1、1 2 引引 言言 2021 年 8 月 20 日, 个人信息保护法颁布,并将于 2021 年 11 月 1 日起正式实施。 个人信息保护法是我国迈入������数字化社会,彰显“以人为本”的法律制度里程碑,也是我国为全球数字治理贡献的中国方案。 近年来,个人信息保护立法在世界范围内如火如荼地展开,目前已经有 128 个国家通过立法保护个人信息和隐私。1其中,����结合市场规模,规制范围等因素,以欧盟通用数据保护条例 (以下简称 GDPR) ,美国加利福尼亚州隐私保护法(CCPA&CPRA)2,以及中国刚刚出台的个人信息保护法为最具有影响力的法律文本。以这四部法律文本为基础,开展条款比较工作,能够系统展现当今世
2、界个人信息保护立法在最为主要的区域及国家的共性与差异,为企业合规工作及学者研究带来积极价值。 腾讯研究院依托对个人信息保护领域法律制度的长期积累和专业洞察,完成了中美欧个人信息保护法比较以中国、欧盟 GDPR,美国加州 CCPA&CPRA 为样本的专题报告,以飨读者。其中有不完善甚至谬误之处,欢迎指出! 1 See: https:/unctad.org/page/data-protection-and-������privacy-legislation-worldwi������de, 最后访问日期:2021 年 8 月 17 日。 2 2018 年 6 月 28 日签署的 CCPA 是一项旨在增强美国加利福尼亚州居
3、民隐私权和消费者保护的州法规。在其基础上,2020 年 11 月 3 日加州选民投票通过了 CPRA,对 CCPA 的一些重要条款进行了修正, 扩展了 CCPA 的范围并制定了新的执行机制。 CCPA 和 CPRA 共同构建了加州隐私保护法的主要制度框架,������ 两者均是对 加利福尼亚民法典 (California Civil Code)第三�������章第四部分进行的修改,因此下文加州隐私法(CCPA&CRPA)引用条文的均是加利福尼亚民法典 (以下简称加州民法典 )的相关条款。 3 报告报告目录目录 图标图标说明说明 . 1 1 一、立法模式与适用范围一、立法模式与适用范围 . 2 适用的地域范围. 5 受
4、规制的对象类型. 7 规制的数据活动. 9 排除适用的范围. 10 二、个人信息的定义与分类二、个人信息的定义与分类 . 12 个人信息的定义. 12 敏感个人信息. 14 未成年人个人信息. 18 死者个人信息. 20 匿名化、去标识化信息. 22 三、合法性基础三、合法性基础 . 25 合法性基础的范围. 26 同意规则. 27 四、个人信息的跨境提供四、个人信息的跨境提供 . 29 数据本地化和出境安全评估. 31 跨境证据调取. 32 五、信息主体的权利五、信息主体的权利 . 33 知情权���. 33 访问权. 35 反对权/撤回权 . 37 删除权 . 38 复制权/可携权 . 40 六
5、、信息处理者的义务六、信息处理者的义务. 43 采取安全保障措施的义务 . 43 保存(储存期�����限) . 45 发生数据安全事件时的通知义务 . 47 个人信息保护影响评估 . 51 DPO/个人信息保护责任人制度 . 52 守门人条款 . 54 七、其他特别条款七、其他特别����条款 . 57 自动化决策条款(算法规制) . 58 采集图像信息和身份识别信息 . 60 八、法律责任八、法律责任 . 62 民事诉讼 . 63 行政监管 . 65 刑事责任 . 68 比较概览比较概览 . 69 结语结语 . 71 1 图标说明图标说明 图一 图二 图三 图四 图五 每个二级标题均有一个矢量图说明比较结论
6、。指针代表中国个人信息保护法 ,左侧(即橙红色区域)代表 GDPR 模式,右侧(即绿色区域)代表加州隐私法(CCPA&CPRA)模式。 ? 指针方向指针方向:指针指向左侧说明就此部分规则而言个人信息保护法更接近 GDPR 模式,指向右侧则说明个人信息保护法更接近加州隐私法(CCPA&CPRA)模式。 ? 指针指向的指针指向的颜色颜色: 橙色向红色渐变说明法律的严厉程度递增,白色虚线内的红色区域表示严厉程度超过 GDPR; 深绿向浅绿渐变说明法律的宽松程度递增,白色虚线内的深绿色部分表示严厉程度超过 CCPA&CPRA。 ? 五种矢量图��������具体说明如下 图一: 个人信息保护法模式和 GDPR 相似,
