”的同時與當地法律做好銜接，充分理解不同個人信息保護規則的同時不失自身在數字經濟中的競爭力，成為企業合規的重要思考方向。本文嘗試以儘可能簡潔的方式，以三部法律為基礎，對中美歐三個法域的個人信息保護制度進行要點梳理和總結，以期幫助企業在理解我國個保法的基礎上進一步提高跨境業務的合規水平，在不同法域的監管機制下發揮最佳運營效能。

一、中美歐個人信息保護制度比較

**（一）**個人信息的定義與分類

三部法律都區分了一般類型的個人信息和敏感個人信息。

就一般個人信息的定義而言，各法都強調個人信息的可識別性特徵，CPRA進一步通過數據與個人“合理”的“關聯性”對其定義進行限縮。在定義方式上，個保法採取歸納式概括法，GDPR和CPRA除概念外還列舉了多種滿足條件的信息類型。

就敏感個人信息（在GDPR中被稱作“特殊類型個人數據”）而言，各法都對敏感個人信息具體包含的數據類型進行了列舉，但其具體涵蓋類型存在差異。個保法和GDPR都針對敏感個人信息設置了更高要求的處理條件，如特定目的、充分必要、信息主體明示或單獨同意、嚴格保護措施等，而CCPA/CPRA則沒有做出此類特別規定。

對於敏感個人信息的內涵，各法既有區別又有聯繫[1]，總結如下：

**（二）**管轄範圍

各法在管轄上存在着比較大的差異，都管轄境外實體在境內的個人信息處理行為，但GDPR還會管轄境內實體在境外的個人信息處理行為，更加寬泛。總體上，GDPR遵循“屬地+屬人”的管轄原則，管轄範圍廣泛、邏輯複雜；個保法對境外數據處理者的管轄較為明確，採取的是“屬地+例外”的原則；CCPA/CPRA主要聚焦於“屬地”原則，僅管轄在加州開展的商業活動，並設置了一定的管轄門檻使符合條件的中小企業的經營活動可以豁免管轄。具體如下表所示；

**（三）**個人信息處理活動的範圍

三部法律對“處理”個人信息的具體內涵界定上存在差異且各有特色。GDPR所列舉的處理方式最多，個保法列舉的處理方式次之，但是二者都沒有對具體的處理活動進行細緻的描述；CPRA則沒有詳細列舉處理活動的類型，僅提及6種行為，且結合全法可知其重點規制的是數據的收集、出售和共享行為。

值得關注的是CPRA中的“共享”行為，個保法和GDPR都沒有對此進行規定。根據CPRA，“共享”應當採取廣義上的理解，可指向企業通過任何方式向第三方披露個人信息，包括“跨場景行為廣告”（Cross-context behavioral advertising）的行為，在界定該行為時不考慮雙方是否交換了金錢或其他有價值的對價。其中，“跨場景行為廣告”指根據從消費者的跨越語境的行為中獲取的消費者個人信息向消費者投放廣告，這些信息來源跨越了企業、品牌明確的網站、應用程序或者服務，而非消費者與之有意互動的企業、品牌明確的網站、應用程序或者服務。

個人信息“處理”活動的範圍，在三部法律中的具體規定如下：

**（四）**個人信息處理主體及其義務

就個人信息處理主體的界定而言，個保法與GDPR既有相似之處又有所區分。個保法形成了“個人-個人信息處理者”兩方主體關係，GDPR則區分了“控制者”和“處理者”，形成了“個人-數據控制者-數據處理者”的三方主體關係。雖然同為“處理者”，但兩者的概念和內涵並不相同。GDPR的“處理者”僅僅表示代表“控制者”處理個人信息的主體，“控制者”則指的是決定個人信息處理目的和方式的主體。其中，數據控制者是GDPR下履行義務的主要主體，數據處理者除了要遵守GDPR規定下的少量法定義務，還應當履行與數據控制者之間的合同義務。我國個保法則是將信息處理主體統稱為“個人信息處理者”，除“自主決定處理目的、處理方式”的個人信息處理者外，與GDPR項下的“處理者”類似的是“委託處理”情形下的個人信息處理者，其應當按照與委託人的約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息。這種概念差異會帶來跨法域對話以及法律適用上的差異。我國企業面臨個人信息跨境流動和在歐盟開展經營，以及歐盟企業在我國開展經營時，均應注意概念轉換與系列制度的理解問題。

相較之下，CCPA/CPRA則區分了“企業”、“服務提供商”和“承包商”三類主體。其中，“企業”的定義接近GDPR的“數據控制者”，其限定於在加州開展業務的營利組織，且需要在上一年度總收入、處理的個人信息數量及個人信息處理與收入的聯繫上滿足一定的門檻。符合條件企業所控制的實體、合營企業及其他自願受約束的主體也被囊括在“企業”的範圍之內。在前述三類主體中，只有“企業”承擔CCPA/CPRA下的義務，“服務提供商”和“承包商”所需要承擔的刪除等義務受限於其與企業的合同關係，不直接受法案約束。

