数据合规观察

走出去智库观察  

8月20日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）颁布，并将于2021年11月1日起正式实施。个人信息保护法对于涉外数字活动、涉外个人信息保护问题作出了明确规范，作为中国和其他国家或地区之间个人信息保护合作的准则，具有深远的国际意义。

走出去智库（CGGT）观察到，随着近几年信息产业的快速发展，个人信息保护立法成为各国的重点，目前已经有128个国家通过立法保护个人信息和隐私。其中，欧盟《通用数据保护条例》（GDPR）和美国加利福尼亚州隐私保护法（CCPA&CPRA），以及中国刚刚出台的《个人信息保护法》为最具有影响力的法律文本。

腾讯研究院依托对个人信息保护领域法律制度的长期积累和专业洞察，完成了《中美欧个人信息保护法比较——以中国、欧盟GDPR，美国加州CCPA&CPRA为样本》的专题报告，系统展现当今世界个人信息保护立法在最为主要的区域及国家的共性与差异，为企业合规工作及研究带来积极价值。

今天，走出去智库（CGGT）刊发腾讯研究院此份报告的要点文章，供关注个人信息保护的读者参考。

要 点

CGGT，CHINA GOING GLOBAL THINKTANK

1、《个人信息保护法》适用范围和GDPR基本一致，加州隐私法则在地域范围、规制实体类型、规制数据活动的类型等方面更为克制。

2、在信息主体权利方面，《个人信息保护法》与GDPR类似，赋予了信息主体全面、细致的权利，同时对企业施加了更高的合规义务。

3、行政监管方面，中欧都可以以违法主体的营收总额为基准作出处罚，区别在于欧盟各国均采取了独立的专门的数据保护监管机构机制（DPAs）,而中国仍维持多部门执法机制。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

报告作者：

王   融

（腾讯研究院 首席数据法律政策专家）

易泓清

（腾讯研究院 助理研究员）

戴俊哲和李阳阳对本文亦有贡献

//

核心结论

//

从四部法律严厉程度比较的概览图可以看出，中国《个人信息保护法》在规则的严厉程度上基本对标欧盟GDPR，美国加州隐私立法（CCPA&CPRA）相较更为宽松：

适用范围：在地域范围上GDPR最宽泛，《个人信息保护法》更为克制，CCPA&CPRA最有限；而在排除适用的范围上，CCPA&CPRA排除范围最广，GDPR次之，《个人信息保护法》最有限；在规制的数据活动方面，《个人信息保护法》和GDPR调整范围更宽泛，CCPA&CPRA更为限缩。

在个人信息处理的合法性基础、同意规则、死者个人信息保护、数据本地化要求、数据出境安全评估、跨境证据调取、信息主体的知情权、行政监管方面，中国《个人信息保护法》比GDPR更严格，CCPA&CPRA最宽松。

在个人信息的定义、敏感信息的处理规则、未成年人个人信息的处理规则、匿名化、去识别化信息的处理规则、采取安全保障措施的义务、保存（储存）期限、个人信息保护影响评估、DPO/个人信息保护责任人制度等方面，《个人信息保护法》和GDPR严格程度基本一致，CCPA&CPRA最宽松。

在受规制的对象类型、信息主体的反对权、删除权、发生数据安全事件时的通知义务等方面，GDPR最严格，《个人信息保护法》次之，CCPA&CPRA最宽松。

下图为对比概览图。通过雷达坐标图方式对中美欧个人信息保护法律的29个方面的严格程度进行了直观比较。

（点击图片可放大显示）

图标说明

五种矢量图具体说明如下：

·图一：《个人信息保护法》模式和GDPR相似，但比GDPR更宽松。

·图二：《个人信息保护法》模式和严厉程度上与GDPR基本一致。

·图三：《个人信息保护法》模式上与GDPR相似，但是比GDPR更严格。

·图四：《个人信息保护法》模式上与加州隐私法（CCPA&CPRA）相似，但是比加州隐私法（CCPA&CPRA）更严格。

·图五：《个人信息保护法》模式上与加州隐私法（CCPA&CPRA）相似，宽松程度与其基本一致。

一、立法模式和适用范围比较

中国《个人信息保护法》采取了类似于GDPR的综合立法模式，而加州隐私法（CCPA&CPRA）是在消费者保护领域的个人信息保护专门立法。两种立法模式下，法律的适用范围有显著的不同，总体而言《个人信息保护法》适用范围和GDPR基本一致，加州隐私法则在地域范围、规制实体类型、规制数据活动的类型等方面更为克制。

（点击图片可放大显示）

GDPR:

在地域范围上，GDPR 采取的机构设立地标准和目标指向标准建立了较为宽泛的地域管辖范围。

1.机构设立标准：如果个人数据控制者或者处理者在欧盟境内设立了实体（establishment），在实体开展业务的场景下发生的数据处理行为受到该法管辖，无论数据处理行为的具体位置是否在欧盟境内。

（1）在实体的认定问题上，GDPR 序言第 22 条明确，“设立机构意味着经过稳定安排的活动的真正有效执行。这种安排的法律形式，无论是一个分支机构还是一个具有法律人格的子公司，并非决定性因素”。