7、但比 GDPR 更宽松。 图二: 个人信息保护法模式和严厉程度上与 GDPR������ 基本一致。 图三: 个人信息保护法 模式上与 GDPR 相似, 但是比 GDPR 更严格。 图四: 个人信息保护法 模式上与加州隐私法 (CCPA&CPRA)相似,但是比加州隐私法(CCPA&CPRA)更严格。 图五: 个人信息保护法模式上与加州隐私法(CCPA&CPRA)相似,宽松程度与其基本一致。 2 一、立法模式与适用范围一、立法模式与适用范围 中国个人信息保护法采取了类似于 GDPR 的综合立法模式,而加州隐私法(CCPA&CPRA)是在消费者保护领域的个人信息保护专门立法。两种立法模式下,法律的适用范围有显
�������8、著的不同: 适用范围适用范围概览:概览: 立法立法 模式模式 GDPR综合性立法综合性立法 中国个人信息保护法中国个人信息保护法综合性立法综合性立法 加州隐私法(加州隐私法(CCPA&CPRA) ��������消费者保护领域的专门立法消费者保护领域的专门立法 适适用用地地域域范范围围 境境内内 欧盟境内:在欧盟内部设立在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。3 中国境内:数据处理活动发生数据处理活动发生在境内 1.在加利福尼亚州进行商业活动进行商业活动的企业 2. 任何控制或被第(1)段所界定的业务所控制并与该业务有共同品牌的实体4 3.由多个企业组成的合
9、营或合伙企业, 每个企业至少拥有合营企业或合伙企业 40%的权益 4. 在加利福尼亚州开�������展业务且不受第 (1)、(2) 或 (3) 款约束的人,自愿向加利福尼亚隐私保护局证明其遵守并本法规定的。 境境外外 欧盟境外:在欧盟境外向欧盟境内个人提向欧盟境内个人提供商品或服务,或对其监控供商品或服务,或对其监控的情形5 中国境外:在境外处理,但:以向境内自然人提向境内自然人提供产品或者服务为目的供产品或者服务为目的, 或分析、 评估境内自然人的行为; 以及法律、 行政法规规定的其他情形6 3 GDPR 第三条 4 加州民法典1�����798.140 条(d) ; 5 GDPR 第三条 6 中国个人信息保护法
10、第三条; 3 受受保保护护的的人人 境境内内 +欧盟境内境内自然人7: (data subject) +中国境内境内的自然人8 (个人) 加州居民9: (1)非临时或临时目的而在该州在该州的每个人,以及 (2) 居住在该州居住在该州但临时或因暂时的目的而在该州之外的每个人 非非境�������境内内 在欧盟设立的机构所处理的个人数据(不限于欧盟境内的自然人) ; 在中国境内处理的个人数据 (不限于中国境内的个人) GDPR 中国个人信息保护法中国个人信息保护法 加州隐私法(加州隐私法(CCPA&CPRA) 受规制的实受规制的实体类型体类型 数据控制者和数据处理者10 个人信息处理者和受托人11 (注:个人信
11、息处理者相当于欧盟 GDPR 中的数据控制者; ) 符合一定条件的企业12 适用的数据适用的数据活动活动 数据处理活动: 对数据的操作行为 (以概括列举方式的全面界定。 )13 个人信息的处理: 个人信息的处理包����括个人信息的收集、 存储、 使用、加工、传输、提供、公开、删除等14。 收集(collect) ; 出售(sale) ; 共享(share) 。15 7 GDPR 第三条 8 中国个人信息保护法第三条; 9加利福尼亚州管制法典第 17014.条(a)款:居民包括(1) 非临时或临时目的而在该州的每个人,以及 (2) 居住在该州但临时或因暂时的目的而在该州之外的每个人 10 GDPR 第
12、�������四条 11 中国个人信息保护法 第七十三条 ,第五十九条 12加州民法典第 1798.140.条(CCPA) :企业是指: (1)年收入超过 2500 万美元; (2)购买、收取、出售或共享 100,000 人甚至更多的消费者、家庭或设备的个人信息; (3)通过销售或共享消费者的个人信息获得其年收入的 50甚至更多。 13 GDPR 第四条第(2)项:“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
13、 14 中国个人信息保护法第四条第二款 15 加州民法典第 1798.140.条:“收集”(Collects) 、“已收集”(collected)或“收集集合”(collection)是指以任何方式购买、出租、收集、获取、接收或访问与消费者有关的任何个人信息。这包括主动或被动地从消费者那里接收信息,或者通过观察消费者的行为来接收信息;出售(sale) :“出售”、“出售中”、“销售�����”或“已出售”是指企业以金钱或其他有价值的对价,通过口头、�����书面、电子或其他方式,向一家企业或第三方出售、出租、发布、披露、传播、提供、转让消费者的个人信息;共享(share): 是指企业为了实现行为广4 排除适用的排
