各国数据政策解读 | 中美欧个人信息保护法比较
背 景
随着我国数字化和法制化进程加快,2021年8月20日《个人信息保护法》颁布,并于该年11月1日起正式实施。个人信息保护法是我国迈入数字化社会,彰显“以人为本”的法律制度里程碑,也是我国参与全球数字治理所贡献的中国方案。
近年来,世界各国纷纷在个人信息保护领域展开立法工作,据UNCTAD数据库统计,目前已有 128 个国家通过立法保护个人信息和隐私,典型代表有欧盟出台的号称史上最严的隐私数据保护条例《通用数据保护条例》(以下简称 GDPR)、美国加利福尼亚州隐私保护法(CCPA&CPRA)以及中国刚刚出台的《个人信息保护法》。此外,日本、巴西、印度也声明要修正已有法律,在隐私保护上有所作为。
结合市场规模、规制范围等因素,中美欧三方出台的法律最具影响力。因此我们将比较个人信息保护法、GDPR、CCPA&CPRA这四部法律文本,将系统展现当今世界个人信息保护立法在最为主要的区域及国家的共性与差异,为企业合规工作及学者研究带来积极价值。
图一:中美欧个人信息保护法严厉程度比较概览图
来源:腾讯研究院《中美欧个人信息保护法研究》P69
中国《个人隐私保护法》与欧盟GDPR均为通用法,在立法模式、个人信息定义、信息主体权力、敏感信息的处理规则、未成年人个人信息的处理规则、匿名化、去识别化信息的处理规则、采取安全保障措施的义务等多个方面都更接近,在受规制的对象类型、信息主体的反对权、删除权、发生数据安全事件时的通知义务等方面GDPR 最严格,但在数据出境、跨境证据调取、信息主体的知情权、相关违法犯罪入罪门槛、行政监管等方面个人信息保护法做出了更为严厉的规定,而加州隐私立法(CCPA&CPRA)是州层面的、在消费者保护领域的个人信息保护专门立法,也不涉及个人信息的跨境提供问题,因此相较于其他两部法律适用范围更为限缩,也最为宽松,但在实施过程中实操性更强。
(一)首先,个人信息保护法与GDPR在制度方面更严谨,而CCPA&CPRA实操性更强。
从整体上看,个人信息保护法和欧盟GDPR更相似,都体现了大陆法系体系全面,制度健全的特点,在制度方面更为严谨。以此两部法律为参照,美国加州隐私保护法与实践结合得更好,更具灵活性,充满实用主义的特色。例如针对未成年人个人信息处理时,GDPR 和个人信息保护法要求数据处理者必须获得父母的同意或授权,而 CCPA&CPRA 则仅要求企业在实际知悉消费者未满 16 岁的情况下,取得明确授权。考虑到网络环境下识别未成年人、监护关系和监护人存在一定的困难,强制要求所有网络服务都要满足监护人同意要求,会增加实际执行难度,也无益于数据保护,更可能滋生新的数据安全问题。此外,在个人信息定义、规制主体等方面,相对美国加州的隐私保护中欧法律的相关规定都较为宽泛。
(二)其次,个人信息保护法与GDPR以“个人”为中心,而CCPA&CPRA注重保护消费者权益与企业创新发展之间的平衡。
中欧立法更倾向以“个人”为中心,而加州立法则注重消费者保护的实际效果,以及与促进企业发展、技术创新之间的平衡。CCPA&CPRA 由于仅适用于企业收集、出售和披露个人信息的场景,在同意机制方面,仍采取了选择退出模式(opt-out)。即对于 16 岁以上的消费者的个人信息处理(出售以外),除非用户拒绝或退出,则公司可以继续处理用户的个人信息,这对新企业发展的阻碍更小。另外在规制范式方面,中欧立法都运用了合规清单(check-list)的思路,在立法中详细规定企业的行为规范,但在加州立法中类似的规范较为少见。
(三)再次,个人信息保护法与GDPR基本类似,但在限定对数据处理的合法性事由、信息披露和法律责任方面更为严格。
尽管中国《个人信息保护法》基本对标 GDPR,但在一些方面更为严格,这主要体现在对数据处理的合法性事由的限定,以及在信息披露和法律责任方面。个人信息保护法对披露颗粒均要求到数据处理者的具体姓名/名称和联系方式等,且必须在数据处理活动之前披露。对于违法行为的追责,中国也建立了更为严格的追责体系,在民事、行政、刑事领域个人信息保护法均制定了力度空前的相关规定。
表一:中美欧个人信息保护法行政处罚比较
来源:腾讯研究院《中美欧个人信息保护法研究》P67
(四)最后,个人信息保护法作为基于中国国情的法律方案,体现了鲜明的中国特色。
