数据合规观察 | 观千剑而后识器：中美欧个人信息保护制度比较【走出去智库】

李瑞贾申等走出去智库 2022-05-01

走出去智库观察

11月1日，《中华人民共和国个人信息保护法》正式施行，这标志着我国个人信息保护立法体系进入新的阶段，为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据。

走出去智库(CGGT)特约法律专家、中伦律师事务所顾问贾申指出，对比我国《个人信息保护法》、欧盟GDPR、美国CCPA和CPRA三部法律而言，CCPA/CPRA的重点是救济对消费者的损害、平衡隐私保护与高效的商业交易之间的关系，对个人信息的处理活动监管较少，而个保法和GDPR对于个人信息处理的监管则更加严格；GDPR认为个人信息保护是个体的基本权利，可以超越其他利益，而个保法与CCPA/CPRA除了关注个人信息安全外，也关注深层的网络安全与国家安全。三部法律均对公民的个人信息权益保护产生深远影响，同时也给企业的数据合规工作带来挑战。

中企如何做好个人信息保护的合规工作？政府如何实施监管？今天，走出去智库（CGGT）刊发中伦律师事务所李瑞、贾申、钟俊鹏、李梦涵的文章，供关注数据合规管理的读者参考。

要点

CGGT，CHINA GOING GLOBAL THINKTANK

1、GDPR遵循“属地+属人”的管辖原则，管辖范围广泛、逻辑复杂；个保法对境外数据处理者的管辖较为明确，采取的是“属地+例外”的原则；CCPA/CPRA主要聚焦于“属地”原则，仅管辖在加州开展的商业活动，并设置了一定的管辖门槛使符合条件的中小企业的经营活动可以豁免管辖。

2、欧盟GDPR与美国CCPA/CPRA区分角色的行为能够细化各个主体的义务与责任，更加有利于产业的发展和保护；而我国个保法统一定义为“个人信息处理者”的模式则更加有助于个人信息的保护。

3、在个保法监管和执法中，互联网平台企业大多处理海量用户数据，我们也呼呼政府部门，一是践行依法治国理念，尊重数字治理过程中逐步完善的客观规律，给企业和业界留出合理化的完善时间和配套的法规指引，相信各方也正在积极地配合相关合规落实工作；二是在全球加强数字治理规则的大背景下，中国政府在全球的数字治理中树立积极、理性、合规政府的国际形象，成为各国数字治理政府监管的良好示范，助力国际社会更好理解中国对于如何构建数字治理国际规则的立场主张与政策实践。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

文/李瑞贾申钟俊鹏李梦涵

中伦律师事务所

摘要：本文以中国《个人信息保护法》、欧盟GDPR、美国CCPA和CPRA三部法律为基础，对中美欧三个法域的个人信息保护制度进行要点梳理和总结，以期助力进一步提高跨境数据合规业务水平，在不同法域的监管机制下发挥最佳运营效能。

前言

2021年8月20日，全国人大常委会通过了《个人信息保护法》（“个保法”），自2021年11月1日起施行，成为中国第一部专门规范个人信息保护的法律。此前，欧盟的《通用数据保护条例》（General Data Protection Regulation, “GDPR”）已于2018年5月生效，其被视为隐私保护领域最为权威和细致的立法。美国在联邦层面对个人信息保护采取“分散立法”的形式，但在州层面，《2018加州消费者隐私法案》（California Consumer Privacy Act of 2018, “CCPA”）及其修正案《加州隐私权法案》（California Privacy Rights Act of 2020, “CPRA”）为保护消费者个人数据的重量级法案。本文将以这三部法律为作为中美欧三个法域的个人信息保护法规的主要代表，对比个人信息保护制度在不同国家的联系与区别。

不同法域的法律法规皆根据本地区的实际情况量身定制，大体相同的法律框架下监管思路和运行机制各异。概括而言，CCPA/CPRA的重点是救济对消费者的损害、平衡隐私保护与高效的商业交易之间的关系，对个人信息的处理活动监管较少，而个保法和GDPR对于个人信息处理的监管则更加严格；GDPR认为个人信息保护是个体的基本权利，可以超越其他利益，而个保法与CCPA/CPRA除了关注个人信息安全外，也关注深层的网络安全与国家安全。三部法律均对公民的个人信息权益保护产生深远影响，同时也给企业的数据合规工作带来挑战。

