中美欧个人信息保护法比较——以中国个人信息保护法、欧盟GDPR,美国加州CCPA&CPRA.pptx
- 文档编号:30858549
- 上传时间:2024-04-09
- 格式:PPTX
- 页数:77
- 大小:994.98KB
中美欧个人信息保护法比较——以中国个人信息保护法、欧盟GDPR,美国加州CCPA&CPRA.pptx
《中美欧个人信息保护法比较——以中国个人信息保护法、欧盟GDPR,美国加州CCPA&CPRA.pptx》由会员分享,可在线阅读,更多相关《中美欧个人信息保护法比较——以中国个人信息保护法、欧盟GDPR,美国加州CCPA&CPRA.pptx(77页珍藏版)》请在冰豆网上搜索。
13报报告目告目录录图图标标说说明明.11一一、立立法模法模式式与与适适用范用范围围.2适用的地域范围.5受规制的对象类型.7规制的数据活动.9排除适用的范围.10二二、个个人信人信息息的的定定义义与与分分类类.12个人信息的定义.12敏感个人信息.14未成年人个人信息.18死者个人信息.20匿名化、去标识化信息.22三三、合合法性法性基基础础.25合法性基础的范围.26同意规则.27四四、个个人信人信息息的的跨跨境提供境提供.29数据本地化和出境安全评估.31跨境证据调取.32五五、信信息主息主体体的的权权利利.33知情权.33访问权.35反对权/撤回权.37删除权.38复制权/可携权.40六六、信信息息处处理理者者的的义务义务.43采取安全保障措施的义务.43保存(储存期限).45发生数据安全事件时的通知义务.47个人信息保护影响评估.51DPO/个人信息保护责任人制度.52守门人条款.54七七、其其他特他特别别条条款款.57自动化决策条款(算法规制).58采集图像信息和身份识别信息.60八八、法法律律责责任任.62民事诉讼.63行政监管.65刑事责任.68比比较较概概览览.69结结语语.71图标说图标说明明图一图二图三图四图五每个二级标题均有一个矢量图说明比较结论。
指针代表中国个人信息保护法,左侧(即橙红色区域)代表GDPR模式,右侧(即绿色区域)代表加州隐私法(CCPA&CPRA)模式。
指指针针方方向向:
指针指向左侧说明就此部分规则而言个人信息保护法更接近GDPR模式,指向右侧则说明个人信息保护法更接近加州隐私法(CCPA&CPRA)模式。
指指针针指向的指向的颜颜色色:
橙色向红色渐变说明法律的严厉程度递增,白色虚线内的红色区域表示严厉程度超过GDPR;深绿向浅绿渐变说明法律的宽松程度递增,白色虚线内的深绿色部分表示严厉程度超过CCPA&CPRA。
五种矢量图具体说明如下图一:
个人信息保护法模式和GDPR相似,但比GDPR更宽松。
图二:
个人信息保护法模式和严厉程度上与GDPR基本一致。
图三:
个人信息保护法模式上与GDPR相似,但是比GDPR更严格。
图四:
个人信息保护法模式上与加州隐私法(CCPA&CPRA)相似,但是比加州隐私法(CCPA&CPRA)更严格。
图五:
个人信息保护法模式上与加州隐私法(CCPA&CPRA)相似,宽松程度与其基本一致。
1一、立法模式一、立法模式与与适用范适用范围围中国个人信息保护法采取了类似于GDPR的综合立法模式,而加州隐私法(CCPA&CPRA)是在消费者保护领域的个人信息保护专门立法。
两种立法模式下,法律的适用范围有显著的不同:
适适用用范范围围概概览览:
立法立法模式模式GDPR综综合性立法合性立法中国个人信息保中国个人信息保护护法法综综合性立法合性立法加州加州隐隐私法私法(CCPA&CPRA)消消费费者保者保护领护领域的域的专专门门立立法法适适用用地地域域范范围围境境内内欧盟境内:
在在欧欧盟盟内内部部设设立立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。
3中国境内:
数据数据处处理活理活动动发发生生在境内1.在加利福尼亚州进进行商行商业业活活动动的企业2.任何控制或被第
(1)段所界定的业务所控制并与该业务有共同品牌的实体43.由多个企业组成的合营或合伙企业,每个企业至少拥有合营企业或合伙企业40%的权益4.在加利福尼亚州开展业务且不受第
(1)、
(2)或(3)款约束的人,自愿向加利福尼亚隐私保护局证明其遵守并本法规定的。
境境外外欧盟境外:
在欧盟境外向欧盟向欧盟境境内个人提内个人提供商品或服供商品或服务务,或,或对对其其监监控控的情形5中国境外:
在境外处理,但:
以向境内自然人提向境内自然人提供供产产品或者服品或者服务为务为目目的的,或分析、评估境内自然人的行为;以及法律、行政法规规定的其他情形63GDPR第三条4加州民法典1798.140条(d);5GDPR第三条6中国个人信息保护法第三条;2受受保保护护的的人人境境内内+欧盟境境内内自然人7:
