个人信息保护法与GDPR——横向比较不同法域下对个人信息的保护

2021-08-31

引言：

“网易音乐知道你喜欢听什么歌，人人视频知道你喜欢看什么美剧，京东知道你喜欢什么洗发水品牌，微信知道你深夜与朋友聊些什么，陌陌知道你喜欢什么样的女孩子…这些不同的数据库记录了我们在不同领域的微观现实，每个领域的行踪看起来都很不起眼，但一旦这些数据库联接成一个涵盖个人全部生活现实的共享网络，这些数据就可以拼凑出这个人完整的数据肖像”—节选自《“监控资本主义”：他们对你无所不知》（三联生活周刊）

在最近10年内，人类绝大部分社会活动实现了从“现实世界”到“互联网”的大迁徙。掌握强大算力的科技巨头和互联网公司从人们在互联网中留下的数据中攫取到巨额利润。然而这种野蛮生长式的发展在今后将难以实现。

微信读书侵犯个人隐私案【（2019）京0491民初16142号】、脉脉隐私侵权案【（2018）京0108民初25154号】、百度隐私侵权案【（2018）苏01民初1号】、抖音个人信息、隐私侵权案【（2019）京0491民初6694号】都是公民对个人信息保护意识觉醒的最佳例证。

随着社会公众对于个人信息立法保护的呼声越来越高，2021年6月10日，《中华人民共和国数据安全法》正式通过全国人民代表大会常务委员会的审议，将于2021年9月1日起正式生效。数安法首次将信息数据提升到了国家发展战略层面，并从数据安全执法主体、数据安全基本制度体系、数据出口管制、政务数据安全与开放、法律责任等层面为“数据世界”建立最底层最基础的规则。紧接着在2021年8月20日，《个人信息保护法》被第十三届全国人民代表大会常务委员会第三十次会议宣布通过，个人隐私、个人信息的保护终于告别蛮荒，进入有法可依的时代。

谈及《个人信息保护法》，就不得不考虑欧盟于2018年通过的General Data Protection Regulation（以下简称“GDPR”）。GDPR分为11个章节，共计99条，其大体的框架可以概括为个人信息保护的基本原则、个人信息所有者的权利、数据处理者和数据控制者的权利义务、数据的跨境转移、第三方数据监管机构、机构间合作与协调、赔偿与处罚、其他。GDPR作为相对成熟的欧盟立法，其在适用过程中产生了不少著名的案件，也为研究、学习《个人信息保护法》提供了丰富的域外经验。

本文拟就GDPR与《中华人民共和国个人信息保护法》中的重点条款进行比较分析，以供参考。

一、关于个人信息的定义

法院在判断科技巨头是否侵犯了普通大众的个人信息时，无一例外会援引到个人信息的定义。根据此前已经生效的《中华人民共和国网络安全法》第七十六条第（五）项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

《个人信息保护法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”

GDPR对个人信息的定义为：个人数据"是指与已识别或可识别的自然人（"数据主体"）有关的任何信息；可识别的自然人是指可以直接或间接识别的人，特别是通过参考诸如姓名、身份证件号码、位置数据、在线标识符等标识或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的一个或多个特定标志1。

《个人信息保护法》及《网络安全法》对于个人信息的定义从某种层面上来讲受到了互联网的影响。“个人信息是以电子或者其他方式记录…”特意强调电子与其他方式。系并列关系。但实际上，这句话表达的意思即为：“任何方式”，因为除了“电子”以外的个人信息，都可以归类为“其他”。反观GDPR的定义，其对于个人信息并没有在载体类型作任何限制，这其实更加符合日新月异的科技发展趋势。

《个人信息保护法》将匿名化处理后的信息排除在了个人信息的定义范畴外，并且在附则的第七十三条第四款给出了匿名化的定义：“匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。”此处的匿名化和日常生活中理解的“匿名化”有着很大的差异，日常生活中理解的“匿名化”可能更接近“假名化”这一相对应的概念，根据王融在《数据匿名化的法律规制》2中提到“假名化”，是指“对个人数据处理后，在没有特定信息参考（该特定信息被安全地单独保存）的情况下，不能指向特定个人。假名化数据与匿名化数据最大的不同是，前者仍然属于个人数据，仍要适用个人数据保护法。”举个例子，“李晓明，男，30岁，执业律师”是属于真实的个人数据，假名化处理后则为：“ABC，男，30岁，执业律师”。因此，数据匿名化的技术标准将尤其重要，这也将是在司法实践中判定数据处理者是否已经尽到了数据匿名化义务的标准。