14、除适用的范围范围 欧盟法管辖之外的活动中所进行的个人数据处理; 该商业行为的所有要素都完全发生在加利福尼亚州以外16 欧盟成员国为履行欧盟基本条约 (TEU)第 2章第 5 ����款所规定的活动而进行的个人数据处理; 自然人在纯粹个人或家庭活动中所进行的个人数据处理; 自然人因个人或者家庭事务处理个人信息 有关主管部门为预防、调查、侦查、起诉刑事犯罪、 执行刑事处罚、 防范及预防公共安全威胁而进行的个人数据处理17。 遵守联邦、州或地方法律;遵守联邦、 州或地方当局的民事、 刑事或监管调查、调查、传票或传唤;与执法机构进行的合作;行使或者辩护法律主张。 法律对各级人民政府及其有关部门组织实施的统计、
15、 档案管理活动中的个人信息处理有规定的18。 医疗、征信、驾驶、金融、政府公开信息、雇员信息、车辆信息以及(车辆)所有权信息19 (注:*加州隐私法通过对数据处理活动的限缩解释以及在个人信息的定义中排除多种具体�����的信息类型, 告的目的,通过共享、出租、发布、披露、传播、提供、转移或以其他方式口头、书面、电子或其他方式向第三方传输消费者的个人信�����息,无论是否出于金钱或其他有价值的考虑。 16 加州民法典1798.145 条(a) (7) 17 GDPR 第二条第二款 18 中国个人信息保护法第七十二条 19 加州民法典第 1798.145 条 5 从而限制了适用范围,具体分析见下文 “规制的数据活动
16、” 、 “排除适用的范围”以及“个人信息的定义”部分。 ) 适用的地域范围适用的地域范围 各部法律均具有域外适用的效力。但从域外适用的范围看,GDPR 的范围最为宽泛,中国个人信息保护法在地域范围上做了适当延伸,但相较GDPR 更为克制。 GDPR: 在地域范围上,GDPR 采取的机构设立地标准和目标指向标准机构设立地标准和目标指��������向标准建立了较为宽泛的地域管辖范围。 1.机构设立标准:如果个人数据控制者或者处理者在欧盟境内设立了实体实体(establishment) ,) ,在实体开展业务的场景下发生的数据处理行为受到该法管辖,无论数据处理行为的具体位置是否在欧盟境内。 (1)在实体的认������定问题
17、上,GDPR 序言第 22 条明确,“设立机构意味着经过稳定安排的活动的真正有效执行。这种安排的法律形式,无论是一个分支机构还是一个具有法律人格的子公司,并非决定性因素”。 (2)而针对数据处理行为是否发����生在此实体开展业务活动的场景中,EDPB 在指南中指出,应该结合具体案情分析。一方面,为了确保对欧盟个人6 数据提供充分有效的保护,不应该对该问题进行限缩解释;另一方面,某些数据处理行为虽然发生在欧盟境内但是与欧盟鲜有联系(或者偶有联系) ,也不能对该行为的法律适用进行过度扩大解释,最终导致将 GDPR 错误地适用于上述行为。 在判断“特定的数据处理行为”是否可以被认定为“发生在此实体开展业务
18、活动的场景中”时,EDPB 建议围绕两大因素进行考虑:第一,欧盟境外的数据控制者或处理者与他设立在欧盟境内的经营场所之间的关系。第二,是否在欧盟境内产生盈利。20 2.目标指向标准是指,即使数�������据控制者或处理者不在欧盟设立,只要它为欧盟境内的数据主体提供商品或服务或对发生在欧洲范围内的数据主体的活动进行监控,即应当适用 GDPR。 中国个人信息保护法 :中国个人信息保护法 : 中国个人信息保护法在地域范围上采取了信息处理活动发生地标准和目标指向标准。总体借鉴了中国个人信息保护法在地域范围上采取了信息处理活动发生地标准和目标指向标准。总体借鉴了 GDPR 思�������思路,但信息处理活动发生地标准与路,但信
19、息处理活动发生地标准与GDPR 的机构设立地标准存在一������定差异的机构设立地标准存在一定差异,前者在扩展域外适用方面,具有更大的谦抑性。前者在扩展域外适用方面,具有更大的谦抑性。 一方面,组织、个人在中华人民共和国境内处理自然人个人信息的活动应当适用中国个人信息保护法 (信息处理活动发生地) ;另一方面,在境外处理中华人民共和国境内自然人个人信息,且有: (1)以向境内自然人提供产品或者服务为目的; (2)分析、评估境内自然人的行为; (3)法律、行政法规规定的其他情形,也适用中国个人信息保护法 。 加州加州 CCPA&CPRA: 加州隐私保护法(CCPA�����&CPRA)的地域适用范围以商业活动发生地
