GDPR与中国个人信息保护法合规对照表：30个关键差异+企业实操Checklist.docxVIP

GDPR与中国个人信息保护法合规对照表：30个关键差异+企业实操Checklist

在全球化数据流通与本地化监管强化的双重背景下，企业需同时适配国际通用规则（以GDPR为代表）与中国本土合规要求（以《个人信息保护法》为核心）。本文通过30个关键差异的精准对比，结合企业全流程实操Checklist，构建“法理对照-风险识别-落地执行”的完整合规框架。

一、基础框架差异：适用范围与监管逻辑（1-5项）

对比维度

GDPR（欧盟《通用数据保护条例》）

中国《个人信息保护法》

核心差异解析

1.适用范围原则

属人管辖为主，属地管辖为辅：只要处理欧盟公民个人数据，无论处理者所在地

属地管辖为主，保护性管辖为辅：境内处理必适用；境外处理境内自然人数据且满足特定条件（如提供服务、分析行为）需适用

GDPR“长臂管辖”更激进，侧重保护欧盟公民权益；中国法则优先锚定境内行为，兼顾境外针对性行为

2.个人信息定义

涵盖所有可直接/间接识别个人的信息，包括IP地址、电子邮件、电力设备标识等

以“识别性”为核心，明确“可识别自然人个人身份或者反映特定自然人活动情况”的信息均属之

定义范畴高度重合，但GDPR列举更具体，中国法留待司法解释进一步明确新型标识（如生物识别信息细化）

3.监管机构设置

欧盟层面设数据保护委员会（EDPB），成员国设独立监管机构（如爱尔兰DPC），分级监管且权限统一

国家网信部门统筹协调，公安、市场监管等部门按职责监管，形成“中央统筹+多部门分工”模式

GDPR监管机构独立性更强，中国法突出网信部门核心地位，适配本土行政监管体系

4.特殊主体保护

无单独“重要数据”分类，仅对敏感个人数据强化保护

首创“个人信息+重要数据”双重监管，重要数据保护与国家安全挂钩

中国法将数据合规与国家安全深度绑定，GDPR则聚焦个人权益保护

5.立法宗旨

以增强数据主体权能为核心，保障个人对数据的控制权

平衡个人权益保护与数据合理利用，兼顾产业发展与国家安全

GDPR侧重“权利本位”，中国法追求“权益-产业-安全”三重平衡

二、核心规则差异：处理全流程要求（6-20项）

（一）处理合法性与同意规则（6-10项）

对比维度

GDPR

中国《个人信息保护法》

核心差异解析

6.同意有效性标准

需“明确、具体、自由给出”，禁止默认勾选；同意需可单独撤回，且撤回难度不高于给予难度

需“明确同意”，允许“一揽子同意”但需保障撤回权；敏感个人信息需“单独同意”

GDPR对同意的“主动性”要求更严苛，中国法区分一般与敏感信息，规则更具梯度性

7.合法性基础范围

列出6类合法基础：同意、合同必要、法定义务、公共利益、重大公共利益、合法利益

核心为“同意”，辅以“履行合同”“法定义务”“公共利益”等，未明确“合法利益”作为独立基础

GDPR“合法利益”条款为企业提供更多弹性空间，中国法更依赖“同意”核心原则

8.敏感信息界定

涵盖种族、宗教、政治观点、基因、生物识别、健康、性生活等数据

包括生物识别、宗教信仰、医疗健康、金融账户、行踪轨迹等，新增“不满十四周岁未成年人个人信息”为法定敏感信息

中国法明确将未成年人信息单列，GDPR未作特别强调；生物识别信息均属核心敏感范畴

9.敏感信息处理要求

需满足“更严格保护措施”，但无统一“事前评估”强制要求

处理敏感信息需事前进行个人信息保护影响评估（PIA），并取得单独同意

中国法对敏感信息处理设置“评估+单独同意”双重门槛，GDPR要求相对灵活

10.告知义务内容

需详细告知控制者身份、处理目的、法律依据、数据主体权利等10余项内容

核心告知要素与GDPR一致，但允许“分层告知”：初次告知核心内容，后续补充细节

中国法“分层告知”更适配互联网产品场景，GDPR要求初次告知即完整全面

（二）数据主体权利与企业义务（11-15项）

对比维度

GDPR

中国《个人信息保护法》

核心差异解析

11.数据主体核心权利

明确赋予“被遗忘权”（删除权）、“数据可携带权”（有权获取结构化、通用格式数据）

规定“删除权”“更正权”，未明确“数据可携带权”，但允许个人请求复制个人信息

“被遗忘权”是GDPR标志性权利，中国法删除权有更多法定限制；可携带权暂未确立

12.自动化决策规制

禁止纯自动化决策对个人产生“显著影响”（如信贷拒绝），需保障人工干预权

要求自动化决策应公平合理，不得实行歧视性待遇，需提供说明并允许异议

均禁止算法歧视，但GDPR对“显著影响”的界定更清晰，中国法侧重结果公平

13.数据泄露通知