观千剑而后识器——中美欧个人信息保护制度比较

作者：

李瑞 贾申 钟俊鹏 李梦涵

前言

2021年8月20日，全国人大常委会通过了《个人信息保护法》（“个保法”），自2021年11月1日起施行，成为中国第一部专门规范个人信息保护的法律。此前，欧盟的《通用数据保护条例》（General Data Protection Regulation, “GDPR”）已于2018年5月生效，其被视为隐私保护领域最为权威和细致的立法。美国在联邦层面对个人信息保护采取“分散立法”的形式，但在州层面，《2018加州消费者隐私法案》（California Consumer Privacy Act of 2018, “CCPA”）及其修正案《加州隐私权法案》（California Privacy Rights Act of 2020, “CPRA”）为保护消费者个人数据的重量级法案。本文将以这三部法律为作为中美欧三个法域的个人信息保护法规的主要代表，对比个人信息保护制度在不同国家的联系与区别。

不同法域的法律法规皆根据本地区的实际情况量身定制，大体相同的法律框架下监管思路和运行机制各异。概括而言，CCPA/CPRA的重点是救济对消费者的损害、平衡隐私保护与高效的商业交易之间的关系，对个人信息的处理活动监管较少，而个保法和GDPR对于个人信息处理的监管则更加严格；GDPR认为个人信息保护是个体的基本权利，可以超越其他利益，而个保法与CCPA/CPRA除了关注个人信息安全外，也关注深层的网络安全与国家安全。三部法律均对公民的个人信息权益保护产生深远影响，同时也给企业的数据合规工作带来挑战。

处于全球化时代，企业如何在“走出去”的同时与当地法律做好衔接，充分理解不同个人信息保护规则的同时不失自身在数字经济中的竞争力，成为企业合规的重要思考方向。本文尝试以尽可能简洁的方式，以三部法律为基础，对中美欧三个法域的个人信息保护制度进行要点梳理和总结，以期帮助企业在理解我国个保法的基础上进一步提高跨境业务的合规水平，在不同法域的监管机制下发挥最佳运营效能。

一、中美欧个人信息保护制度比较

（一）个人信息的定义与分类

三部法律都区分了一般类型的个人信息和敏感个人信息。

就一般个人信息的定义而言，各法都强调个人信息的可识别性特征，CPRA进一步通过数据与个人“合理”的“关联性”对其定义进行限缩。在定义方式上，个保法采取归纳式概括法，GDPR和CPRA除概念外还列举了多种满足条件的信息类型。

就敏感个人信息（在GDPR中被称作“特殊类型个人数据”）而言，各法都对敏感个人信息具体包含的数据类型进行了列举，但其具体涵盖类型存在差异。个保法和GDPR都针对敏感个人信息设置了更高要求的处理条件，如特定目的、充分必要、信息主体明示或单独同意、严格保护措施等，而CCPA/CPRA则没有做出此类特别规定。

（点击图片查看大图）

对于敏感个人信息的内涵，各法既有区别又有联系[1]，总结如下：

（点击图片查看大图）

（二）管辖范围

各法在管辖上存在着比较大的差异，都管辖境外实体在境内的个人信息处理行为，但GDPR还会管辖境内实体在境外的个人信息处理行为，更加宽泛。总体上，GDPR遵循“属地+属人”的管辖原则，管辖范围广泛、逻辑复杂；个保法对境外数据处理者的管辖较为明确，采取的是“属地+例外”的原则；CCPA/CPRA主要聚焦于“属地”原则，仅管辖在加州开展的商业活动，并设置了一定的管辖门槛使符合条件的中小企业的经营活动可以豁免管辖。具体如下表所示；

（点击图片查看大图）

（三）个人信息处理活动的范围

三部法律对“处理”个人信息的具体内涵界定上存在差异且各有特色。GDPR所列举的处理方式最多，个保法列举的处理方式次之，但是二者都没有对具体的处理活动进行细致的描述；CPRA则没有详细列举处理活动的类型，仅提及6种行为，且结合全法可知其重点规制的是数据的收集、出售和共享行为。

值得关注的是CPRA中的“共享”行为，个保法和GDPR都没有对此进行规定。根据CPRA，“共享”应当采取广义上的理解，可指向企业通过任何方式向第三方披露个人信息，包括“跨场景行为广告”（Cross-context behavioral advertising）的行为，在界定该行为时不考虑双方是否交换了金钱或其他有价值的对价。其中，“跨场景行为广告”指根据从消费者的跨越语境的行为中获取的消费者个人信息向消费者投放广告，这些信息来源跨越了企业、品牌明确的网站、应用程序或者服务，而非消费者与之有意互动的企业、品牌明确的网站、应用程序或者服务。