(datasubject)+中国境境内内的自然人8(个人)加州居民9:
(1)非临时或临时目的而在在该该州州的每个人,以及
(2)居住居住在在该该州州但临时或因暂时的目的而在该州之外的每个人非非境境内内在欧盟设立的机构所处理的个人数据(不限于欧盟境内的自然人);在中国境内处理的个人数据(不限于中国境内的个人)GDPR中国个人信息保中国个人信息保护护法法加州加州隐隐私法私法(CCPA&CPRA)受受规规制的制的实实体体类类型型数据控制者和数据处理者10个人信息处理者和受托人11(注:
个人信息处理者相当于欧盟GDPR中的数据控制者;)符合一定条件的企业12适用的数据适用的数据活活动动数据处理活动:
对数据的操作行为(以概括列举方式的全面界定。
)13个人信息的处理:
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等14。
收集(collect);出售(sale);共享(share)。
157GDPR第三条8中国个人信息保护法第三条;9加利福尼亚州管制法典第17014.条(a)款:
居民包括
(1)非临时或临时目的而在该州的每个人,以及
(2)居住在该州但临时或因暂时的目的而在该州之外的每个人10GDPR第四条11中国个人信息保护法第七十三条,第五十九条12加州民法典第1798.140.条(CCPA):
企业是指:
(1)年收入超过2500万美元;
(2)购买、收取、出售或共享100,000人甚至更多的消费者、家庭或设备的个人信息;(3)通过销售或共享消费者的个人信息获得其年收入的50甚至更多。
13GDPR第四条第
(2)项:
“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
14中国个人信息保护法第四条第二款15加州民法典第1798.140.条:
“收集”(Collects)、“已收集”(collected)或“收集集合”(collection)是指以任何方式购买、出租、收集、获取、接收或访问与消费者有关的任何个人信息。
这包括主动或被动地从消费者那里接收信息,或者通过观察消费者的行为来接收信息;出售(sale):
“出售”、“出售中”、“销售”或“已出售”是指企业以金钱或其他有价值的对价,通过口头、书面、电子或其他方式,向一家企业或第三方出售、出租、发布、披露、传播、提供、转让消费者的个人信息;共享(share):
是指企业为了实现行为广3欧盟法管辖之外的活动中所进行的个人数据处该商业行为的所有要素都完全发生理;在加利福尼亚州以外16欧盟成员国为履行欧盟基本条约(TEU)第2章第5款所规定的活动而进行的个人数据处理;自然人在纯粹个人或家庭活动中所进行的个人数据处理;自然人因个人或者家庭事务处理个人信息遵守联邦、州或地方法律;遵守联有关主管部门为预防、调查、侦查、起诉刑事犯邦、州或地方当局的民事、刑事或监罪、执行刑事处罚、防范及预防公共安全威胁而进管调查、调查、传票或传唤;与执法排除适用的排除适用的行的个人数据处理17。
机构进行的合作;行使或者辩护法范范围围律主张。
法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的18。
医疗、征信、驾驶、金融、政府公开信息、雇员信息、车辆信息以及(车辆)所有权信息19(注:
*加州隐私法通过对数据处理活动的限缩解释以及在个人信息的定义中排除多种具体的信息类型,告的目的,通过共享、出租、发布、披露、传播、提供、转移或以其他方式口头、书面、电子或其他方式向第三方传输消费者的个人信息,无论是否出于金钱或其他有价值的考虑。
16加州民法典1798.145条(a)(7)17GDPR第二条第二款18中国个人信息保护法第七十二条19加州民法典第1798.145条4从而限制了适用范围,具体分析见下文“规制的数据活动”、“排除适用的范围”以及“个人信息的定义”部分。
)适适用用的的地域地域范范围围各部法律均具有域外适用的效力。
但从域外适用的范围看,GDPR的范围最为宽泛,中国个人信息保护法在地域范围上做了适当延伸,但相较GDPR更为克制。
GDPR:
在地域范围上,GDPR采取的机构机构设设立地立地标标准和准和目目标标指向指向标标准准建立了较为宽泛的地域管辖范围。
1.机构设立标准:
如果个人数据控制者或者处理者在欧盟境内设立了实实体体(establishment),),在实体开展业务的场景下发生的数据处理行为受到该法管辖,无论数据处理行为的具体位置是否在欧盟境内。
1在实体的认定问题上,GDPR序言第22条明确,“设立机构意味着经过稳定安排的活动的真正有效执行。
这种安排的法律形式,无论是一个分支机构还是一个具有法律人格的子公司,并非决定性因素”。