二、数据主体的权利

作为个人信息的来源，数据主体在面对数据处理者或者数据收集者时，让渡个人信息的部分权限后可享有什么样的权利。

《个人信息保护法》涉及到个人在个人信息处理活动中的权利一共有七条。重点摘取四条，详见下表：

若大致归纳数据权利者所享有的权利，则数据权利者有权拒绝、知悉、修正数据处理者对其数据的处理；有权删除存储在数据处理者处的数据；有权要求数据处理者阐明对其数据的处理规则，且数据处理者需要建立有效的机制保障数据主体实现其权利。

GDPR涉及到的数据主体的权利条文共计11条，从Art.12-Art.23。由于GDPR规定的权利条款非常的详细，内容也相对庞杂，因此节选部分条款予以展示。

Art12-14要求数据处理者必须提供透明完整的联系方式给数据主体，以保证数据主体可以及时联系到数据处理者。并且在面对数据主体行使权利的诉求时不得无故拖延，必须以快捷有效的方式提供反馈。数据处理者必须在取得数据主体的个人信息前或者取得个人信息后提供：（1）数据处理的目的、数据处理的法律依据、需处理的数据类型、数据接收的凭证；（2）数据存储的期限、告知数据主体有权要求删除个人信息或限制个人信息的处理、告知数据主体有权投诉或提起诉讼等等。

Art15 数据主体有权知悉数据处理者是否正在处理其数据，并且当数据主体的个人信息被转移至境外或者国际组织时，数据主体有权知悉该事项。Art16 数据主体有权要求数据处理者纠正错误的个人信息。Art17 当出现下列情形时，数据主体有权要求数据处理者删除其个人信息：（1）个人数据就其收集或处理的目的而言已不再需要；（2）数据主体撤回同意；（3）数据主体拒绝个人信息被处理，且没有法律要求处理的必要性；（4）个人数据被违规处理；（5）依照本法规定或成员国法规定要求删除个人信息等。

Art18数据主体有权限制数据处理者对数据的处理，但限制处理应遵守特定的情形。Art21数据主体有权拒绝其个人信息被数据处理者处理，尤其是当数据处理者将该数据用于商业目的时。即使是将该个人信息用于科学、人口统计、历史性研究等目的，数据主体仍然有权拒绝其个人信息被处理，但因公共利益不得不处理的情形不包含在内。

Art18数据主体有权限制数据处理者对数据的处理，但限制处理应遵守特定的情形。Art21数据主体有权拒绝其个人信息被数据处理者处理，尤其是当数据处理者将该数据用于商业目的时。即使是将该个人信息用于科学、人口统计、历史性研究等目的，数据主体仍然有权拒绝其个人信息被处理，但因公共利益不得不处理的情形不包含在内。

横向比较欧盟的GDPR与《个人信息保护法》：

首先，在数据主体的知情权方面，我国的立法模式采取了数据主体“主动型”，除非数据主体主动申请要求获悉个人信息的处理情况，数据处理者可以免除该项义务。GDPR则对于信息处理者设置了更重的义务，必须在处理个人信息前告知数据主体其享有的诸多权利。系数据处理者“主动型”。这两种立法模式应当是基于不同国情的考虑。

其次，两部法律都规定了数据主体有权要求数据处理者删除、修正其个人信息。GDPR比起《个人信息保护法》多了一个数据主体有权限制数据处理者对信息的处理。要求限制处理的意思是既不能将该信息删除，也不能继续对该信息进行利用。该“限制权”一般适用于特殊场景。如因数据处理者处理数据的过程是非法的，但是数据主体反对删除数据，并要求限制其适用，或虽然需要利用到该数据的目的已经达成，但数据主体需要这些数据进行维权，因此这些数据需要保留一段时间不得删除，保留期间数据处理者不得对这些数据进行处理。