比較而言，歐盟GDPR與美國CCPA/CPRA區分角色的行為能夠細化各個主體的義務與責任，更加有利於產業的發展和保護；而我國個保法統一定義為“個人信息處理者”的模式則更加有助於個人信息的保護。

此外，個保法制定了針對重要互聯網平台的特殊義務，這與歐盟《數字市場法案》（Digital Market Act）提案中對於“守門人”數據保護義務的規定相似。同時，GDPR和個保法均對小型企業進行特別規定。具體而言，GDRP考慮到微型、小型和中型企業的具體情況，對於員工少於250人的組織放寬了記錄保存的相關規定，並鼓勵歐盟機構和團體、成員國及其監督機構在適用GDPR時充分考慮微型、小型和中型企業的特殊需求；個保法第六十二條則規定將針對小型個人信息處理者制定專門的個人信息保護規則、標準，但對於“小型個人信息處理者”的定義仍有待明確，相應的規則、標準也有待後續制定。

下表比較詳細地列舉了各法中個人信息處理主體及其義務：

**（五）**個人信息處理原則

GDPR和個保法都構建了以“告知-同意”為核心的處理原則，信息主體的同意是企業處理數據時最重要的合法性基礎，且信息主體有權隨時撤回同意。而美國的CPRA採取“選擇退出”機制，除非消費者選擇拒絕出售或共享數據，一般默認消費者同意數據的處理。但是在特定情形下，處理個人信息也需要取得個體的同意。

三部法律都認可，有效的同意應當由信息主體充分知情且自願、明確地作出。CPRA更是排除了部分互聯網場景下的具體情形，強調消費者接受通用條款或懸停、靜音、暫停、關閉等行為都不構成同意，暗箱操作模式也會導致獲得的同意無效。

三部法案都對處理兒童個人信息時須取得的同意做了特別規定，但設置的年齡門檻不同。GDPR以16週歲為界，中國以14週歲為界，CPRA則區分了13週歲和16週歲兩種情況，要求處理低於特定年齡的兒童個人信息時取得監護人同意。此外，GDPR和中國個保法都規定了特殊的同意類型以適用特殊情形，而美國採取“選擇退出”機制，沒有特殊同意的類型。

但也應當注意到，“告知-同意”僅僅是個人信息處理原則中的“程序”要求，除了要滿足這一表面要求，各法還都規定了目的原則和最小必要原則來限制個人信息的收集與處理，以此達到更好保護個人信息的效果。換言之，即使個人信息處理者（或控制者等其他術語）獲得了信息主體的同意，如果其對信息的處理不符合法律限定的目的和最小必要的原則，同樣也會構成侵害個人的信息權益的違法行為。

詳見下圖所示：

**（六）**信息主體的權利

三部法律都賦予了信息主體知情權、更正權、限制權、刪除權、拒絕權、數據可攜權等權利。其中個保法的規定較為簡略，以列舉權利為主，具體內涵有待進一步解釋；而GDPR和CPRA對每種權利都進行了細緻規定。

較有特色的是，CPRA規定了拒絕後不受報復的權利，中國個保法規定了死者近親屬對死者個人信息擁有的權利。

（七）自動化決策

自動化決策指的是通過計算機程序，對個人的特徵、行為等進行分析，在沒有人工干預的情況下作出決策的活動。自動化決策的決策邏輯依託算法等技術，在外界看來具有不透明性，是難以監督的“黑箱”。因此，不論是從企業合規的角度還是政府監管的角度，對這種處理行為的監管都存在着比較大的挑戰。在越來越多的企業採用個性化推薦等自動化決策工具為用户提供服務的背景下，各法均關注到了自動化決策中對個人信息的保護問題，總體上都要求決策邏輯需透明，決策結果需公平公正，且需保證用户擁有拒絕權。其中，GDPR和個保法對用户的拒絕權和處理者的義務做出了一些較為具體的規定，而CPRA目前仍有待檢察長髮布進一步法令以細化有關合規要求。值得注意的是，我國個保法還規定，不得利用自動化決策進行差別待遇。具體內容如下表所示：

（八）個人信息跨境傳輸

作為一種重要的數據類型，歐盟和中國都對個人信息的跨境傳輸進行了限制。由於CCPA/CPRA是州層面的立法，不涉及個人信息的跨國傳輸，因此本部分只對個保法和GDPR作以比較。

首先，對於個人信息跨境傳輸的限制是單向的，即，只監管個人信息的流出，而不監管個人信息的流入。其次，GDPR對於個人信息跨境傳輸規定了兩種基本規則與兩種特殊情況，個保法則規定了個人信息向境外傳輸的四個條件。此外，由於個保法對數據的存儲也做了限制，因此，對於存儲於我國境內的個人信息在跨境傳輸上有特別的要求。