处于全球化时代，企业如何在“走出去”的同时与当地法律做好衔接，充分理解不同个人信息保护规则的同时不失自身在数字经济中的竞争力，成为企业合规的重要思考方向。本文尝试以尽可能简洁的方式，以三部法律为基础，对中美欧三个法域的个人信息保护制度进行要点梳理和总结，以期帮助企业在理解我国个保法的基础上进一步提高跨境业务的合规水平，在不同法域的监管机制下发挥最佳运营效能。

一、中美欧个人信息保护制度比较

（一） 个人信息的定义与分类

三部法律都区分了一般类型的个人信息和敏感个人信息。

就一般个人信息的定义而言，各法都强调个人信息的可识别性特征，CPRA进一步通过数据与个人“合理”的“关联性”对其定义进行限缩。在定义方式上，个保法采取归纳式概括法，GDPR和CPRA除概念外还列举了多种满足条件的信息类型。

就敏感个人信息（在GDPR中被称作“特殊类型个人数据”）而言，各法都对敏感个人信息具体包含的数据类型进行了列举，但其具体涵盖类型存在差异。个保法和GDPR都针对敏感个人信息设置了更高要求的处理条件，如特定目的、充分必要、信息主体明示或单独同意、严格保护措施等，而CCPA/CPRA则没有做出此类特别规定。

对于敏感个人信息的内涵，各法既有区别又有联系[1]，总结如下：

（二） 管辖范围

各法在管辖上存在着比较大的差异，都管辖境外实体在境内的个人信息处理行为，但GDPR还会管辖境内实体在境外的个人信息处理行为，更加宽泛。总体上，GDPR遵循“属地+属人”的管辖原则，管辖范围广泛、逻辑复杂；个保法对境外数据处理者的管辖较为明确，采取的是“属地+例外”的原则；CCPA/CPRA主要聚焦于“属地”原则，仅管辖在加州开展的商业活动，并设置了一定的管辖门槛使符合条件的中小企业的经营活动可以豁免管辖。具体如下表所示；

（三） 个人信息处理活动的范围

三部法律对“处理”个人信息的具体内涵界定上存在差异且各有特色。GDPR所列举的处理方式最多，个保法列举的处理方式次之，但是二者都没有对具体的处理活动进行细致的描述；CPRA则没有详细列举处理活动的类型，仅提及6种行为，且结合全法可知其重点规制的是数据的收集、出售和共享行为。

值得关注的是CPRA中的“共享”行为，个保法和GDPR都没有对此进行规定。根据CPRA，“共享”应当采取广义上的理解，可指向企业通过任何方式向第三方披露个人信息，包括“跨场景行为广告”（Cross-context behavioral advertising）的行为，在界定该行为时不考虑双方是否交换了金钱或其他有价值的对价。其中，“跨场景行为广告”指根据从消费者的跨越语境的行为中获取的消费者个人信息向消费者投放广告，这些信息来源跨越了企业、品牌明确的网站、应用程序或者服务，而非消费者与之有意互动的企业、品牌明确的网站、应用程序或者服务。

个人信息“处理”活动的范围，在三部法律中的具体规定如下：

（四） 个人信息处理主体及其义务

就个人信息处理主体的界定而言，个保法与GDPR既有相似之处又有所区分。个保法形成了“个人-个人信息处理者”两方主体关系，GDPR则区分了“控制者”和“处理者”，形成了“个人-数据控制者-数据处理者”的三方主体关系。虽然同为“处理者”，但两者的概念和内涵并不相同。GDPR的“处理者”仅仅表示代表“控制者”处理个人信息的主体，“控制者”则指的是决定个人信息处理目的和方式的主体。其中，数据控制者是GDPR下履行义务的主要主体，数据处理者除了要遵守GDPR规定下的少量法定义务，还应当履行与数据控制者之间的合同义务。我国个保法则是将信息处理主体统称为“个人信息处理者”，除“自主决定处理目的、处理方式”的个人信息处理者外，与GDPR项下的“处理者”类似的是“委托处理”情形下的个人信息处理者，其应当按照与委托人的约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息。这种概念差异会带来跨法域对话以及法律适用上的差异。我国企业面临个人信息跨境流动和在欧盟开展经营，以及欧盟企业在我国开展经营时，均应注意概念转换与系列制度的理解问题。