个人信息“处理”活动的范围，在三部法律中的具体规定如下：

（点击图片查看大图）

（四）个人信息处理主体及其义务

就个人信息处理主体的界定而言，个保法与GDPR既有相似之处又有所区分。个保法形成了“个人-个人信息处理者”两方主体关系，GDPR则区分了“控制者”和“处理者”，形成了“个人-数据控制者-数据处理者”的三方主体关系。虽然同为“处理者”，但两者的概念和内涵并不相同。GDPR的“处理者”仅仅表示代表“控制者”处理个人信息的主体，“控制者”则指的是决定个人信息处理目的和方式的主体。其中，数据控制者是GDPR下履行义务的主要主体，数据处理者除了要遵守GDPR规定下的少量法定义务，还应当履行与数据控制者之间的合同义务。我国个保法则没有区分处理者与控制者，而是将信息处理主体统称为“个人信息处理者”，都要遵守个保法下的各项义务。这种概念差异会带来跨法域对话以及法律适用上的差异。我国企业面临个人信息跨境流动和在欧盟开展经营，以及欧盟企业在我国开展经营时，均应注意概念转换与系列制度的理解问题。

相较之下，CCPA/CPRA则区分了“企业”、“服务提供商”和“承包商”三类主体。其中，“企业”的定义接近GDPR的“数据控制者”，其限定于在加州开展业务的营利组织，且需要在上一年度总收入、处理的个人信息数量及个人信息处理与收入的联系上满足一定的门槛。符合条件企业所控制的实体、合营企业及其他自愿受约束的主体也被囊括在“企业”的范围之内。在前述三类主体中，只有“企业”承担CCPA/CPRA下的义务，“服务提供商”和“承包商”所需要承担的删除等义务受限于其与企业的合同关系，不直接受法案约束。

比较而言，欧盟GDPR与美国CCPA/CPRA区分角色的行为能够细化各个主体的义务与责任，更加有利于产业的发展和保护；而我国个保法统一定义为“个人信息处理者”的模式则更加有助于个人信息的保护。

此外，个保法制定了针对重要互联网平台的特殊义务，这与欧盟《数字市场法案》（Digital Market Act）提案中对于“守门人”数据保护义务的规定相似。同时，GDPR和个保法均对小型企业进行特别规定。具体而言，GDRP考虑到微型、小型和中型企业的具体情况，对于员工少于250人的组织放宽了记录保存的相关规定，并鼓励欧盟机构和团体、成员国及其监督机构在适用GDPR时充分考虑微型、小型和中型企业的特殊需求；个保法第六十二条则规定将针对小型个人信息处理者制定专门的个人信息保护规则、标准，但对于“小型个人信息处理者”的定义仍有待明确，相应的规则、标准也有待后续制定。

下表比较详细地列举了各法中个人信息处理主体及其义务：

（点击图片查看大图）

（五）个人信息处理原则

GDPR和个保法都构建了以“告知-同意”为核心的处理原则，信息主体的同意是企业处理数据时最重要的合法性基础，且信息主体有权随时撤回同意。而美国的CPRA采取“选择退出”机制，除非消费者选择拒绝出售或共享数据，一般默认消费者同意数据的处理。但是在特定情形下，处理个人信息也需要取得个体的同意。

三部法律都认可，有效的同意应当由信息主体充分知情且自愿、明确地作出。CPRA更是排除了部分互联网场景下的具体情形，强调消费者接受通用条款或悬停、静音、暂停、关闭等行为都不构成同意，暗箱操作模式也会导致获得的同意无效。

三部法案都对处理儿童个人信息时须取得的同意做了特别规定，但设置的年龄门槛不同。GDPR以16周岁为界，中国以14周岁为界，CPRA则区分了13周岁和16周岁两种情况，要求处理低于特定年龄的儿童个人信息时取得监护人同意。此外，GDPR和中国个保法都规定了特殊的同意类型以适用特殊情形，而美国采取“选择退出”机制，没有特殊同意的类型。

但也应当注意到，“告知-同意”仅仅是个人信息处理原则中的“程序”要求，除了要满足这一表面要求，各法还都规定了目的原则和最小必要原则来限制个人信息的收集与处理，以此达到更好保护个人信息的效果。换言之，即使个人信息处理者（或控制者等其他术语）获得了信息主体的同意，如果其对信息的处理不符合法律限定的目的和最小必要的原则，同样也会构成侵害个人的信息权益的违法行为。

详见下图所示：

（点击图片查看大图）

（六）信息主体的权利

三部法律都赋予了信息主体知情权、更正权、限制权、删除权、拒绝权、数据可携权等权利。其中个保法的规定较为简略，以列举权利为主，具体内涵有待进一步解释；而GDPR和CPRA对每种权利都进行了细致规定。