2而针对数据处理行为是否发生在此实体开展业务活动的场景中,EDPB在指南中指出,应该结合具体案情分析。
一方面,为了确保对欧盟个人5数据提供充分有效的保护,不应该对该问题进行限缩解释;另一方面,某些数据处理行为虽然发生在欧盟境内但是与欧盟鲜有联系(或者偶有联系),也不能对该行为的法律适用进行过度扩大解释,最终导致将GDPR错误地适用于上述行为。
在判断“特定的数据处理行为”是否可以被认定为“发生在此实体开展业务活动的场景中”时,EDPB建议围绕两大因素进行考虑:
第一,欧盟境外的数据控制者或处理者与他设立在欧盟境内的经营场所之间的关系。
第二,是否在欧盟境内产生盈利。
202.目标指向标准是指,即使数据控制者或处理者不在欧盟设立,只要它为欧盟境内的数据主体提供商品或服务或对发生在欧洲范围内的数据主体的活动进行监控,即应当适用GDPR。
中国个人信息保中国个人信息保护护法法:
中中国国个个人人信息信息保保护护法法在在地地域域范范围围上采上采取取了了信信息息处处理理活活动动发发生地生地标标准准和和目目标标指指向向标标准准。
总总体体借借鉴鉴了了GDPR思思路路,但信但信息息处处理理活活动动发发生生地地标标准准与与GDPR的机构的机构设设立地立地标标准准存在一定差异存在一定差异,前者在前者在扩扩展展域外适用方面,具域外适用方面,具有有更更大大的的谦谦抑性。
抑性。
一方面,组织、个人在中华人民共和国境内处理自然人个人信息的活动应当适用中国个人信息保护法(信息处理活动发生地);另一方面,在境外处理中华人民共和国境内自然人个人信息,且有:
(1)以向境内自然人提供产品或者服务为目的;
(2)分析、评估境内自然人的行为;(3)法律、行政法规规定的其他情形,也适用中国个人信息保护法。
加州加州CCPA&CPRA:
加州隐私保护法(CCPA&CPRA)的地域适用范围以商业活动发生地作为主要判断标准,但是由于法案本身并未对为进行商业活动(doingbusiness)进行定义,而根据加利福尼亚税法和公司法,商业活动是指“为获得经济利益、金钱收益、利润而积极参与任何交易”,因此可以对“商业活动”进行广义206Guidelines3/2018ontheterritorialscopeoftheGDPR(Article3):
https:
/edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en_1.pdf的解释。
受受规规制制的的对对象象类类型型在规制主体方面,GDPR中明确区分了数据控制者与数据处理者两类主体,而中国个人信息保护法和加加州州隐隐私私法法(CCPA&CPRA)更更为为接接近近,两两者者都都未未采采取取主主体体的的二二分分法法,而是在建立类似于控制者的概念后,通过委托关系明确受托人的义务。
从定义上看,中国个人信息保护法中的个人信息处理者的概念和GDPR的数据控制者概念类似,其是数据处理活动的决定者和主要负责者。
GDPR:
数据控制者和数据处理者的概念在GDPR的应用中起着至关重要的作用,因为它们决定了谁负责遵守不同的数据保护规则,以及数据主体在实践中向谁主张权利。
21数据控制者决定个人信息处理目的与方式,因此确保个人数据的处理需具有合法性理由是针对控制者提出的。
数据控制者对于数据主体权利的行使、非法数据处理造成的损害、以及采取安全保护措施等方面有重要的责任。
22同时GDPR的一个重要特点是直接对处理者施加了一定的数据保护义务,例如数据处理者必须遵守保密义务、保存处理活动记录、遵守数据跨境流动的规则等等。
对于控制者和处理者明确指向各自应负担的法定义务,为企业合规和合同责任分配提供了较为明确的规则指引。
在云计算的场景下,数据21Guidelines07/2020ontheconceptsofcontrollerandprocessorintheGDPR,see:
https:
/edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-072020-concepts-controller-and_en22Opinion1/2010ontheconceptsofcontrollerandprocessor,see:
https:
/ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf7控制者一方面需要履行好选任处理者的义务,保证数据处理者有足够的技术能力保障数据主体的个人数据安全,另一方面需要通过合同条款保留对通过云服务执行的个人数据处理的控制权(确定目的和方式)。
而数据处理者则需要按照合同约定和法律规定协助数据控制者履行其数据保护义务,特别是后者对行使数据保护权利的数据主体提出的访问、阻止、纠正和删除请求的迅速响应。