最后，针对于个人信息处理的“拒绝权”，我国的法律规定相对笼统，即数据主体有权拒绝数据处理者处理这些信息，但法律法规规定的除外，补充了一个兜底性的条款，解释的空间更大。GDPR则将市场化利用与非营利性利用作了区分，明确了数据主体即使面对的是其个人信息被用于非营利性目的，其也是有权拒绝的，但是出于公共利益的利用除外。

三、数据处理者的权利义务

《个人信息保护法》规定了八条关于数据处理者应当履行的义务，重点摘取五条，详细情况见下表：

总结归纳一下，数据处理者应当建立个人信息保护制度，设立个人信息保护部门，指定个人信息保护的联系人等。定期对数据合规进行审计，针对特定的个人信息处理活动出具风险评估报告，发生个人信息泄露事故的，应及时履行通知义务。针对互联网巨头要求建立外部监督体系，接受社会监督。数据处理的受托人同样需要遵守本法。

欧盟的GDPR把同类型的章节命名为“controller and processor”，该章节共有20条。对于数据控制者和数据处理者的义务作出了区分，本章节甚至还规定了数据合规的认证机构，涉及范围较广。

Art24 强调了数据控制者在考虑性质、范围、内容及目的的情况下采取适当的技术或组织手段确保数据处理的过程应当符合GDPR。

Art28载明数据控制者在通过数据处理者处理数据时需要明确给予授权，并且双方需要通过合同或者成员国的法律等方式规定数据处理者的数据保护义务。当数据处理者邀请另一数据处理者共同处理某一数据时，双方均需遵守共同的合同义务或者法律规定，且双方承担连带责任。关于数据处理者的数据保护义务，数据保护监督主体可以撰写数据保护的格式条款，该格式条款应当被应用在数据处理的相关合同中。

Art30规定了数据处理者在处理数据的活动过程中应当形成记录，记录包含下列信息（1）数据处理者姓名和联系方式，包含联合控制者和数据保护隐私官。（2）数据处理的目的（3）对于数据主体及个人信息的分类描述（4）处理后信息接收者的目录（5）（如适用）若向第三国或者国际组织转移该数据，则应提供对应的信息。（6）（如可能）不同类别个人信息抹除的期限。（7）（如可能）一个概括性针对信息保护的技术性及组织性保护措施的描述。

Art32 规定，除了原则性方面的数据处理保护措施，在微观层面，数据保护应当采取对个人信息的加密措施及去标识化。建立具备保密性的，可靠的，公立的数据处理系统。具备随时修复个人信息的能力，尤其时在发生物理性或技术性的事故时。建立流程性检查机制，定期评估个人信息保护机制的有效性。在评估数据处理保护措施的过程中，应当将极端情况考虑入内，例如非法入侵，非法破坏等情况。

Art37 规定了当部分组织在处理个人信息数据时，应当指定数据保护隐私官。部分组织应当满足下列条件：1. 该组织为政府机构，但司法机构除外；2. 该组织的核心业务为数据处理或者由于其性质、范围或目的，需要定期对大规模的数据进行处理和监测。3. 该组织的核心业务为数据处理，这些数据属于Art9 规定的个人信息数据或者Art10规定的犯罪信息数据。

Art40载明了制定企业内部数据合规的行为准则是受到鼓励的，尤其是中小型企业可以制定符合自身企业发展但同时不违反GDPR的行为准则。行为准则可以包含下列内容：“1. 公平且透明的信息处理；2. 在特定情形下数据控制者的合法利益；3. 个人信息的搜集；4. 个人信息的去标识化；5. 提供给公众和数据主体的信息；6. 数据主体可行使的权利；7.针对儿童信息的保护，包括儿童自身的信息及向儿童提供的信息。获得儿童监护人的同意方式。8. 针对数据控制者如何履行其责任的方式和流程以及确保数据处理过程安全性的方式；9.数据发生泄露时的通报机制；10. 个人数据跨境转移；11. 其他争议解决方式包括但不限于庭外争端处理和数据主体之间私下争端处理。”

处罚条款

处罚条款因其直接涉及到对数据处理者的权利限制所以将是被关注的重点。个人信息保护法在第七章规定了法律责任，第六十六条规定了数据处理者违反相应的规则将直接受到的处罚。分别是：（1）责令改正；（2）给予警告；（3）没收违法所得。（4）若拒不改正，并处一百万元以下的罚款，对直接或其他主管人员处一万元以上十万元以下的罚款。 

