中国《个人信息保护法》与欧盟《GDPR》的差异对比
随着全球数据合规要求日益严格,中国《个人信息保护法》(PIPL)与欧盟《通用数据保护条例》(GDPR)成为企业跨境数据处理时必须遵守的两大法律框架。尽管两者在保护个人信息方面目标一致,但在立法理念、适用范围、权利设定、合规机制等方面存在显著差异。
一、立法背景与价值取向
1. 欧盟GDPR的立法背景与价值取向
欧盟《通用数据保护条例》(GDPR)于2018年正式生效,其立法背景源于欧盟长期以来对人权、隐私权的高度重视。GDPR的核心价值在于:
- 以个人权利为中心:强调“数据主体”的权利不可剥夺,个人对其数据拥有控制权。
- 统一立法、降低合规成本:在欧盟内部建立统一的数据保护标准,解决成员国间法规不一致问题,降低跨国企业的合规成本。
- 促进数据自由流动:在保障隐私的前提下,推动欧盟内部数据流通,支持数字经济发展。
- 回应技术发展带来的挑战:面对大数据、人工智能等新技术带来的隐私风险,GDPR通过“默认隐私保护”“数据可携权”等制度进行前瞻性回应。
GDPR体现了欧洲社会对“个人尊严”和“信息自决权”的高度重视,其立法逻辑是“权利优先,监管保障”。
2. 中国《个人信息保护法》的立法背景与价值取向
中国《个人信息保护法》(PIPL)于2021年施行,其立法背景主要包括:
- 应对信息泄露频发问题:近年来中国发生多起大规模数据泄露事件,引发公众对隐私保护的强烈关注。
- 推动数字经济合规发展:在数字化转型加速的背景下,国家亟需建立数据治理规则,规范企业行为,保障公平竞争。
- 维护国家安全与公共利益:PIPL不仅关注个人隐私,也强调数据安全、国家安全与社会稳定,体现“数据主权”理念。
- 借鉴国际经验,本土化创新:在立法过程中广泛参考GDPR,但结合中国国情设定了更强的行政监管机制和本地化合规要求。
PIPL的价值取向是“权利保护与国家治理并重”,在强调个人信息权益的同时,也注重国家利益与产业发展。
二、适用范围与管辖边界
1. 欧盟GDPR的适用范围与管辖逻辑
GDPR自2018年生效以来,采用了**“长臂管辖”原则**,其适用范围不仅限于欧盟境内的数据处理活动,还包括以下情形:
- 境内设立原则:所有在欧盟境内设立的组织,无论其数据处理是否发生在欧盟,都必须遵守GDPR。
- 境外行为管辖:即使企业未在欧盟设立机构,只要其:
- 向欧盟境内自然人提供商品或服务;
- 监控欧盟境内自然人的行为(如通过网络行为分析);
- 或者在其他特定情况下依据国际公法需要适用欧盟法律;
这种广泛的适用范围体现了欧盟对个人数据保护的高度重视,也使GDPR成为全球最具影响力的数据保护法规之一。
2. 中国PIPL的适用范围与管辖逻辑
中国《个人信息保护法》于2021年施行,其适用范围包括:
- 境内处理活动:所有在中国境内进行的个人信息处理活动,均需遵守PIPL。
- 有限的域外适用:境外组织或个人在以下情形下也需遵守PIPL:
- 向中国境内自然人提供产品或服务;
- 分析或评估中国境内自然人的行为;
- 法律、行政法规规定的其他情形。
PIPL的域外适用虽然也具备“长臂管辖”特征,但相较于GDPR,其适用边界更为克制和明确,主要聚焦于对中国公民的保护和国家数据安全。
三、个人信息定义与敏感信息分类
1. 个人信息的定义差异
-
GDPR:
- 定义“个人数据”为:与已识别或可识别的自然人有关的任何信息。
- 可识别性包括直接识别(如姓名、身份证号)和间接识别(如位置数据、在线标识符)。
- 不限制信息的载体形式,强调信息的识别性和关联性。
-
PIPL:
- 定义“个人信息”为:以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息。
- 明确排除匿名化处理后的信息。
- 更强调信息的记录方式(电子或其他),体现出对技术载体的关注。
2. 敏感个人信息的分类差异
-
GDPR:
- 敏感数据包括:种族或民族起源、政治观点、宗教或哲学信仰、工会会员身份、基因数据、生物识别数据、健康数据、性生活与性取向、刑事定罪与犯罪记录。
- 对敏感数据的处理设有严格限制,通常需获得明确同意或满足特定豁免条件。
-
PIPL:
- 敏感个人信息包括:生物识别信息、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹,以及不满十四周岁未成年人的信息。
- 要求处理敏感信息时必须取得“单独同意”,并进行必要的影响评估。
3. 匿名化与假名化的处理差异
-
GDPR:
- 区分“匿名化”(anonymization)与“假名化”(pseudonymization)。
- 假名化数据仍属于个人数据,需受GDPR保护;匿名化数据则不再受GDPR约束。
-
PIPL:
- 明确将“匿名化”定义为“无法识别特定自然人且不能复原”的处理过程。
- 未对“假名化”作出明确规定,可能在司法实践中存在解释空间。
4. 未成年人信息保护年龄差异
- GDPR:默认保护16岁以下未成年人,各成员国可下调至13岁。
- PIPL:保护14岁以下未成年人,处理其信息需取得监护人“单独同意”。
四、合法性基础与同意机制
1. 合法性基础的差异
-
GDPR:
- 明确列出六种合法性基础,包括:
- 数据主体已明确同意;
- 履行合同所必需;
- 遵守法律义务;
- 保护数据主体或他人的重大利益;
- 执行公共任务或官方权力;
- 数据控制者或第三方的“合法利益”。
- “合法利益”是GDPR中最具弹性的基础,允许在不取得同意的情况下处理数据,只要不对数据主体的权利造成重大影响。
- 明确列出六种合法性基础,包括:
-
PIPL:
- 也列举了多种合法性基础,包括:
- 取得个人同意;
- 履行合同;
- 履行法定义务;
- 应对公共卫生事件或紧急情况;
- 为新闻报道、舆论监督等公共利益处理;
- 法律规定的其他情形。
- 未引入“合法利益”作为处理依据,这意味着企业在未取得同意的情况下处理数据的空间更小。
- 也列举了多种合法性基础,包括:
2. 同意机制的差异
-
GDPR:
- 强调“自由、具体、知情和明确”的同意。
- 若处理目的不止一个,需分别取得针对每个目的的同意。
- 禁止“打包同意”或“默认勾选”,例如谷歌因未提供粒度化选择而被罚款5000万欧元。
- 特别关注权力不对等场景,如雇主与员工之间的同意可能不被视为“自由”。 [ctils.com]
-
PIPL:
- 要求“自愿、知情、明确”的同意。
- 对五类高风险处理场景要求“单独同意”,包括:
- 向其他处理者提供信息;
- 公开披露信息;
- 公共场所采集图像用于非安全目的;
- 处理敏感个人信息;
- 向境外提供信息。
- 未明确禁止“打包同意”,实践中仍较常见。
- 对权力不对等场景未作特别规定,企业在招聘、雇佣中仍可通过同意处理员工信息。
3. 撤回与变更机制
- GDPR与PIPL均赋予数据主体撤回同意的权利,且要求处理者在撤回后停止相关处理活动。
- 若处理目的或方式发生变更,需重新取得同意。