23中国个人信息保中国个人信息保护护法法,CCPA&CPRA中国个人信息保护法笼统规定受托处理者应当采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
“相关义务”较为模糊无法为企业提供明确的指引,还留待后续实践中逐步清晰。
加州隐私法也存在类似问题。
加州CCPA&CPRA中区分了企业(Business),服务提供商(ServiceProvider),承包商(Contractor),三者的义务要求存在一些差异。
例如,服务提供商和承包商有如下义务:
(1)配合企业响应可验证的消费者请求,在企业的指示下删除或使企业能够删除,关于消费者的个人信息;24
(2)在收到企业的指示后,协助企业实现目的的服务提供者或承包商,在实际知道个人信息属于敏感个人信息的范围内,不得使用敏感个人信息。
从表述上看不难发现,服务提供商、承包商的以上义务受限于服务提供商、承包商与企业的关系。
例如在删除权的行使上,当服务提供商或承包商是作为该企业的服务提供商或承包商收集、使用,处理和储存消费者个人信息的,其无需满足消费者直接向其提出的删除要求,25而在敏感个人信息的问题上,服务提供商和承包商业仅需限制其根据与企业签订的书面合同收到的敏感个人信息的适用,以响应企业的指示,并且仅限于与该企业的关系。
2623Guidelinesontheuseofcloudcomputingservices,seehttps:
/edps.europa.eu/data-protection/our-work/publications/guidelines/guidelines-use-cloud-computing-services-european_en24加州民法典第1798.105条(3)(c)25加州民法典第1798.105(3)(c)26加州民法典第1798.121条(c)8规规制制的的数据数据活活动动GDPR与中国个人信息保护法较为类似,对于规制的数据活动都采取了较为宽泛的解释,而加州隐私法对规制活动作出了明确的限缩。
GDPR,中国个人信中国个人信息息保保护护法法:
GDPR调整的数据处理活动是指,任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
中国个人信息保护法列举的调整行为少于GDPR,但同样具有宽泛性。
加州加州CCPA&CPRA:
CCPA&CPRA则仅规制收集(collect),出售(sell),共享(share)数据三类行为。
根据加州民法典第1798.140条,该法案中的“出售”、“出售中”、“销售”或“已出售”是指企业以金钱或其他有价值的对价,通过口头、书面、电子或其他方式,向一家企业或第三方出售、出租、发布、披露、传播、提供、转让消费者的个人信息。
可见“出售”一词也具有很大的解释空间,包括就个人信息进行价值交换(“对价”)的任何安排。
2727https:
/和中国个人信息保护法是综合通用性立法,并未像加州隐私法(CCPA&CPRA)一样,从个人信息类型上对适用范围进行限制。
但是在信息处理行为的类型中,GDPR在在适适用用范范围围上上排排除除了了“自自然然人人在在纯纯粹粹个个人人或或家家庭庭活活动动中中所所进进行行的的个个人人数数据据处处理理”,中中国国个个人人信信息息保保护护法法也也做做了了类类似似排排除除。
同时,考虑到中小企业的情况,GDPR序言第十三条和正文第三十条明确,减免雇员人数在250人以下实体的备案(record-keeping)义务。
但中国个人信息保护法未做类似限制。
加州加州CCPA&CPRA:
CCPA&CPRA的适用范围从数据类型上排除了医疗、征信、驾驶、金融、政府公开信息、雇员信息、车辆信息以及(车辆)所有权信息等受其他部门法(eg:
医疗信息保密法、健康保险可携带性和责任法案、健康信息技术促进经济和临床健康法案、公平信用报告法、联邦格莱姆-里奇-布莱利法案、驾驶员隐私保护法)调整的信息。
并且,通过年收入和收集信息的数量等条件对受规制的实体进行了限制(年收入超过2500万美元;购买、收集、出售或共享100,000人甚至更多的10消费者、家庭或设备的个人信息;通过销售或共享消费者的个人信息获得其年收入的50甚至更多。
)2828SeeVoss,W.Gregory,TheCCPAandtheGDPRAreNottheSame:
WhyYouShouldUnderstandBoth(January18,2021).W.GregoryVoss,TheCCPAandtheGDPRAreNottheSame:
WhyYouShouldUnderstandBoth,CPIAntitrustChronicle,Jan.2021,Vol.1