相较之下，CCPA/CPRA则区分了“企业”、“服务提供商”和“承包商”三类主体。其中，“企业”的定义接近GDPR的“数据控制者”，其限定于在加州开展业务的营利组织，且需要在上一年度总收入、处理的个人信息数量及个人信息处理与收入的联系上满足一定的门槛。符合条件企业所控制的实体、合营企业及其他自愿受约束的主体也被囊括在“企业”的范围之内。在前述三类主体中，只有“企业”承担CCPA/CPRA下的义务，“服务提供商”和“承包商”所需要承担的删除等义务受限于其与企业的合同关系，不直接受法案约束。

比较而言，欧盟GDPR与美国CCPA/CPRA区分角色的行为能够细化各个主体的义务与责任，更加有利于产业的发展和保护；而我国个保法统一定义为“个人信息处理者”的模式则更加有助于个人信息的保护。

此外，个保法制定了针对重要互联网平台的特殊义务，这与欧盟《数字市场法案》（Digital Market Act）提案中对于“守门人”数据保护义务的规定相似。同时，GDPR和个保法均对小型企业进行特别规定。具体而言，GDRP考虑到微型、小型和中型企业的具体情况，对于员工少于250人的组织放宽了记录保存的相关规定，并鼓励欧盟机构和团体、成员国及其监督机构在适用GDPR时充分考虑微型、小型和中型企业的特殊需求；个保法第六十二条则规定将针对小型个人信息处理者制定专门的个人信息保护规则、标准，但对于“小型个人信息处理者”的定义仍有待明确，相应的规则、标准也有待后续制定。

下表比较详细地列举了各法中个人信息处理主体及其义务：

（五） 个人信息处理原则

GDPR和个保法都构建了以“告知-同意”为核心的处理原则，信息主体的同意是企业处理数据时最重要的合法性基础，且信息主体有权随时撤回同意。而美国的CPRA采取“选择退出”机制，除非消费者选择拒绝出售或共享数据，一般默认消费者同意数据的处理。但是在特定情形下，处理个人信息也需要取得个体的同意。

三部法律都认可，有效的同意应当由信息主体充分知情且自愿、明确地作出。CPRA更是排除了部分互联网场景下的具体情形，强调消费者接受通用条款或悬停、静音、暂停、关闭等行为都不构成同意，暗箱操作模式也会导致获得的同意无效。

三部法案都对处理儿童个人信息时须取得的同意做了特别规定，但设置的年龄门槛不同。GDPR以16周岁为界，中国以14周岁为界，CPRA则区分了13周岁和16周岁两种情况，要求处理低于特定年龄的儿童个人信息时取得监护人同意。此外，GDPR和中国个保法都规定了特殊的同意类型以适用特殊情形，而美国采取“选择退出”机制，没有特殊同意的类型。

但也应当注意到，“告知-同意”仅仅是个人信息处理原则中的“程序”要求，除了要满足这一表面要求，各法还都规定了目的原则和最小必要原则来限制个人信息的收集与处理，以此达到更好保护个人信息的效果。换言之，即使个人信息处理者（或控制者等其他术语）获得了信息主体的同意，如果其对信息的处理不符合法律限定的目的和最小必要的原则，同样也会构成侵害个人的信息权益的违法行为。

详见下图所示：

（六） 信息主体的权利

三部法律都赋予了信息主体知情权、更正权、限制权、删除权、拒绝权、数据可携权等权利。其中个保法的规定较为简略，以列举权利为主，具体内涵有待进一步解释；而GDPR和CPRA对每种权利都进行了细致规定。