20、作为主要判断标准,但是由于法案本身并未对为进行商业活动(doing business)进行定义,而根据加利福尼亚税法和公司法,商业活动是指 “为获得经济利益、金钱收益、利润而积极参与任何交易”,因此可以��对“商业活动”进行广义 20 Guidelines 3/2018 on����� the territorial scope of the GDPR (Article 3):https:/edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultat
21、ion_en_1.pdf 7 的解释。 受规制的对象类型受规制的对象类型 在规制主体方面,GDPR 中明确区分了数据控制者与数据处理者两类主体,而中国个人信息保护法和加州隐私法(加州隐私法(CCPA&CPRA)更为接近,更为接近,两者都未采取主体的二分法,两者都未采取主体的二分法,而是在建立类似于控制者的概念后,通过委�����托关系明确受托人的义务。从定义上看,中国个人信息保护法中的个人信息处理者的概念和 GDPR 的数据控制者概念类似,其是数据处理活动的决定者和主要负责者。 GDPR: 数据控制者和数据处理者的概念在 GDPR 的应用中起着至关重要的作用,因为它们决定了谁负责遵守不同的数据保护规则,
22、以及数据主体在实践中向谁主张权利。21数据控制者决定个人信息处理目的与方式,因此确保个人数据的处理需具有合法性理由是针对控制者提出的。数据控制者对于数据主体权利的行使、非法数据处理造成的损害、以及采取安全保护措施等方面有重要的责任。22 同时 GDPR 的一个������重要特点是直接对处理者施加了一定的数据保护义务,例如数据处理者必须遵守保密义务、保存处�������理活动记录、遵守数据跨境流动的规则等等。对于控制者和处理者明确指向各自应负担的法定义务,为企业合规和合同责任分配提供了较为明确的规则指引。在云计算的场景下,数据 21 Guidelines 07/2020 on the concepts of contr
23、oller and processor in the GDPR,see:https:/edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guideli�����nes-072020-concepts-controller-and_en 22 Opinion 1/2010 on the concepts of controller and processor,see:https:/ec.europa.eu/justice/article-29/documentation/opinion-recommendation/file
24、s/2010/wp169_en.pdf 8 控制者一方面需要履行好选任处理者的义务,保证数据处理者有足够的技术能力保障数据主体的个人数据安���全,另一方面需要通过合同条款保留对通过云服务执行的个人数据处理的控制权(确定目的和方式) 。而数据处理者则需要按照合同约定和法律规定协助数据控制者履行其数据保护义务,特别是后者对行使数据保护权利的数据主体提出的访问、阻止、纠正和删除请求的迅速响应。23 中国个人信息保护法 ,中国个人信息保护法 ,CCPA&CPRA 中国个人信息保护法笼统规定受托处理者应当采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。“相关义务”较为模糊无法
25、为企业提供明确的指引,还留待后续实践中逐步清晰。加州隐私法也存在类似问题。 ��������加州 CCPA&CPRA 中区分了企业(Business) ,服务提供商(Service Provider) ,承包商(Contractor) ,三者的义务要求存在一些差异。例如,服务提供商和承包商有如下义务: (1)配合企业响应可验证的消费者请求,在企业的指示下删除或使企业能够删除,关于消费者的个人信息;24(2)在收到企业的指示后,协助企业实现目的的服务提供者或承包商,在实际知道个人信息属于敏感个人信息的范围内,不得使用敏感个人信息。从表述上看不难发现,服务提供商、承包商的以上义务受限于服务提供商、承包商与企业的关
