中美欧个人信息保护法比较|附4万字解读报告下载
2021年8月 20 日,《个人信息保护法》颁布,并将于2021 年11月1日起正式实施。《个人信息保护法》是我国迈入数字化社会,彰显“以人为本”的法律制度里程碑,也是我国为全球数字治理贡献的中国方案。
详细完整报告请在“腾讯研究院”微信公众号中回复关键词:个人信息保护,即可获得。
从四部法律严厉程度比较的概览图可以看出,中国《个人信息保护法》在规则的严厉程度上基本对标欧盟GDPR,美国加州隐私立法(CCPA&CPRA)相较更为宽松:
适用范围:在地域范围上GDPR最宽泛,《个人信息保护法》更为克制,CCPA&CPRA最有限;而在排除适用的范围上,CCPA&CPRA排除范围最广,GDPR次之,《个人信息保护法》最有限;在规制的数据活动方面,《个人信息保护法》和GDPR调整范围更宽泛,CCPA&CPRA更为限缩。
在个人信息处理的合法性基础、同意规则、死者个人信息保护、数据本地化要求、数据出境安全评估、跨境证据调取、信息主体的知情权、行政监管方面,中国《个人信息保护法》比GDPR更严格,CCPA&CPRA最宽松。
在个人信息的定义、敏感信息的处理规则、未成年人个人信息的处理规则、匿名化、去识别化信息的处理规则、采取安全保障措施的义务、保存(储存)期限、个人信息保护影响评估、DPO/个人信息保护责任人制度等方面,《个人信息保护法》和GDPR严格程度基本一致,CCPA&CPRA最宽松。
在受规制的对象类型、信息主体的反对权、删除权、发生数据安全事件时的通知义务等方面,GDPR最严格,《个人信息保护法》次之,CCPA&CPRA最宽松。
下图为对比概览图。通过雷达坐标图方式对中美欧个人信息保护法律的29个方面的严格程度进行了直观比较。
(点击图片可放大显示,或在后台回复“个人信息保护”提取完整报告)
五种矢量图具体说明如下:
图一:《个人信息保护法》模式和GDPR相似,但比GDPR更宽松。
图二:《个人信息保护法》模式和严厉程度上与GDPR基本一致。
图三:《个人信息保护法》模式上与GDPR相似,但是比GDPR更严格。
图四:《个人信息保护法》模式上与加州隐私法(CCPA&CPRA)相似,但是比加州隐私法(CCPA&CPRA)更严格。
图五:《个人信息保护法》模式上与加州隐私法(CCPA&CPRA)相似,宽松程度与其基本一致。
一、立法模式和适用范围比较
中国《个人信息保护法》采取了类似于GDPR的综合立法模式,而加州隐私法(CCPA&CPRA)是在消费者保护领域的个人信息保护专门立法。两种立法模式下,法律的适用范围有显著的不同,总体而言《个人信息保护法》适用范围和GDPR基本一致,加州隐私法则在地域范围、规制实体类型、规制数据活动的类型等方面更为克制。
(点击图片可放大显示,或在后台回复“个人信息保护”提取完整报告)
二、个人信息的定义及分类
关于个人信息的定义,各部法律在具体的界定方式、概念的内涵和外延上均存在区别。中国《个人信息保护法》与GDPR在定义方法上更接近,将所有可识别与已识别的自然人有关的个人信息纳入了调整范围,保护范围更广。而CCPA&CPRA则通过定义+列举+排除的方式界定个人信息,范围更加限定和明确。在各类个人信息的处理规则上,整体而言《个人信息保护法》的要求更为严格。