（2）而针对数据处理行为是否发生在此实体开展业务活动的场景中，EDPB 在指南中指出，应该结合具体案情分析。一方面，为了确保对欧盟个人数据提供充分有效的保护，不应该对该问题进行限缩解释；另一方面，某些数据处理行为虽然发生在欧盟境内但是与欧盟鲜有联系（或者偶有联系），也不能对该行为的法律适用进行过度扩大解释，最终导致将 GDPR 错误地适用于上述行为。

在判断“特定的数据处理行为”是否可以被认定为“发生在此实体开展业务活动的场景中”时，EDPB 建议围绕两大因素进行考虑：第一，欧盟境外的数据控制者或处理者与他设立在欧盟境内的经营场所之间的关系。第二，是否在欧盟境内产生盈利。

2.目标指向标准是指，即使数据控制者或处理者不在欧盟设立，只要它为欧盟境内的数据主体提供商品或服务或对发生在欧洲范围内的数据主体的活动进行监控，即应当适用 GDPR。

中国《个人信息保护法》：

中国《个人信息保护法》在地域范围上采取了信息处理活动发生地标准和目标指向标准。总体借鉴了 GDPR 思路，但信息处理活动发生地标准与GDPR 的机构设立地标准存在一定差异,前者在扩展域外适用方面，具有更大的谦抑性。

一方面，组织、个人在中华人民共和国境内处理自然人个人信息的活动应当适用中国《个人信息保护法》（信息处理活动发生地）；另一方面，在境外处理中华人民共和国境内自然人个人信息，且有：（1）以向境内自然人提供产品或者服务为目的；（2）分析、评估境内自然人的行为；（3）法律、行政法规规定的其他情形，也适用中国《个人信息保护法》。

加州 CCPA&CPRA:

加州隐私保护法（CCPA&CPRA）的地域适用范围以商业活动发生地作为主要判断标准，但是由于法案本身并未对为进行商业活动（doing business）进行定义，而根据加利福尼亚税法和公司法，商业活动是指 “为获得经济利益、金钱收益、利润而积极参与任何交易”，因此可以对“商业活动”进行广义的解释。

二、个人信息的定义及分类

关于个人信息的定义，各部法律在具体的界定方式、概念的内涵和外延上均存在区别。中国《个人信息保护法》与GDPR在定义方法上更接近，将所有可识别与已识别的自然人有关的个人信息纳入了调整范围，保护范围更广。而CCPA&CPRA则通过定义+列举+排除的方式界定个人信息，范围更加限定和明确。在各类个人信息的处理规则上，整体而言《个人信息保护法》的要求更为严格。

（点击图片可放大显示）

三、合法性基础

由于适用范围的不同，各部法律在确立数据处理合法性基础方面存在重要差别。

1. 比较中国《个人信息保护法》第十三条和 GDPR 第六条列举的合法性基础可以发现，中国《个人信息保护法》和 GDPR 都将知情同意、履行合同所必需、履行法定义务所必需等作为合法性基础，但是中国《个人信息保护法》并未笼统的借鉴 GDPR 中关于“控制者或第三方的正当利益”作为合法性基础，而仅是认可了一种正当性——人力资源管理的需要，这大大压缩了理论上可以具有合法性的情形。个人信息保护涉及三个方面的利益，即信息主体的个人利益、与个人信息处理紧密结合的信息使用者（数据控制者）的利益和公共利益，个人信息的保护必须恰当考虑三重价值和利益的实现，才能构建正当合理的个人信处理法律基础。中国《个人信息保护法》简化处理个人信息的合法性基础，看似偏重个人权益的保护，但在落地中可能会带来新的问题，即很多理论上具有正当性的数据处理可能将陷于于法无据的情形。

2. 在同意规则方面，依照规则愈加严苛的程度排序，依次为加州隐私保护法（CCPA&CPRA），欧盟 GDPR,中国《个人信息保护法》。

·中国《个人信息保护法》最为严苛，其与欧盟 GDPR 都采取了选择加入（opt-in）模式，即以个人同意作为数据处理合法性理由的，非经个人同意，不得对其个人信息进行处理，并且都对同意的有效性提出了实质性要求，即自愿，明确，充分知情。而加州隐私法仍以选择退出（opt-out）为主要模式，即除非用户拒绝或退出，则公司可以继续处理用户的个人信息，这体现了美国一直以来在数据保护方面的务实思路。

·在对同意作出高标准要求的同时，中国《个人信息保护法》提出了比欧盟 GDPR 更细致严格的要求。《个人信息保护法》区分了同意、单独同意和书面同意等情形：在向他人提供个人信息、公开其所处理的个人信息、所收集的个人图像、身份识别信息用于维护公共安全以外的目的，处理敏感个人信息都需要获得个人的单独同意，而法律、行政法规规定应当取得书面同意的情况下应当取得书面同意。而 GDPR 除了对同意提出一些实质性要求，如 “充分知情的”“无争议的”外，并无类似要求。 