(1),pp.7-12,availableathttps:
/atSSRN:
https:
/GDPR在定义方法上更接近,将所有可识别与已识别的自然人有关的个人信息纳入了调整范围,保护范围更广。
同时,两法也都明确排除了匿名化信息。
而CCPA&CPRA则通过定义+列举+排除的方式界定个人信息,范围更加限定和明确。
CCPA&CPRA强调“合理性”和“连接触达性”来进一步限缩个人信息的范畴。
29同时,加州北区联邦地区法院在Gardiner诉WalmartInc.一案中对可以提起民事诉讼的个人信息进一步限缩为加州隐私法明确列举的个人信息类型,即:
(1)未经加密的姓名、名字首字母和个人姓氏与社会安全号码、驾驶证号码、账号、信用卡号码等的组合,
(2)用户名或电子邮箱地址与密码或安全问题和答案的组合(使得在线账户可访问)。
30最后,CCPA&CPRA排除适用的信息类型(去识别化信息、汇总的消费者信息、可公开获取的信息、合法获得的、引起公众关注的真实信息)大大多于GDPR和中国个人信息保护法。
GDPR(第四条)(第四条)中国个人信息保中国个人信息保护护法法(第四条)(第四条)加州加州隐隐私法私法(CCPA&CPRA)(第(第1798.140.条条(v)项项)定定义义与任何已识别或可识别的自然人(“数据主体”)相关相关(relatingto)的信息以电子或者其他方式记录的与已识别或者可识别的自然人有有关关的各种信息的各种信息直接或间接地识别、关联、描述、能够合理地合理地与某一特定消费者或家庭相关联或或可可以合理地与之相关以合理地与之相关联联的的信信息。
息。
29王融:
美欧隐私立法是否走向趋同,加州CCPA给出答案,腾讯研究院微信公众号,2019年9月26日:
https:
/https:
/digitalcommons.law.scu.edu/cgi/viewcontent.cgi?
article=3423&context=historical12列列举举类类型型姓名无列举身份编号地址数据网上标识识别码自然人所持有的一项或多项身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份生物识别信息地理位置数据专业或就业相关信息受保护的特征网络活动信息用户画像的推论商业信息教育信息排除排除匿名化信息31匿名化信息1.去识别化信息2.汇总的消费者信息3.可公开获取的信息4.合法获得的、引起公众关注的真实信息32不不同同类类型个型个人人信信息息的保的保护护规则规则对于特殊类型个人信息的规则,各法有共通之处也有显著的不同。
一方面一方面,各部法律均各部法律均对对特殊特殊类类型型数数据据(敏感个人信息(敏感个人信息)、未未成成年人个人信息的收集年人个人信息的收集31参见GDPR第四条。
32加州民法典第1798.140.(v)
(2)13和和处处理制定了特理制定了特别别的的规规则则。
另一方面,在具体的处理规则上,各部法律存在明显差异,加州隐私法在规则上仍相对宽松。
敏敏感感个个人信息人信息GDPR(第九条)(第九条)中国个人信息保中国个人信息保护护法法(第二十八条)(第二十八条)加州加州隐隐私法私法(CCPA&CPRA)(第(第1798.100条)条)敏感敏感信息信息定定义义特殊类型数据(无概括性定义)敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息33。
列举“敏感个人信息”类别(无概括性定义)敏敏感感信信息息列列举举种族或民族背景特定身份人种与民族信息工会成员的个人数据工会会员身份社会保障、驾驶执照或护照号码个人通讯政治观念宗教或哲学信仰宗教信仰宗教信仰基因数据生物识别遗传数据为了特定识别自然人的生物性识别数据生物特征和自然人健康相关的数据医疗健康健康信息33个人信息保护法第二十八条14和个人性生活或性取向相关的数据有关性生活或性取向的信息金融账户财务账户信息行踪轨迹精确的地理位置不满十四周岁未成年人的个人信息敏敏感感个个人信人信息息的的处处理理规则规则GDPR(第九条)(第九条)中国个人信息保中国个人信息保护护法法(第二十八条)(第二十八条)加州加州隐隐私法私法(CCPA&CPRA)(第(第1798.100条)条)处处理的要理的要求求特定情况下可以处理:
1.数据主体明确同意2.处理对于数据控制者履行责任、保护数据主体权利、另一自然人的核心利益是必要的3.非盈利机构的正当性活动4.已经明显公开的相关个人数据的处理5.司法活动6
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中美 个人信息 护法 比较 中国 欧盟 GDPR 美国加州 CCPA CPRA
链接地址:https://www.bdocx.com/doc/30858549.html