较有特色的是，CPRA规定了拒绝后不受报复的权利，中国个保法规定了死者近亲属对死者个人信息拥有的权利。

（七）自动化决策

自动化决策指的是通过计算机程序，对个人的特征、行为等进行分析，在没有人工干预的情况下作出决策的活动。自动化决策的决策逻辑依托算法等技术，在外界看来具有不透明性，是难以监督的“黑箱”。因此，不论是从企业合规的角度还是政府监管的角度，对这种处理行为的监管都存在着比较大的挑战。在越来越多的企业采用个性化推荐等自动化决策工具为用户提供服务的背景下，各法均关注到了自动化决策中对个人信息的保护问题，总体上都要求决策逻辑需透明，决策结果需公平公正，且需保证用户拥有拒绝权。其中，GDPR和个保法对用户的拒绝权和处理者的义务做出了一些较为具体的规定，而CPRA目前仍有待检察长发布进一步法令以细化有关合规要求。值得注意的是，我国个保法还规定，不得利用自动化决策进行差别待遇。具体内容如下表所示：

（八）个人信息跨境传输

作为一种重要的数据类型，欧盟和中国都对个人信息的跨境传输进行了限制。由于CCPA/CPRA是州层面的立法，不涉及个人信息的跨国传输，因此本部分只对个保法和GDPR作以比较。

首先，对于个人信息跨境传输的限制是单向的，即，只监管个人信息的流出，而不监管个人信息的流入。其次，GDPR对于个人信息跨境传输规定了两种基本规则与两种特殊情况，个保法则规定了个人信息向境外传输的四个条件。此外，由于个保法对数据的存储也做了限制，因此，对于存储于我国境内的个人信息在跨境传输上有特别的要求。

（九）救济与法律责任

关于救济方式，各法均规定，面对信息处理者违反个人信息保护相关规定，侵犯个人信息利益的行为，信息主体有权提起民事诉讼。在此基础上，个保法和GDPR与CCPA/CPRA的规定有明显不同，体现了各法在衡平价值上的不同选择。个保法和GDPR在消费者提起民事诉讼的权利基础上，还规定相关组织（个保法规定还包括检察机关）可以就个人信息侵权行为提起公益诉讼，增强了消费者提起诉讼的权利。而CCPA/CPRA则规定，消费者提起诉讼后，企业有30天纠错期，期间企业纠正行为并声明后，消费者不得提起诉讼，这则对消费者提起诉讼的权利进行了限制，增强了对企业的保护。

关于法律责任，GDPR、个保法以及CCPA/CPRA都对违法个人信息保护的行为规定了罚款。就罚款额度而言，GDPR的额度最高，处罚最严厉；个保法次之，而且其规定了多种处罚类型，且采取了双罚制的规定，企业与直接主管人员都要为不当信息处理行为负责。美国CCPA/CPRA规定的罚金数额则比较低，且规定将把罚款存入消费者隐私基金。

具体内容如下表所示：

二、企业和政府监管合规建议

2021年10月30日，习近平主席在二十国集团领导人第十六次峰会第一阶段会议上发表讲话称：“中国已经提出《全球数据安全倡议》，我们可以共同探讨制定反映各方意愿、尊重各方利益的数字治理国际规则，积极营造开放、公平、公正、非歧视的数字发展环境。”

尽管世界局势千变万化，但全球化的浪潮仍是不可逆转的，跨国企业必须应对好不同法域的不同合规要求所带来的机遇与挑战，在破浪前行的同时也需密切关注各主要法域立法的最新动态，深入了解不同法域在监管上的区别，在必要时借助当地外部专业律师专家的力量，才能游刃有余地参与到全球化的经济中，在合规的框架下创造和收获最大商业利益。

结合上文介绍的三个主要法域的个人信息保护法律，我们对企业的个人信息保护合规工作提出以下合规建议：

● 盘查及确定企业运营过程中的哪些可能受到GDPR、CPRA等境外法律的管辖；
● 尽快检查现有的隐私政策是否符合个保法（2021年11月1日起实施）的规定，并检查特定情形下是否有符合GDPR、CPRA等境外法律规定的隐私条款；
● 确认网站的设计足以尽到收集处理用户个人信息的告知义务；
● 确认哪些情况可能涉及敏感个人信息和未成年人个人信息，并检查该信息处理机制是否符合法律最新规定；
● 自动化决策可能未来会受到较强监管，应充分注意合规性；
● 如果企业收集的个人信息由第三方代为处理，注意将合同更新至符合法律的强制性规定，对双方的应尽义务进行补充说明；
● 开展数据合规培训，确保员工了解法律对个人信息保护的最新要求；
● 保证技术能够满足用户“彻底删除”、“获得可机读的数据”等合法要求。

此外，就个人信息保护领域的政府监管工作，我们提出如下建议：

● 在个保法监管和执法中，互联网平台企业大多处理海量用户数据，我们也呼呼政府部门，一是践行依法治国理念，尊重数字治理过程中逐步完善的客观规律，给企业和业界留出合理化的完善时间和配套的法规指引，相信各方也正在积极地配合相关合规落实工作；二是在全球加强数字治理规则的大背景下，中国政府在全球的数字治理中树立积极、理性、合规政府的国际形象，成为各国数字治理政府监管的良好示范，助力国际社会更好理解中国对于如何构建数字治理国际规则的立场主张与政策实践。
● 在个保法正式生效后，相关部门应尽快出台配套法规和指南，以明确相关问题。例如，跨境数据提供的标准合同条款，明确应承担特殊义务的“处理个人信息达到网信部门规定数量的数据处理者”的标准，针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用的专门的个人信息保护规则、标准等。
● 尽快推动各行业的个人信息和数据分级分类监管。近期，《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》、《网络安全标准实践指南——数据分类分级指引（征求意见稿）》等一系列关于数据分级分类和重要数据保护的法规和指南征求意见稿相继发布，为包括个人信息在内的数据分级分类监管工作提出了指引。后续各行业的数据分级分类监管的要求应逐步细化，并应根据行业特点有所差异化。
● 数据出境合规审查是个保法项下确立的重要制度，对于需要进行数据出境安全评估的情形，建议相关部门在后续的审查实践中应按照安全与效率相结合的原则，注重审查结果的时效性，以期达到兼顾数据合理流动和维护国家安全的立法目的。

注释：

1.中国方面结合了《个人信息保护法》和《个人信息安全规范》（标准号：GB/T 35273-2020）。

专家简介

主要执业领域为大合规管理（合规体系建设、反垄断和竞争法、贸易合规、数据保护、商业秘密保护、反商业贿赂、国家安全审查）、境外投资和诉讼仲裁。

具有15年以上法律行业经验，曾处理过不同领域的众多复杂案件和重要项目，尤其是在公司合规管理、跨境合规和监管方面表现卓越，荣获《商法》2020年度跨境合规、科技与电信优秀法务奖和《法治日报》2020年度“最具法治影响力个人”奖。

长期负责企业合规体系建设，包括为企业制订合规方案、合规管理制度、合规行为准则等；为企业跨境合规风险管理和海外投资项目提供专业服务，包括合资并购项目反垄断申报、商业秘密和竞业限制应诉、贸易调查应对、出口管制&经济制裁风控体系建设、欧盟GDPR等数据合规风险排查、美国CFIUS审查分析、海外直接投资（ODI）架构设计等，并擅于通过合规规范、指引和审查流程进行合规的日常化管控，为客户提供多元化合规培训和宣贯。

曾参与北京国资委第一批合规试点项目，制订《北京市管企业合规管理工作实施方案》，兼任中国贸促会全国企业合规委员会专家，并就反垄断、出口管制制裁、企业合规实践等多次受邀在北京市律协、国内外著名律师事务所、世界500强央企、民企、外企和咨询公司等授课。

加入中伦之前，曾于京东方科技集团担任合规中心中心长，曾任国家商务部反垄断局副调研员、驻欧盟和东盟使领馆领事。

延展阅读