26、系。例如在删除权的行使上,当服务提供商或承包商是作为该企业的服务提供商或承包商收集、使用,处理和储存消费者个人信息�������的,其无需满足消费者直接向其提出的删除要求,25而在敏感个人信息的问题上,服务提供商和承包商业仅需限制其根据与企业签订的书面合同收到的敏感个人信息的适用,以响应企业的指示,并且仅限于与该企业�������的关系。26 23 Guidelines on the use of cloud computing services, see https:/edps.europa.eu/data-protection/our-work/publications/guidelines/guidelines-u
27、se-cloud-computing-services-european_en 24 加州民法典第 1798.105 条(3) (c) 25 加州民法典第 1798.105(3) (c) 26 加州民法典第 1798.121 条(c) 9 规制的数据活动规制的数据活动 GDPR 与中国个人信息保护法较为类似,对于规制的数据活动都采取了较为宽泛的解释,而加州隐私法对规制活动作出了明确的限缩。 GDPR,中国个人信息保护法,中国个人信息保护法: GDPR 调整的数据处理活动是指,任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不��������论该操作行为是否采取收集、记录、组织、构造、存储、调整、
28、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。 中国个人信息保护法列举的调整行为少于 GDPR,但同样具有宽泛性。 加州������加州 CCPA&CPRA: CCPA&CPRA 则仅规制收集(collect) ,出售(sell) ,共享(share)数据三类行为。根据加州民法典第 1798.140 条,该法案中的“出售”、“出售中”、“销售”或“已出售”是指企业以金钱或其他有价值的对价,通过口头、书面、电子或其他方式,向一家企业或第三方出售、出租、发布、披露、传播、提供、转让消费者的个人信息。 可见“出售”一词也具有很大的解释空间,包括
29、就个人信息进行价值交换(“对价”)的任何安排。27 2�����7 https:/ 10 排除适用的范围排除适用的范围 立法模式的不同决定了各部法律对于适用的信息类型和实体范围存在差异。中欧法律适用更为广泛,加州隐私法依旧作出了许多排除。 GDPR,中国个人信息保护法,中国个人信息保护法: GDPR 和中国个人信息保护法是综合通用性立法,并未像加州隐私法(CCPA&CPRA)一样,从个人信息类型上对适用范围进行限制。但是在信息处理行为的类型中, GDPR 在适用范围上排除了在适用范围上排除了“自然人在纯粹个人或家庭活动中所进行的个人数据处理自然人在纯粹个人或家庭活动中所进行的个人数据处理”, 中国 个人
30、信息保护法 也做了类似排除, 中国 个人信息保护法 也做了类似排除。同时,考虑到中小企业的情况,GDPR 序言第十三条和正文第三十条明确,减免雇员人数在 250 人以下实体的备案(record-keeping)义务。但中国个人信息保护法未做类似限制。 加州加州 CCPA&CPRA: CCPA&CPRA 的适用范围从数据类型上排除了医疗、征信、驾驶、金融、政府公开信息、雇员信息、车辆信息以及(车辆)所有权信����息等受其他部门法(eg:医疗信息保密法 、 健康保险可携带性和责任法案 、 健康信息技术促进经济和临床健康法案 、 公平信用报告法 、 联邦格莱姆-里奇-布莱利法案 、 驾驶员隐私保护法 )调
31、整的信息。 并且,通过年收入和收集信息的数量等条件对受规制的实体进行了限制(年收入超过 2500 万美元;购买、收集、出售或共享������ 100,000 人甚至更多的11 消费者、家庭或设备的个人信息;通过销售或共享消费者的个人信息获得其年收入的 50甚至更多。 )28 28 See Voss, W. Gregory, The CCPA and the GDPR Are Not the Same: Why You Should Understand Both (January 18, 2021). W. Gregory Voss, The CCPA and the GDPR Are Not the S
32、ame: Why You Should Understand Both, CPI Antitrust Chronicle, Jan. 2021, Vol. 1(1), pp. 7-12, available at https:/ , Availabl��������e at SSRN: https:/ 12 二、个人信息的定义及分类二、������个人信息的定义及分类 个人信息的定义个人信息的定义 关于个人信息的定义,各部法律在具体的界定方式、概念的内涵和外延上均存在区别。关于个人信息的定义,各部法律在具体的界定方式、概念的内涵和外延上均存在区别。中国个人信息保护法与 GDPR 在定义方法上更接近,将所有可识别与已识别的