（九）救濟與法律責任

關於救濟方式，各法均規定，面對信息處理者違反個人信息保護相關規定，侵犯個人信息利益的行為，信息主體有權提起民事訴訟。在此基礎上，個保法和GDPR與CCPA/CPRA的規定有明顯不同，體現了各法在衡平價值上的不同選擇。個保法和GDPR在消費者提起民事訴訟的權利基礎上，還規定相關組織（個保法規定還包括檢察機關）可以就個人信息侵權行為提起公益訴訟，增強了消費者提起訴訟的權利。而CCPA/CPRA則規定，消費者提起訴訟後，企業有30天糾錯期，期間企業糾正行為並聲明後，消費者不得提起訴訟，這則對消費者提起訴訟的權利進行了限制，增強了對企業的保護。

關於法律責任，GDPR、個保法以及CCPA/CPRA都對違法個人信息保護的行為規定了罰款。就罰款額度而言，GDPR的額度最高，處罰最嚴厲；個保法次之，而且其規定了多種處罰類型，且採取了雙罰制的規定，企業與直接主管人員都要為不當信息處理行為負責。美國CCPA/CPRA規定的罰金數額則比較低，且規定將把罰款存入消費者隱私基金。

具體內容如下表所示：

二、企業和政府監管合規建議

2021年10月30日，習近平主席在二十國集團領導人第十六次峯會第一階段會議上發表講話稱：“中國已經提出《全球數據安全倡議》，我們可以共同探討制定反映各方意願、尊重各方利益的數字治理國際規則，積極營造開放、公平、公正、非歧視的數字發展環境。”

儘管世界局勢千變萬化，但全球化的浪潮仍是不可逆轉的，跨國企業必須應對好不同法域的不同合規要求所帶來的機遇與挑戰，在破浪前行的同時也需密切關注各主要法域立法的最新動態，深入瞭解不同法域在監管上的區別，在必要時藉助當地外部專業律師專家的力量，才能遊刃有餘地參與到全球化的經濟中，在合規的框架下創造和收穫最大商業利益。

結合上文介紹的三個主要法域的個人信息保護法律，我們對企業的個人信息保護合規工作提出以下合規建議：

● 盤查及確定企業運營過程中的哪些可能受到GDPR、CPRA等境外法律的管轄；

● 儘快檢查現有的隱私政策是否符合個保法（2021年11月1日起實施）的規定，並檢查特定情形下是否有符合GDPR、CPRA等境外法律規定的隱私條款；

● 確認網站的設計足以盡到收集處理用户個人信息的告知義務；

● 確認哪些情況可能涉及敏感個人信息和未成年人個人信息，並檢查該信息處理機制是否符合法律最新規定；

● 自動化決策可能未來會受到較強監管，應充分注意合規性；

● 如果企業收集的個人信息由第三方代為處理，注意將合同更新至符合法律的強制性規定，對雙方的應盡義務進行補充説明；

● 開展數據合規培訓，確保員工瞭解法律對個人信息保護的最新要求；

● 保證技術能夠滿足用户“徹底刪除”、“獲得可機讀的數據”等合法要求。

此外，就個人信息保護領域的政府監管工作，我們提出如下建議：

● 在個保法監管和執法中，互聯網平台企業大多處理海量用户數據，我們也呼呼政府部門，一是踐行依法治國理念，尊重數字治理過程中逐步完善的客觀規律，給企業和業界留出合理化的完善時間和配套的法規指引，相信各方也正在積極地配合相關合規落實工作；二是在全球加強數字治理規則的大背景下，中國政府在全球的數字治理中樹立積極、理性、合規政府的國際形象，成為各國數字治理政府監管的良好示範，助力國際社會更好理解中國對於如何構建數字治理國際規則的立場主張與政策實踐。

● 在個保法正式生效後，相關部門應儘快出台配套法規和指南，以明確相關問題。例如，跨境數據提供的標準合同條款，明確應承擔特殊義務的“處理個人信息達到網信部門規定數量的數據處理者”的標準，針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用的專門的個人信息保護規則、標準等。

● 儘快推動各行業的個人信息和數據分級分類監管。近期，《工業和信息化領域數據安全管理辦法（試行）（徵求意見稿）》、《網絡安全標準實踐指南——數據分類分級指引（徵求意見稿）》等一系列關於數據分級分類和重要數據保護的法規和指南征求意見稿相繼發佈，為包括個人信息在內的數據分級分類監管工作提出了指引。後續各行業的數據分級分類監管的要求應逐步細化，並應根據行業特點有所差異化。

● 數據出境合規審查是個保法項下確立的重要制度，對於需要進行數據出境安全評估的情形，建議相關部門在後續的審查實踐中應按照安全與效率相結合的原則，注重審查結果的時效性，以期達到兼顧數據合理流動和維護國家安全的立法目的。

註釋：

1.中國方面結合了《個人信息保護法》和《個人信息安全規範》（標準號：GB/T 35273-2020）。