（点击图片可放大显示）

四、个人信息的跨境提供

在数字经济时代，跨境数据流动成为备受关注的议题。由于 CCPA&CPRA 是州层面的隐私保护立法，因此不涉及到个人信息的跨境提供问题。而GDPR 和《个人信息保护法》均构建了个人信息跨境提供制度框架：

·欧盟 GDPR 从保障基本权利的角度出发，规定了允许个 人数据转移的两种基本场景和八种例外情况；

·而中国《个人信息保护法》则主要从网络安全和数据主权出发，规定了可以向境外提供个人信息的四种条件，以及特定情况下的数据本地化要求，即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。其具体标准还有待于进一步细化。

（点击图片可放大显示）

五、信息主体的权利

GDPR 与《个人信息保护法》规定的知情信息范围更为全面，且后者进一步对提供的环节予以更高的要求：应当在信息处理之前向信息主体提供此类信息，这与个人信息处理与处理规则披露往往同步发生的实际情况有所脱节。

对于披露个人信息的接收方，GDPR 与 CCPA&CPRA 都允许仅披露接收者的类型，而中国《个人信息保护法》要求更高，要求披露到个人信息处理者的具体姓名/名称，和联系方式。这将为规则的实际落地带来更大挑战，数字服务往往涉及了多方数据主体的参与，以数字广告为例，在一次自动化的广告需求和广告位的匹配中，广告主、数据管理平台、第三方数据提供商、广告验证和归因提供商等主体在短时间内（毫秒级）处理大量的个人信息，要求处理者对所有参与方的身份信息在事前予以详实披露，仍需要在实践中探索可行方案。 

（点击图片可放大显示）

六、信息处理者的义务

对于信息处理者的义务设定，中欧立法更为详尽，体现了合规清单（check list）思路。GDPR和中国《个人信息保护法》均通过独立的章节规定了信息处理者（或数据控制者、处理者）的义务，主要包括：采取安全保障措施的义务、发生数据安全事件时的通知义务、隐私保护影响评估、任命数据保护官等的义务，而加州隐私法（CCPA&CPRA）则仅在1798.100条笼统提出采取安全措施的要求。

（点击图片可放大显示）

七、其他特别条款

对于社会公众普遍关注的热点话题，各部法律均予以了制度回应，特别是关于数据处理的“算法规制”，以及“人脸识别”问题。在规则的严厉程度上，《个人信息保护法》基本上达到了与GDPR一致的水平。

（点击图片可放大显示）

八、法律责任

1.中国关于个人信息保护违法行为的责任追究体系十分完整，涵盖了民事、行政与刑事领域，且十分严厉；

2.在民事诉讼方面，加州隐私法特点突出，其从实体上和程序上，大大限制了个人信息违法行为的可诉性，由此更倾向于由检察长行使监管职权。在具有行为规模性、事前可规范性的个人信息保护领域，行政规制的确彰显了更高的执法效率。

3.行政监管方面，中欧都可以以违法主体的营收总额为基准作出处罚，区别在于欧盟各国均采取了独立的专门的数据保护监管机构机制（DPAs）,而中国仍维持多部门执法机制。

4.刑事领域，中国较为严厉。个人信息违法犯罪相关罪名适用主体广泛，入罪门槛极低。

（点击图片可放大显示）

在行政处罚梯度方面：

美欧立法对违法行为进行了分类，以规定对应的处罚梯度。中国《个人信息保护法》仅以情节是否严重作为梯度的区分标准，给予了执法机关较大的自由裁量权。GDPR 根据违反的具体条款的不同，将罚款分为两个梯度：较轻的一类，处罚上限是 1000 万欧元或全球营收的 2%之中的高者（针对不需要识别的处理规定，以及一般性义务等）；较重的一类是 2000 万欧元或全球营收的 4%之中的高者（针对违反处理个人信息的原则，数据主体权利等）。

CCPA&CPRA 则根据主观心态规定了不同的罚款数额：如果企业故意违反义务或者是侵害儿童权利则处以 7500 美元的罚款，如果不是则处以 2500美元的罚款。

中国《个人信息保护法》则以情节严重为标准将罚款划分为 100 万元以下和 5000 万元以下/上一年度营业额百分之五以下两档。

刑事责任：

在刑事责任方面，各国立法存在较大的不同。

而比较个人信息保护刑事犯罪的相关立法可以发现，中国个人信息保护的刑事立法更为严厉：

1.犯罪主体广泛：我国侵犯公民个人信息罪对行为主体并无任何限制，而美国仅在医疗等特殊领域针对医疗机构及其工作人员规定了刑事责任。

2.适用刑罚严厉：在我国，侵犯公民个人信息罪的法定最高刑期是七年有期徒刑，而丹麦《个人信息处理法》规定的最高刑期为 4 个月有期徒刑，芬兰刑法中最为严重的侵犯个人信息犯罪（“个人数据档案犯罪”）最高也仅处以 1 年有期徒刑。

此外，我国个人信息领域刑事司法活跃，据统计2017 年6月至2021年6月，全国法院新收侵犯公民个人信息刑事案件10059件，审结 9743 件，生效判决人数 21726 人，对3803名被告人判处三年以上有期徒刑，比例达 17.50%。

来源：腾讯研究院