原创力文档- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
《中华人民共和国个人信息保护法》与欧盟《通用数据保护条例》视角下个人信息保护和数据跨境传输制度全景解读(上篇)
2023年是我国数据要素化元年,我国已领先全球其他国家将数据列为生产要素。在数字化浪潮的推动下,数据跨境流动活动日益频繁,全球化数据合规和个人信息保护深入推进。《中华人民共和国个人信息保护法》(以下简称个保法)与欧盟《通用数据保护条例》(以下简称GDPR)都是旨在保护自然人个人信息的重要法律,但它们分别适用于中国和欧盟。企业在处理涉及中国和欧盟的个人信息时需要同时考虑到这两部法律的合规要求。数据跨境的安全有序流动,是推动数字经济高质量发展的关键助力。本文旨在对我国个保法和欧盟GDPR关于个人信息保护和数据跨境传输进行对比解读,为企业提供相应的合规参考。
(GDPR采用“个人数据”,个保法采用“个人信息”,本文保持两部法律原有表述,但本文不对“个人数据”与“个人信息”作词义的区分)
一、适用范围
GDPR:2018年5月25日GDPR全面实施,取代了《关于个人数据处理保护与自由流动指令》(第95/46/EC号指令),成为直接适用于所有欧洲经济区(EEA)国家(包括27个欧盟成员国、冰岛、列支敦士登和挪威)的法律。依据GDPR第三条之规定,GDPR适用于所有在欧盟境内设立的企业,以及未设立在欧盟境内,但向欧盟境内自然人提供产品和服务、涉及监控欧盟境内自然人行为、依据国际公法需要适用欧盟法的企业。
个保法:2021年11月1日起施行。是我国首部个人信息保护专门法。依据个保法第三条之规定,个保法适用于在中国境内处理个人信息的活动,以及境外组织和个人处理中国境内自然人个人信息的活动,包括:向中国境内自然人提供产品或者服务、分析或者评估中国境内自然人的行为以及法律、行政法规规定的其他情形。
律师解读:GDPR和个保法在属地管辖方面存在差异,GDPR规定下只要企业设立在欧盟境内,无论是企业总部、子公司还是分支机构,也不管其个人数据处理活动是否在欧盟境内均要适用GDPR之规定。而个保法属地管辖关注的重点不是企业设立地,而是对个人信息的处理活动是否在中国境内。GDPR和个保法均具有域外效力,且域外适用情形较为统一。我们建议,在处理涉及中国和欧盟个人数据时,应当充分关注两部法律属地管辖方面的差异性。另外,鉴于GDPR为欧盟通用法则,各成员国仍可进一步制定法律,相当于GDPR的实施细则。因此,在关注GDPR的同时也要对相应欧盟国家是否已经制定GDPR相关国内法及其规定内容有所了解。
二、个人数据及敏感数据
GDPR:依据GDPR第四条之规定,个人数据是指已识别或可被识别的自然人的任何信息。包括姓名、身份表示、位置数据、网上身份识别数据,或与该个人生理、遗传、精神、经济、文化或者社会身份相关的一个或者多个要素。但是不包括匿名化处理的个人数据以及已故人士的数据。GDPR规定的敏感个人数据包括揭露种族或民族起源的数据、政治观点、宗教或哲学信仰、工会会员身份、基因数据、生物特征数据、健康数据、性生活、性取向数据、刑事定罪与犯罪有关的个人数据以及不满16岁儿童(各成员国可以调整年龄,但不得低于13岁)的个人数据。
个保法:依据个保法第四条之规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。依据《民法典》第一千零三十四条规定,个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个保法第二十八条规定了敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
律师解读:GDPR和个保法均规定匿名化处理后的数据不属于法律保护的个人数据。所谓匿名化,即任何人均不能以任何方法确定与数据有关的主体是谁。但GDPR和个保法关于个人数据及其范围的规定仍存在差异。例如死者个人数据不受GDPR保护,但我国个保法第四十九条对死者个人信息保护作出了规定。GDPR和个保法对于敏感个人数据范围的规定也不相同,种族、民族、政治观点、工会会员身份等被视为GDPR下的敏感数据,而非个保法下的敏感数据。金融账户和行踪轨迹等被视为个保法下的敏感数据,而非GDPR下的敏感数据。GDPR和个保法关于未成年人个人敏感数据的年龄规定也不相同。我们建议,在处理涉及中国和欧盟个人数据时,应当充分了解两部法律关于个人数据保护的范围,特别是敏感个人数据的范围。这直接关系到数据处理的规则要求及可能承担的合规责任。
三、相关主体
GDPR:在GDPR下涉及个人数据处理的相关主体包括数据主体、数据控制者、数据处理者、具有数据保护法律和实践专
文档评论(0)