第一是在监管体制上,区别于美欧推行的统一监管机构模式,目前个人信息保护法确立的是以网信部门为核心的多头监管模式。
第二是个人信息保护法在国家安全的领域体现了发展中国家的考量,这集中体现在针对个人信息跨境数据流动的制度。个人信息保护法承接《网络安全法》的规定,针对关键信息基础设施运营者重申了数据本地化政策,并把这一要求扩展至达到国家网信部门规定数量的个人信息处理者,强化了监管部门在个人信息处理者的出境场景中的作用。同时,明确了非经中华人民共和国主管机关批准,不得向外国司法或者执法机构提供境内个人信息的规定。
第三是围绕一些公众普遍关注的热点话题,特别是关于数据处理的“算法规制”,以及“人脸识别”问题,各部法律均予以了制度回应。此外,中国个人信息保护法也在相关的制度创新与回应上提出了全球数字治理的中国方案。
GDPR 和中国个人信息保护法更强调了对于有重大影响/法律层面的影响(例如信贷评估、入学入职资格等)自动化决策中信息主体的反对权。而在采集图像信息和身份识别信息方面,GDPR 和 CPRA 规定生物识别信息可被认定为敏感信息,从而适用特殊类型个人数据更为严格的处理规则。
伴随着数字化和老龄化的同步推进,死者个人信息保护问题已成各方关注焦点。个人信息保护法明确承认了死者的个人信息利益,并提出了具体的保护机制。此外,欧盟在竞争法领域提出了《数字市场法案》,又时值我国对大型互联网平台的监管加强,作为特色创新之一,个人信息保护法借鉴《数字市场法案(草案)》引入了“守门人”制度,并对重大互联网平台提出了特定的义务要求,旨在发挥平台在治理中的关键角色。
——————————
由死者近亲属为了自身的合法、正当利益,可以对死者的个人信息行使本章规定的查阅、复制、更正、删除等权利,但是死者生前另有安排的除外。
表二:个人信息保护法与《数字市场法案(草案)》中的“守门人”制度
来源:腾讯研究院《中美欧个人信息保护法研究》P55
总之,《个人信息保护法》不仅实现了与国际个人信息保护通用原则的接轨,更体现了中国作为发展中国家的鲜明国情特色。
2020年是全球数据治理的变革之年,各国相继立法规范个人数据的使用,保护隐私信息。然而流量是电商创造营收的根本,无论是电子邮件营销还是网络广告,都离不开用户个人数据的使用,没有流量就没有转化,没有转化营收就会下降。尤其是对我国数量庞大的中小跨境电商企业来说,流量减少意味着收入减少,再加上法案限制下合规成本提高,其在国际市场上的生存空间将被进一步挤压。
每一笔跨境电商交易产生的交易数据、支付、物流等个人信息牵涉到各国海关、政府、企业、平台等诸多主体。跨境电商生态中各主体对个人信息的处理,都将受《个人信息保护法》规制。《个人信息保护法》的出台意味着我国网络空间治理和数据保护的法律体系——《网络安全法》、《数据安全法》、《个人信息保护法》基本构建。针对推荐算法、用户信息获取等问题国内互联网公司也在积极响应整改中。
欧盟通用数据保护条例自18年实施以来,其广阔的适用范围、泛化的个人信息概念和更加细化具体的数据主体权利类型都对目标为欧盟的中国跨境电商企业以及在欧盟境内有分支机构的中国公司的运营带来了巨大挑战。首当其冲的行业便有银行、电子商务、互联网、IT企业和软硬件生产商。同时,GDPR也为中国跨境电商企业提供了改进数据管理、获取客户信任从而增强竞争力的机遇。
而加州隐私保护法由于其仅适用州的商业领域,侧重规范数据的商业化利用,对数据跨境传输问题存在留白,对我国跨境电商的影响相对前两者较小,但其保护个人信息、相应执法力度仍不容忽视。
近年人工智能一词在国内热度大增,百度喊出ALL IN AI的口号,物流、云智能服务等细分领域纷纷加快融入人工智能技术,国内智能设备厂商(例如国内手机厂商华为、中兴等)也都将AI智能开发作为重要着力点,数据智能之于人工智能的重要性自不必多说。
GDPR生效仅一年,欧洲各国执法机构就做出了48项约51,833,345欧元的处罚,比较出名的有谷歌在19年初收到的天价罚单。GDPR作为“新事物”只是开始,其他国家的相关立法工作必会相继跟上,例如我国即将生效的个人信息保护法,研究中美欧个人信息保护法的执法案例并积极采取应对措施对于我国跨境电商的出海发展不止是限制,也将是保护。