较有特色的是，CPRA规定了拒绝后不受报复的权利，中国个保法规定了死者近亲属对死者个人信息拥有的权利。

（点击图片查看大图）

（七）自动化决策

自动化决策指的是通过计算机程序，对个人的特征、行为等进行分析，在没有人工干预的情况下作出决策的活动。自动化决策的决策逻辑依托算法等技术，在外界看来具有不透明性，是难以监督的“黑箱”。因此，不论是从企业合规的角度还是政府监管的角度，对这种处理行为的监管都存在着比较大的挑战。在越来越多的企业采用个性化推荐等自动化决策工具为用户提供服务的背景下，各法均关注到了自动化决策中对个人信息的保护问题，总体上都要求决策逻辑需透明，决策结果需公平公正，且需保证用户拥有拒绝权。其中，GDPR和个保法对用户的拒绝权和处理者的义务做出了一些较为具体的规定，而CPRA目前仍有待检察长发布进一步法令以细化有关合规要求。值得注意的是，我国个保法还规定，不得利用自动化决策进行差别待遇。具体内容如下表所示：

（点击图片查看大图）

（八）个人信息跨境传输

作为一种重要的数据类型，欧盟和中国都对个人信息的跨境传输进行了限制。由于CCPA/CPRA是州层面的立法，不涉及个人信息的跨国传输，因此本部分只对个保法和GDPR作以比较。

首先，对于个人信息跨境传输的限制是单向的，即，只监管个人信息的流出，而不监管个人信息的流入。其次，GDPR对于个人信息跨境传输规定了两种基本规则与两种特殊情况，个保法则规定了个人信息向境外传输的四个条件。此外，由于个保法对数据的存储也做了限制，因此，对于存储于我国境内的个人信息在跨境传输上有特别的要求。

（点击图片查看大图）

（九）救济与法律责任

关于救济方式，各法均规定，面对信息处理者违反个人信息保护相关规定，侵犯个人信息利益的行为，信息主体有权提起民事诉讼。在此基础上，个保法和GDPR与CCPA/CPRA的规定有明显不同，体现了各法在衡平价值上的不同选择。个保法和GDPR在消费者提起民事诉讼的权利基础上，还规定相关组织（个保法规定还包括检察机关）可以就个人信息侵权行为提起公益诉讼，增强了消费者提起诉讼的权利。而CCPA/CPRA则规定，消费者提起诉讼后，企业有30天纠错期，期间企业纠正行为并声明后，消费者不得提起诉讼，这则对消费者提起诉讼的权利进行了限制，增强了对企业的保护。

关于法律责任，GDPR、个保法以及CCPA/CPRA都对违法个人信息保护的行为规定了罚款。就罚款额度而言，GDPR的额度最高，处罚最严厉；个保法次之，而且其规定了多种处罚类型，且采取了双罚制的规定，企业与直接主管人员都要为不当信息处理行为负责。美国CCPA/CPRA规定的罚金数额则比较低，且规定将把罚款存入消费者隐私基金。

具体内容如下表所示：

（点击图片查看大图）

二、企业合规建议

尽管世界局势千变万化，但全球化的浪潮仍是不可逆转的，跨国企业必须应对好不同法域的不同合规要求所带来的机遇与挑战，在破浪前行的同时也需密切关注各主要法域立法的最新动态，深入了解不同法域在监管上的区别，在必要时借助当地外部律师的力量，才能游刃有余地参与到全球化的经济中，在合规的框架下创造和收获最大商业利益。

结合上文介绍的三个主要法域的个人信息保护法律，我们对企业的个人信息保护合规工作提出以下合规建议：

• 盘查及确定企业运营过程中的哪些可能受到GDPR、CPRA等境外法律的管辖；

• 尽快检查现有的隐私政策是否符合个保法（2021年11月1日起实施）的规定，并检查特定情形下是否有符合GDPR、CPRA等境外法律规定的隐私条款；

• 确认网站的设计足以尽到收集处理用户个人信息的告知义务；

• 确认哪些情况可能涉及敏感个人信息和未成年人个人信息，并检查该信息处理机制是否符合法律最新规定；

• 自动化决策可能未来会受到较强监管，应充分注意合规性；

• 如果企业收集的个人信息由第三方代为处理，注意将合同更新至符合法律的强制性规定，对双方的应尽义务进行补充说明；

• 开展数据合规培训，确保员工了解法律对个人信息保护的最新要求；

• 保证技术能够满足用户“彻底删除”、“获得可机读的数据”等合法要求。

[注] 

[1] 中国方面结合了《个人信息保护法》和《个人信息安全规范》（标准号：GB/T 35273-2020）。

The End

 作者简介

李瑞  律师

北京办公室  合伙人

业务领域：跨境投资并购, 反垄断和竞争法, 网络安全和数据保护

特色行业类别：文化娱乐产业

贾申

北京办公室  顾问

业务领域：反垄断和竞争法, 贸易合规和救济, 诉讼仲裁

钟俊鹏  律师 

北京办公室  合规与政府监管部

李梦涵

北京办公室  合规与政府监管部

*阮圆圆、刘艺茜对本文亦有贡献。

作者往期文章推荐

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

点击“阅读原文”，可查阅该专业文章官网版。