若存在情节非常严重的情形，除了需要改正违法行为，违法所得被没收以外， 还将被：（1）并处五千万元以下或上一年度营业额百分之五以下罚款。（2）同时，将被主管部门责令停业整顿，暂停相关业务；（3）业务相关的许可证或者营业执照被吊销。（4）直接的主管人员还将被处十万元以上一百万元以下的罚款。

除了常规的罚款，停业整顿，吊销许可证以外的行政处罚手段，个人信息保护法还规定了相关的违法行为将被记入信用档案且予以公示。

GDPR在Art 83规定了针对数据处理者行政处罚的基本原则。

Art83条规定了对于数据处理者进行行政处罚时应当考虑下列因素：（1）侵权行为的性质、严重程度和持续时间，同时考虑到数据处理的性质、范围或目的，以及受影响的数据主体的数量和他们遭受的损害程度；（2）侵权行为的系故意还是过失；（3）数据控制者或者数据处理者所采取的补救措施；（4）考虑数据控制者或处理者根据GDPR第25条 和第32条 实施的技术和组织措施，他们的责任程度；（5）数据处理者及控制者此前相关的侵权记录；（6）对于监管机构的配合程度，主要体现在弥补损失及减轻损害后果；（7）受损的个人信息的类别；（8）监管机构了解侵权行为的方式，特别是数据控制者或处理者是否通知了侵权行为，如果通知了，通知的详略程度；（9）是否遵守第40条规定的经批准的行为准则或第42条规定的经批准的认证机制等。

若数据处理者或控制者若违反了Art8（关于取得未成年人信息处理的授权）；Art11（处理不需要取得个人身份的数据）；Art25-Art39（数据处理者和控制者的义务）；Art42（证照）；Art43（认证机构）等条款中关于数据处理者和控制者需要遵守的义务。数据处理者和控制者将面临最高不超过10,000,000欧元的罚款，或者若被处罚者时企业的话，处罚不超过上一财政年度全球年度总营业额的2％。以数额高者为准。

若数据处理者违法情形严重，例如违反了基本的数据处理原则（获取被处理者同意的原则Art5，6，7，9）或者侵犯了数据主体的权利（例如Art12到Art22条），抑或是违反了数据处理的跨境规则（Art44到Art49），不遵守监管机构根据Art58(2)条发出的命令或对处理的临时或最终限制或暂停数据流，或违反Art 58(1)条未能提供访问，不遵守所在国的法律规定等。将面临最高不超过20,000,000欧元的罚款，或者若被处罚者时企业的话，处罚不超过上一财政年度全球年度总营业额的4％。以数额高者为准。

相较于国内的个人信息法，GDPR在设置处罚档次和情节的时候做了较多细致的规定，这些规定能够帮助行政机构在履行职能时更加清晰精准的适用相关规定，从而保障执法的权威性和高效性。其实我国的各行各业的执法部门都有对应的自由裁量标准，无论是环境保护部门，住建部门，自然资源规划部门，还是城管部门，文体部门等，都有相应的法律，实施条例，实施办法，再到自由裁量规则。法律对某一行为规定了违法后果以后，条例，实施办法等就会细化该违法行为对应的情节，以及不同情节下的处罚后果。所以，在个人信息保护法颁布后的一段时间内，相信我国也将制定出相应的实施条例乃至行政执法的自由裁量权细则。

五、结语

横向比较了个人信息保护法与欧盟的GDPR之后可以看出，我国对于个人信息保护的法律规定尚处于一个相对宏观的阶段，个人信息保护的措施如何能够落到实处将会是整个社会更为关注的焦点。在GDPR生效以后，多家科技巨头诸如Facebook、苹果、谷歌和推特均被爱尔兰数据保护委员会展开了十多项的调查，调查内容包括了Facebook旗下WhatsApp是否以透明的方式向用户和非用户提供了信息，同时还对Twitter在2019年1月8日可能的数据泄露进行调查。毫无疑问，在我国的个人信息保护法正式生效且落地后，科技巨头的数据合规将迫在眉睫。

本文作者：

指导合伙人：