33、自然人有关的个人信息纳入了调整范围,保护范围更广。同时,两法也都明确排除了匿名化信息。 而 CCPA&CPRA 则通过定义+列举+排除的方式界定个人信息,范围更加限定和明确。CCPA&CPRA 强调“合理性”和“连接触达性”来进一步限缩个人信息的范畴。29同时,加州北区联邦地区法院在 Gardiner 诉 Walmart Inc.一案中对可以提起民事诉讼的个人信息进一步限缩为加州隐私法明确列举的个人信息类型,即: (1)未经加密的姓名、名字首字母和个人姓氏与社会安全号码、驾驶证号码、账号、信用卡号码等的组合, (2)用户名或电子邮箱地址与密���码或安全问题和答案的组合(使得在线账户可访问) 。30
34、最后,CCPA&CPRA 排除适用的信息类型(去识别化信息、汇总的消费者信息、可公开获取的信息、合法获得的、引起公众关注的真实信息)大大多于 GDPR �����和中国个人信息保护法 。 GDPR (第(第四四条)条) 中国个人信息保护法中国个人信息保护法 (第四条)(第四条) 加州隐私法(加州隐私法(CCPA&CPRA) (第(第 1798.140.条(条(v)项)项) 定义定义 与任何已识别或可识别的自然人(“数据主体”)相关相关(relating to)的信息 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息有关的各种信息 直接或间接地识别、关联、描述、能够合理地合理地与某一特定消
35、费者或家庭相关联或可以合理地与之相关联的信息。或可以合理地与之相关联的信息。 29 王融: 美欧隐私立法是否走向趋同,加州 CCPA 给出答案 ,腾讯研究院微信公众号,2019 年 9 月 26 日:https:/ 30 https:/digitalcommons.law.scu.edu/cgi/viewcontent.cgi?article=3423&context=historical 1���3 列举列举 类型类型 姓名 无列举 身份编号 地址数据 网上标识 识别码 自然人所持有的一项或多项身体性、 生理性、遗传性、精神性、经济性、文化性或社会性身份 生物识别信息 地理位置数据 专业或就业相关
36、信息 受保护的特征 网络活动信息 用户画像的推论 商业信息 教育信息 排除排除 匿名化信息31 匿名化信息 1.去识别化信息 2.汇总的消费者信息 3.�����可公开获取的信息 4.合法获得的、引起公众关注的真实信息32 不同类型个人信息的保护规则不同类型个人信息的保护规则 对于特殊类型个人信息的规则,各法有共通之处也有显著的不同。一方面,各部法律均对特殊类型数据(敏感个人信息) 、未成年人个人信息的收集一方面,各部法律均对特殊类型数据(敏感个人信息) 、未成年人个人信息的收集 31 参见 GDPR 第四条。 32 加州民法典第 1798.140.(v) (2) 14 和处理制定了特别的规则。和处理制
37、定了特别的规则。另一方面,在具体的处理规则上,各部法律存在明显差异,加州隐私法在规则上仍相对宽松。 敏感个人信息敏感个人信息 GDPR (第(第九九条)条) 中国个人信息保护法中国个人信息保护法 (第(第二十八二十八条)条) 加州隐私法(加州隐私法(CC������PA&CPRA) (第第 1798.100 条)条) 敏感敏感信息信息定定义义 特殊类型数据(无概括性定义) 敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息33。 列举“敏感个人信息”类别(无概括性定义) 敏感敏感信息信息列举列举 种族或民族背景 特定身份 人种与民族信息 工会成员的个
38、人数据 工会会员身份 社会保障、驾驶执照或护照号码 个人通讯 政治观念 宗教或哲学信仰 宗教信仰 宗教信仰 基因数据 生����物识别 遗传数据 为了特定识别自然人的生物性识别数据 生物特征 和自然人健康相关的数据 医疗健康 健康信息 33 个人信息保护法第二十八条 15 和个人性生活或性取向相关的数据 有关性生活或�������性取向的信息 金融账户 财务账户信息 行踪轨迹 精确的地理位置 不满十四周岁未成年人的个人信息 敏感个人信息的处理规则敏感个人信息的处理规则 GDPR (第九第九条)条) 中国个人信息保护法中国个人信息保护法 (第(第二十八二十八条)条) 加州隐私法(加州隐私法(CCPA&CPRA) (第
