文章2020年10月21日,备受瞩目的《个人信息保护法(草案)》全文正式发布,并向全民征集意见。早前,《个人信息保护法(草案)》提请十三届全国人大常委会第二十二次会议审议,这是我国从原有的以法律、司法解释、行政法规、规范性文件等多方位保护个人信息实践迈向体系化实施立法的重要一步。
此前,欧盟于2018年出台了《通用数据保护条例(GDPR)》,成为全球个人数据安全立法中极具标志性的一部法案。本期内容将从几个维度对《个人信息保护法(草案)》与欧盟GDPR比较分析,以欧盟在个人数据保护层面较成熟的视角来看《个人信息保护法(草案)》。
从两部法案的章节结构来看,我国《个人信息保护法(草案)》共分为8章内容,分别为:
总则
个人信息处理规则
个人信息跨境提供的规则
个人在个人信息处理活动中的权利
个人信息处理者的义务
履行个人信息保护职责的部门
法律责任
附则
相较而言,GDPR的章节设置较多,共分为11章内容,分别为:
一般规定
总则
数据主体权利
数据的控制者与处理者
数据跨境传输规则
独立监管机构
合作与一致性
责任与处罚规定
具体程序的相关规定
授权与执行的相关规定
附则
两部法案的主语稍有差别,《个人信息保护法(草案)》的主语是“个人信息”,而GDPR的主语采用了“data”,即“个人数据”。
“个人信息/数据”作为两部法案的主体,明确其定义是准确界定个人信息保护范围的前提和基础。两部法案在对“个人信息/数据”的概念界定上采用了两种不同的模式。我国《个人信息保护法(草案)》采用的是“纯定义”的模式,GDPR采用的是“定义+列举”的模式。
《个人信息保护法(草案)》中对个人信息的定义为:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
GDPR对于个人数据的定义为:个人数据是指任何指向一个已识别或可识别的自然人(数据主体)的信息。
该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号、定位数据、在线身份识别这列标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
相比之下,《个人信息保护法(草案)》采取的“纯定义”模式具有更大的开放性,赋予了具体司法实践中更大的司法解释空间,但其相对模糊、抽象的定义也会增加司法实践的难度。
GDPR采取的“定义+列举”模式更加具体、易懂,在具体的司法实践中便于公民“对号入座”,但列举难以面面俱到也会增加其繁琐性。
两部法案在适用范围上具有一定的相似性。《个人信息保护法(草案)》在总则中明确了法案的适用范围:
组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的
(二)为分析、评估境内自然人的行为
(三)法律、行政法规规定的其他情形
GDPR所明确的适用范围为:
本条例适用于在联盟内的数据控制者和数据处理者处理个人数据,无论该数据处理是否在联盟内进行
本条例适用于非联盟内的数据控制者或数据处理者处理联盟内当事人的数据,处理活动包括:
(1)向本联盟内数据主体提供产品或服务,无论是否需要该数据主体付款
(2)为监视联盟数据主体的行为
本条例适用于数据控制者处理个人数据,但该数据控制者不是在欧盟内设立的,而是在依照国际公法适用地区设立的
两部法案都对域外适用情况做了规定。相比而言,《个人信息保护法(草案)》在对域外适用范围的厘清和界定上较为模糊和保守,而GDPR的“属地+属人”原则更加凸显,将“属人”原则置于与“属地”同等的地位。
只要涉及欧盟公民的个人数据,无论是否发生在欧盟境内,无论涉及产品或服务,都适用GDPR。其内涵在于,GDPR赋予了欧盟在个人信息安全方面的域外管辖权。而这也意味着,欧盟在处理欧盟公民在境外的个人信息安全问题时,需得到他国的配合。
在《个人信息保护法(草案)》中,涉及个人信息的相关方主要为个人信息主体、个人信息处理者和履行个人信息保护职责的部门。而GDPR除此之外,设立了数据保护官(DPO)一职。具体为:
为确保数据保护合规并处理数据保护相关事务,数据控制者和数据处理者需设置数据保护官(DPO)
控制者和处理者应当对数据保护官不下达任何指令,DPO不能因为执行任务的原因被解雇或者受到刑事处罚
数据保护官直接向最高管理者报告工作
根据联盟法律或者成员国法律规定,数据保护官应当对其执行任务的内容进行保密
数据保护官也可以执行其他任务,履行其他职责
数据保护官的设立是GDPR的一个特色,其既要向企业和员工提供数据保护相关的建议,也要与监管机构合作,及时汇报,相当于数据主体、数据处理者与监管部门之间的“桥梁”。
我国《个人信息保护法(草案)》的适用主体为我国境内自然人,而欧盟出台GDPR除保护境内公民个人数据的目的外,还有解决欧盟各国之间差异性、统一欧盟数据规范的目的;
我国《个人信息保护法(草案)》顺应了国际共识,扩大了域外适用范围,但相比而言,草案对域外适用范围的规定较为模糊和保守,GDPR更鲜明地突破了地域限制,赋予了自身长臂管辖权;
GDPR在加强数据保护的同时,兼顾了企业的利益。设立数据保护官,对企业及员工提供数据保护相关培训。《个人信息保护法(草案)》的保护主体更侧重于个人。
欧盟GDPR的核心目的在于数据保护与发展数字经济,其中数据保护占据更重要的位置。欧盟当前的数字经济发展并未到达高度发达的阶段,欧盟出台GDPR更多是出于数据传输、处理的立法规范的目的。
此外,欧盟GDPR的立法实施,也旨在促进欧盟数字经济发展,形成规范统一的数字经济市场。我国当前处于数字经济发展跨越式发展时期,由此衍生的数据安全、个人信息安全问题也应得到更多的重视,在此大背景下出台的《个人信息保护法(草案)》顺应时势,回应了万众所期。(文章来源:E安全)
