April 14, 2021
2020年10月21日,全国人大法工委公开就《中华人民共和国个人信息保护法(草案)》(以下简称“草案”)征求意见,通观草案的内容可以发现,其借鉴了GDPR的诸多优秀做法,甚至有人认为草案就是减缩版的GDPR,但鉴于中国本身的国情,草案还是体现很多中国特色的内容,我们在前两期的推文中和大家介绍了一些二者存在的差异,今天我们将继续分享剩余的部分。
处理者义务的差异
GDPR 对个人信息的控制者与处理者的责任分别有相当详细的规定,并且规定了个人信息控制者与处理者需实施个人信息保护影响评估和设立数据保护官等特别的要求。
草案没有对个人信息处理过程中涉及的处理者进行角色的划分,即没有区分控制者与处理者,统一称为“个人信息处理者”。同时,对任命数据保护官并没有强制要求,只提到对于“处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人”(第51条)。
跨境传输的差异
GDPR 对个人信息的跨境传输设定了三种合规情形:基于欧盟委员会决议设立的正面国家清单、传输数据的组织为个人数据跨境传输建立具法律效力的个人信息保护规则、传输数据的组织为个人数据跨境传输提供了切实有效的保护措施,其核心是保障个人信息的保障程度不会因跨境传输而削弱。
草案对个人信息的跨境传输的管理与GDPR的差异较大。分两种情况进行了管理:一种是被定义为关键基础设施的运营者或处理个人信息达到了国家网信部门规定数量的个人信息处理者;第二种为一般的个人信息处理者,即除去第一种情况之外的其他个人信息处理者。
第一种情况,个人信息必须存储在境内,数据跨境传输需要通过国家网信部门的安全评估才可实施。
第二种情况,可采取如下三种合规情形的任一种即可,分别为:1)通过国家网信部门的安全评估;2)通过专业机构的个人信息保护认证;3)与境外接收方订立合同,约定了双方的权利和义务,并监督个人信息处理活动达到草案的保护标准(同GDPR第二种情形)。
其核心体现的是保障国家和整体人民的利益不受到损害,同时兼顾个人的权益。
罚则方面的差异
GDPR 违规处罚方面分两种情况规定了处罚尺度:1)一般性违规且拒不改正的,一千万欧元或上一财年全球总营业额2%;2)情节严重且拒不改正,二千万欧元或上一财年全球总营业额4%。
草案在违规处罚方面也分两种情况规定了处罚尺度,但程度有所不同:1)一般情节拒不改正的,处100万元以下罚款;直接负责的主管人员和其他直接责任人员处1万以上10万以下罚款;2)情节严重且拒不改正,5000万元以下或上一年度营业额5%以下罚款,并可暂停相关业务、停业整顿、吊销业务许可或者吊销营业资格;直接负责的主管人员和其他直接责任人员处10万以上100万以下罚款。
可以看出,草案相对GDPR在违规处罚方面,体现的是“轻的更轻,重的更重”。
个人信息保护法(草案)正式出台后,随之而来的相应监管将快速实施,企业加强个人信息保护已是大势,与大数据利用之间的关系如何平衡、如何适应法律合规经营将成为关键。
1、对法规进行系统培训
个人信息保护法(草案)借鉴了GDPR的诸多优秀做法,明确了个人信息的定义及处理原则,并对自动化决策、跨境流动等热点话题进行回应。企业可以针对该法规进行系统培训,了解法规的具体要求。
2、差异化分析,了解自身存在的风险
虽然个人信息保护法(草案)与GDPR有相同之处,但鉴于中国本身的国情,草案还是体现很多中国特色的内容,针对目前的现状,建议企业提早了解隐私现状,提前做好风险管控,提升企业的隐私信息管理水平,做到有备无患。
3、完善体系建立,加强企业内部管理
ISO/IEC27701隐私信息管理体系是现阶段企业可选的一个很好的隐私管理解决方案,企业通过该体系的学习能够更有效的提高内部管理效率。
4、个人信息保护法(草案)与GDPR相互融合
与GDPR相比,个人信息保护法(草案)中有关自动化决策的内容对个人信息处理者提出了更高的要求,因此对于跨国企业来说,如何将二者相互融合是当前应解决的问题。
关于SGS
SGS作为国际公认的检验、鉴定、测试和认证机构,是公认的质量和诚信的全球基准,凭借专业的技术能力和丰富的审核经验,积极推动企业管理绩效改善。SGS在IT信息安全领域解决方案范围广泛,致力于为各行业机构提供全方位管理提升服务,包括:
ISO/IEC20000 IT服务管理体系
ISO/IEC27001 信息安全管理体系
ISO/IEC27701 隐私信息管理体系
ISO/IEC29151 个人信息保护的行为准则
CSA STAR 云安全联盟云安全评估认证
ISO/IEC27017 云服务信息安全规范
ISO/IEC27018 公共云个人信息(PII)处理者的信息安全控制规范
ISO22301 业务连续性管理体系
GDPR 个人信息保护法
法规培训
差距分析
定制化服务
GDPR 对个人信息的控制者与处理者的责任分别有相当详细的规定,并且规定了个人信息控制者与处理者需实施个人信息保护影响评估和设立数据保护官等特别的要求。
草案没有对个人信息处理过程中涉及的处理者进行角色的划分,即没有区分控制者与处理者,统一称为“个人信息处理者”。同时,对任命数据保护官并没有强制要求,只提到对于“处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人”(第51条)。
跨境传输的差异
GDPR 对个人信息的跨境传输设定了三种合规情形:基于欧盟委员会决议设立的正面国家清单、传输数据的组织为个人数据跨境传输建立具法律效力的个人信息保护规则、传输数据的组织为个人数据跨境传输提供了切实有效的保护措施,其核心是保障个人信息的保障程度不会因跨境传输而削弱。
草案对个人信息的跨境传输的管理与GDPR的差异较大。分两种情况进行了管理:一种是被定义为关键基础设施的运营者或处理个人信息达到了国家网信部门规定数量的个人信息处理者;第二种为一般的个人信息处理者,即除去第一种情况之外的其他个人信息处理者。
第一种情况,个人信息必须存储在境内,数据跨境传输需要通过国家网信部门的安全评估才可实施。
第二种情况,可采取如下三种合规情形的任一种即可,分别为:1)通过国家网信部门的安全评估;2)通过专业机构的个人信息保护认证;3)与境外接收方订立合同,约定了双方的权利和义务,并监督个人信息处理活动达到草案的保护标准(同GDPR第二种情形)。
其核心体现的是保障国家和整体人民的利益不受到损害,同时兼顾个人的权益。
罚则方面的差异
GDPR 违规处罚方面分两种情况规定了处罚尺度:1)一般性违规且拒不改正的,一千万欧元或上一财年全球总营业额2%;2)情节严重且拒不改正,二千万欧元或上一财年全球总营业额4%。
草案在违规处罚方面也分两种情况规定了处罚尺度,但程度有所不同:1)一般情节拒不改正的,处100万元以下罚款;直接负责的主管人员和其他直接责任人员处1万以上10万以下罚款;2)情节严重且拒不改正,5000万元以下或上一年度营业额5%以下罚款,并可暂停相关业务、停业整顿、吊销业务许可或者吊销营业资格;直接负责的主管人员和其他直接责任人员处10万以上100万以下罚款。
可以看出,草案相对GDPR在违规处罚方面,体现的是“轻的更轻,重的更重”。
个人信息保护法(草案)正式出台后,随之而来的相应监管将快速实施,企业加强个人信息保护已是大势,与大数据利用之间的关系如何平衡、如何适应法律合规经营将成为关键。
1、对法规进行系统培训
个人信息保护法(草案)借鉴了GDPR的诸多优秀做法,明确了个人信息的定义及处理原则,并对自动化决策、跨境流动等热点话题进行回应。企业可以针对该法规进行系统培训,了解法规的具体要求。
2、差异化分析,了解自身存在的风险
虽然个人信息保护法(草案)与GDPR有相同之处,但鉴于中国本身的国情,草案还是体现很多中国特色的内容,针对目前的现状,建议企业提早了解隐私现状,提前做好风险管控,提升企业的隐私信息管理水平,做到有备无患。
3、完善体系建立,加强企业内部管理
ISO/IEC27701隐私信息管理体系是现阶段企业可选的一个很好的隐私管理解决方案,企业通过该体系的学习能够更有效的提高内部管理效率。
4、个人信息保护法(草案)与GDPR相互融合
与GDPR相比,个人信息保护法(草案)中有关自动化决策的内容对个人信息处理者提出了更高的要求,因此对于跨国企业来说,如何将二者相互融合是当前应解决的问题。
关于SGS
SGS作为国际公认的检验、鉴定、测试和认证机构,是公认的质量和诚信的全球基准,凭借专业的技术能力和丰富的审核经验,积极推动企业管理绩效改善。SGS在IT信息安全领域解决方案范围广泛,致力于为各行业机构提供全方位管理提升服务,包括:
ISO/IEC20000 IT服务管理体系
ISO/IEC27001 信息安全管理体系
ISO/IEC27701 隐私信息管理体系
ISO/IEC29151 个人信息保护的行为准则
CSA STAR 云安全联盟云安全评估认证
ISO/IEC27017 云服务信息安全规范
ISO/IEC27018 公共云个人信息(PII)处理者的信息安全控制规范
ISO22301 业务连续性管理体系
GDPR 个人信息保护法
法规培训
差距分析
定制化服务