39、第 1798.100 条)条) 处理的要处理的要求求 特定情况下可以处理: 1.数据主体明确同意 2.处理对于数据控制者履行责任、 保护数据主体权利、 另一自然人的核心利益是必要的 3.非盈利机构的正当性活动 4.已经������明显公开的相关个人数据的处理 5.司法活动 6.公共利益(包括医学、公共健康、科学或历史研究) 处理必须具有特定的目的和充分的必要性,并采取严格保护措施 可公开获可公开获取的敏感取的敏感个人信息个人信息 在合理范围内处理个人自�������行公开或者其他已经合法公开的个人信息不适用同意规则34 可公开获取的敏感个人信息不再是敏感个人信息或个人信息35,因此不适用相关的处理规则 34 个人信息保
40、护法第十三条 35 加州民法典第 1798.140 条(ae) (3): 根据第 (v) 款第 (2) 项“公开”的敏感个人信息不应被视为敏感个人信息或个人信息。 16 同意同意 规则规则 明确同意 取得信息主体的单独同意或书面同意36 无规定 自动化决自动化决策策 只有在数据主体明确同意或者处理是对实质性公共利益是必要的情况下,才能利用此类数据进行对数据主体具有法律影响或类似严重影响的自动化决策。37 无规定 无规定 其他其他 无规定 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。38 无规定 其他其他 GDPR (第(第九九条)条) 中国个�����人信息保护
41、法中国个人信息保护法 (第(第二十八二十八条)条) 加州隐私法(加州隐私法(������CCPA&CPRA) (第第 1798.100、��������1798.121 条)条) 知情权知情权 无特殊规则, 适用一般类型个人数据的相关条款 处理敏感个人信息的必要性以及对个人权益的影响39 1.收集个人敏感信息的类别 2.收集或使用敏感个人信息的目的 3.该信息是否出售或共享。 36 个人信息保护法第二十九条 37 GDPR 第二十二条 38 个人信息保护法第三十二条 39 个人信息保护法第三十条 17 限制处限制处理请求理请求权权 无规定 无规定 1.消费者有权随时指示收集消费者敏感个人信息的企业将其对消费者敏感个人信息
42、的使用限制在提供服务或商品所必需的范围内。40 2.企业需要在主页提供“限制使用或披露我的敏感个人信息”的链接。41 数据保数据保护影响护影响评估评估 大规模处理大规模处理特定类型个人数据必须进行数据保护影响评估42 处理敏感个人信息应当进行个人信息保护影响评估43 无规定 数据保数据保护官的护官的任命任命 控制者或处理者的核心活动包含对某种特殊类型数据的大规模处理大规模处理,则应当����委任数据保护官。44 无规定 无规定 针对敏感个人信息的处理,GD�������PR 和中国个人信息保护法均采取了以禁止处理为原则,允许处理为例外的保护模式。GDPR 第九条规定,只有在数据主体明确同意、处理对于控制者履行责任以
43、及行使其特定权利是必要的等情况下,才可以在采取合适与特定措施的前提下处理特殊类型个人数据。 GDPR 第二十二条第四款还对利用特殊类型数据进行自������动化决策提出了要求, 只有在数据主体明确同意或者处理对公共利益是必要的情况下, 才能利用此类数据进行对数据主体具有法律影响或类似严重影响的自动化决策。中国个人信息保护法也要求处理敏感个人信息必须具有特定的目的和充分的必要性,采�����取严格的措施,同时取得个人的单独同意。 40 加州民法典1798.121 条(a) :消费者有权随时指示收集消费者敏感个人信息的企业将其对消费者敏感个人信息的使用限制在符合一般消费者预期的,提供服务或商品所必需的用途或者执行第 1
44、798.140 条第 (e) 部分第 (2)、�������(4)、(5) 和 (8) 段中规定的服务,并经授权根据第 1798.185 节 (a) 分节 (a) 第 (19) 节 (C) 项通过的法规。出于本条规定以外的目的使用或披露消费者敏感个人信息的企业应根据第 1798.135 条第 (a) 条向消费者发出通知,告知该信息可能会被使用或披露给服务提供商或承包商,用于其他特定目的,并且消费者有权限制使用或披露其敏感个人信息�������。 41 加州民法典1798.135 条(a) (2) : 在企业的互联网主页上提供一个清晰显眼的链接,标题为“限制使用我的敏感个人信息”,使消费者或消费者授权的人能够限制第 179
