• 高喆

重磅 | 中国-欧盟版-美国版《个人信息保护法》的对比

2021年8月 20 日,《个人信息保护法》颁布,并将于2021 年11月1日起正式实施。《个人信息保护法》是我国迈入数字化社会,彰显“以人为本”的法律制度里程碑,也是我国为全球数字治理贡献的中国方案。

近年来,个人信息保护立法在世界范围内如火如荼地展开,目前已经有128个国家通过立法保护个人信息和隐私。[1]其中,结合市场规模,规制范围等因素,以欧盟《通用数据保护条例》(以下简称GDPR),美国加利福尼亚州隐私保护法(CCPA&CPRA)[2],以及中国刚刚出台的《个人信息保护法》为最具有影响力的法律文本。

以这四部法律文本为基础,开展条款比较工作,能够系统展现当今世界个人信息保护立法在最为主要的区域及国家的共性与差异,为企业合规工作及学者研究带来积极价值,并对中国《个人信息保护法》的严苛程度作出较为客观的评价。



核心结论

从四部法律严厉程度比较的概览图可以看出,中国《个人信息保护法》在规则的严厉程度上基本对标欧盟GDPR,美国加州隐私立法(CCPA&CPRA)相较更为宽松:

适用范围:在地域范围上GDPR最宽泛,《个人信息保护法》更为克制,CCPA&CPRA最有限;而在排除适用的范围上,CCPA&CPRA排除范围最广,GDPR次之,《个人信息保护法》最有限;在规制的数据活动方面,《个人信息保护法》和GDPR调整范围更宽泛,CCPA&CPRA更为限缩。

在个人信息处理的合法性基础、同意规则、死者个人信息保护、数据本地化要求、数据出境安全评估、跨境证据调取、信息主体的知情权、行政监管方面,中国《个人信息保护法》比GDPR更严格,CCPA&CPRA最宽松。

在个人信息的定义、敏感信息的处理规则、未成年人个人信息的处理规则、匿名化、去识别化信息的处理规则、采取安全保障措施的义务、保存(储存)期限、个人信息保护影响评估、DPO/个人信息保护责任人制度等方面,《个人信息保护法》和GDPR严格程度基本一致,CCPA&CPRA最宽松。

在受规制的对象类型、信息主体的反对权、删除权、发生数据安全事件时的通知义务等方面,GDPR最严格,《个人信息保护法》次之,CCPA&CPRA最宽松。

下图为对比概览图。通过雷达坐标图方式对中美欧个人信息保护法律的29个方面的严格程度进行了直观比较。




图标说明: