请扫码登录

个人信息保护法草案本月底将迎来二审

【新闻来源:源点credit】 【发布日期:2021-04-26】 【阅读次数:205】 【打印】

4月21日,《全国人大常委会2021年度立法工作计划》对外公布。计划有17件继续审议的法律案,其中,《个人信息保护法》将提请十三届全国人大常委会第二十八次会议(4月26日至29日)二次审议。草案于去年10月经过初次审议并公开征求意见。截止目前,共收到1245条意见。

个人信息保护法(草案)与GDPR的九大差异

一、立法背景的差异

GDPR并不是欧盟范围内首部提出个人信息使用规则,其出台更多是克服《数据保护指令95/46/EC》在欧盟范围内执行尺度不一致的缺陷,因此,其很大篇幅都在说明如何保障法规在欧盟范围内的有效运行。

草案则是中国大陆境内首部完整提出个人信息保护规则的法则,这即有来自中国大陆境内互联网络快速发展,网民数量急剧增加的迫切性,也有与国际个人信息保护实践接轨,维护自身利益的必要性。

由于,草案的发布吸收了其他国家个人信息保护法规实践过程中的优点,因此,草案具有后发优势。

草案的上位法为《中华人民共和国国家安全法》,草案与《中华人民共和国网络安全法》、《中华人民共和国数据安全法(草案)》,共同构成了国家安全在信息通信领域的详细规则。

二、立法重点的差异

尽管草案与GDPR都同时强调了维护自然人权利和保障个人信息自由流通两者之间的平衡。但从法规内容来看两者还是有些差异。

GDPR更侧重于维护自然人的权利。首先归纳和定义出自然人在个人信息处理中应享有和被维护的权益,然后在此基础上保障个人信息的自由流通。

草案在定义自然人的权利之初,就已经照顾或考虑到避免影响个人信息的自由流通,从理念上来讲更侧重于维护代表所有人利益的个人信息使用的情况。

这与中国当前的国情是有关的,根据中国互联网络信息中心发布的《中国互联网络发展状况统计报告》,截止2020年12月,中国当前的网民数量为9.89亿人,约占世界网民总量的五分之一,互联网普及率达到了70.4%,其中网民增长最快的就是农村地区。

因此,个人信息的自由流通对于实现广大农村地区实现彻底脱贫所起到的作用是不容小觑的。

三、执法机制的差异

GDPR为了保证在欧盟区域内实现执法的一致性,要求在各成员国内设立专门的数据保护署,统一执法。

同时,对于有争议的执法行为,在欧盟层面GDPR也设定了相应的投票表决机制,极大地避免在欧盟区域内,各成员国之间因主权意识而带来的较大的执法差异。

草案尽管提出了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,但是,仍然延续了之前中国大陆境内对涉及信息安全方面执法的惯性,即国家各个职能部门对各自职责范围内的行业领域进行个人信息处理违规活动行使执法权力,属于分而治之。

这主要是基于两方面的考虑:打破原有执行惯性会造成法规要求在执行过程中难于施行,而且新设立的数据保护部门并不了解各个行业的特点,反而会造成执法过程的偏差;尽管属于分而治之,但仍处于同一主权国家管制之下,便于沟通协调,不会造成执法的不一致性。

四、处理原则的差异

GDPR提出了个人信息处理的六大原则,包括:合法,公正,透明、目的限制、数据最小化、准确性、存储限制和完整性和机密性。

草案在GDPR六大处理原则的基础上增加了合作治理原则(第12条)。强调在个人信息处理的规则方面,加强国际合作交流的必要性,提出了推动在国家、地区、国际组织之间建立个人信息保护规则、标准等互认的意愿,体现中国大陆在个人信息处理方面极大的开放性。

五、个人信息的定义

GDPR对个人信息的定义:是指任何涉及一个已识别或可识别自然人的信息。

草案对个人信息的定义:是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。草案对个人信息的处理做了进一步的明确,包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

从上可以看出,草案将GDPR实践中颇具争议的匿名化后信息的归属问题,在此做了清晰的划分,即不属于个人信息,对其处理已不属于个人信息处理需要规范的范畴。

六、自然人权利的差异

GDPR定义了自然人在涉及个人信息方面享有的八项权利,主要包括知情权、访问权、纠正权、删除权、限用权、可携权、拒绝权、决定权。

草案中明确定义了自然人在涉及个人信息方面享有的权利,包括知情权(第44条)、访问权(第45条)、纠正权(第46条)、删除权(第47条)、限用权(第44条)、拒绝权(第44条和第25条)、决定权(第44条)。但草案中没有定义可携权(Right to data portability)。

七、处理者义务的差异

GDPR对个人信息的控制者与处理者的责任分别有相当详细的规定,并且规定了个人信息控制者与处理者需实施个人信息保护影响评估和设立数据保护官等特别的要求。

草案没有对个人信息处理过程中涉及的处理者进行角色的划分,即没有区分控制者与处理者,统一称为“个人信息处理者”。同时,对任命数据保护官并没有强制要求,只提到对于“处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人”(第51条)。

八、跨境传输的差异

GDPR对个人信息的跨境传输设定了三种合规情形:基于欧盟委员会决议设立的正面国家清单、传输数据的组织为个人数据跨境传输建立具法律效力的个人信息保护规则、传输数据的组织为个人数据跨境传输提供了切实有效的保护措施,其核心是保障个人信息的保障程度不会因跨境传输而削弱。

草案对个人信息的跨境传输的管理与GDPR的差异较大。分两种情况进行了管理:一种是被定义为关键基础设施的运营者或处理个人信息达到了国家网信部门规定数量的个人信息处理者;第二种为一般的个人信息处理者,即除去第一种情况之外的其他个人信息处理者。

第一种情况,个人信息必须存储在境内,数据跨境传输需要通过国家网信部门的安全评估才可实施。

第二种情况,可采取如下三种合规情形的任一种即可,分别为:1)通过国家网信部门的安全评估;2)通过专业机构的个人信息保护认证;3)与境外接收方订立合同,约定了双方的权利和义务,并监督个人信息处理活动达到草案的保护标准(同GDPR第二种情形)。

其核心体现的是保障国家和整体人民的利益不受到损害,同时兼顾个人的权益。

九、罚则方面的差异

GDPR违规处罚方面分两种情况规定了处罚尺度:1)一般性违规且拒不改正的,一千万欧元或上一财年全球总营业额2%;2)情节严重且拒不改正,二千万欧元或上一财年全球总营业额4%。

草案在违规处罚方面也分两种情况规定了处罚尺度,但程度有所不同:1)一般情节拒不改正的,处100万元以下罚款;直接负责的主管人员和其他直接责任人员处1万以上10万以下罚款;2)情节严重且拒不改正,5000万元以下或上一年度营业额5%以下罚款,并可暂停相关业务、停业整顿、吊销业务许可或者吊销营业资格;直接负责的主管人员和其他直接责任人员处10万以上100万以下罚款。

可以看出,草案相对GDPR在违规处罚方面,体现的是“轻的更轻,重的更重”。

分享到:
分享