45������、8.121 节 (a) 部分授权的对敏感个人信息的使用和披露。 42 GDPR 第三十五条 43 个人信息保护法第五十五条 44 GDPR 第三十七条 18 此外,中欧立法对敏感信息处理过程也提出了额外的要求,对此类数据处理需展开隐私保护评估。 CPRA,则采取了对敏感信息处理课以特殊义务的方式加强保护,例如特殊的披露、告知义务,以及消费者的选择退出权、限制处理权等。 未成年人个人信息未成年人个人信息 针对未成年人个人信息的处理,GDPR 和中国个人信息保护法要求数据处理者必须获得父母的同意或授权,而 CCPA&CPRA 则仅要求企业在实际知悉消费者未满 16 岁的情况下,取得明��������确授权。GDP
46、R 和中国个人信息保护法均未通过主观要件对企业的义务进行限制,考虑到网络环境下识别未成年人、监护关系和监护人存在一定的困难,强制要求所有网络服务都要满足监护人同意要求,也将带来超范围收集信息问题,产生新的数据安全隐患。 GDPR������ 第八条的适用进行了两方面的限制:1.仅在数据控制者为儿童“直接提供信息社会服务”的情况下,才适用第八条的特殊同意规则;2.控制者应当采取合理努力,结合技术可行性确保获得授权和同意。对于第二点,EDPB 的指南进一步明确,控制者应尽合理努力验证用户已超过数字同意年龄,这些措施应与处理活动的性质和风险相称,年龄验证不应�����导致过度的数据处理。45 45 Guidelines
4���7、05/2020 on consent under Regulation 2016/679:https:/edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf 19 GDPR (第(第八八条)条) 中国个人信息保护法中国个人信息保护法 (第(第三十一三十一条)条) 加州隐私法(加州隐私法(CCPA&CPRA) (第(第 1798.120 条条(c) ) ������儿童儿童/未未成年人成年人信息信息 基于个人同意的数据处理,基于个人同意的数据处理, 当儿童不满当儿童不满16 周岁(成员国可降低
48、周岁(成员国可降低 13 周岁) ,只周岁) ,只有当对儿童具有父母监护责任的主体有当对儿童具有父母监护责任的主����体同意或授权,此类处理才是合法的同意或授权,此类处理才是合法的46。 个人信息处理者处理不满十四周岁未成年人个人信息的, 应当取得未成年人的父母或者其他监护人的同意。 个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。47。 要求实际知晓消费者年龄, 排除了不知晓消费者年龄的情况: 如果企业实际知悉消费者未满实际知悉消费者未满 16 岁岁,则企业不得出售消费者的个人信息,除非消费者已满 13岁且未满 16 岁�����, 或未满 13 岁的父母或监护人已经明确授
49、权销售其个人信息。 故意无视消费者年龄的企业,视为实际知悉消费者年龄。48 46 GDPR 第八条 47 个人信息保护法第三十一条 48加州民法典第 1798.120 条(c) :尽管有(a)小节的规定,但如果企业实际知悉消费者未满 16 岁,则企业不得出售消费者的个人信息,�������除非消�������费者已满 13 岁且未满 16 岁,或未满 13 岁的父母或监护人已经明确授权销售其个人信息。故意无视消费者年龄的企业,视为实际知悉消费者年龄。这项权利可以称为“选择加入的权利” 20 死者个人信息死者个人信息 GDPR 序言第二十七条明确,GDPR 不适用死者的个人数据,成员国可以对死者个人数据处理自行作出相关规定
50、。而从欧盟各成员国的立法看,奥地利、比利时、荷兰、瑞典等国均未明�������确��������死者的个人信息保护问题;捷克、芬兰、德国、波兰等国的数据保护法明确规定,不适用死者的个人信息;丹麦、法国、意大利、西班牙等国家虽然对死者的个人信息保护作出了相关规定,但也存在一定的限制。例如,2018 年的丹麦数据保护法第 2 条第 5 款规定,该法与欧盟一般数据保护条例适用于死者死后十年内的个人数据的保护。同样,加州隐私法 CCPA&CPRA 也未对死者的个人信息保护做任何规定。 而中国个人信息保护法明确规定了近亲属在特定情形下可以行使死者的个人信息行使相关权利。 GDPR (序言序言 Recital 第第 27 条)条) 中
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
