专业文章

《中华人民共和国个人信息保护法》与欧盟《通用数据保护条例》视角下个人信息保护和数据跨境传输制度全景解读(上篇)

2024-06-17

2023年是我国数据要素化元年,我国已领先全球其他国家将数据列为生产要素。在数字化浪潮的推动下,数据跨境流动活动日益频繁,全球化数据合规和个人信息保护深入推进。《中华人民共和国个人信息保护法》(以下简称"个保法")与欧盟《通用数据保护条例》(以下简称"GDPR")都是旨在保护自然人个人信息的重要法律,但它们分别适用于中国和欧盟。企业在处理涉及中国和欧盟的个人信息时需要同时考虑到这两部法律的合规要求。数据跨境的安全有序流动,是推动数字经济高质量发展的关键助力。本文旨在对我国个保法和欧盟GDPR关于个人信息保护和数据跨境传输进行对比解读,为企业提供相应的合规参考。


(GDPR采用“个人数据”,个保法采用“个人信息”,本文保持两部法律原有表述,但本文不对“个人数据”与“个人信息”作词义的区分)


一、适用范围


GDPR:2018年5月25日GDPR全面实施,取代了《关于个人数据处理保护与自由流动指令》(第95/46/EC号指令),成为直接适用于所有欧洲经济区(EEA)国家(包括27个欧盟成员国、冰岛、列支敦士登和挪威)的法律。依据GDPR第三条之规定,GDPR适用于所有在欧盟境内设立的企业,以及未设立在欧盟境内,但向欧盟境内自然人提供产品和服务、涉及监控欧盟境内自然人行为、依据国际公法需要适用欧盟法的企业。


个保法:2021年11月1日起施行。是我国首部个人信息保护专门法。依据个保法第三条之规定,个保法适用于在中国境内处理个人信息的活动,以及境外组织和个人处理中国境内自然人个人信息的活动,包括:向中国境内自然人提供产品或者服务、分析或者评估中国境内自然人的行为以及法律、行政法规规定的其他情形。


律师解读:GDPR和个保法在属地管辖方面存在差异,GDPR规定下只要企业设立在欧盟境内,无论是企业总部、子公司还是分支机构,也不管其个人数据处理活动是否在欧盟境内均要适用GDPR之规定。而个保法属地管辖关注的重点不是企业设立地,而是对个人信息的处理活动是否在中国境内。GDPR和个保法均具有域外效力,且域外适用情形较为统一。我们建议,在处理涉及中国和欧盟个人数据时,应当充分关注两部法律属地管辖方面的差异性。另外,鉴于GDPR为欧盟通用法则,各成员国仍可进一步制定法律,相当于GDPR的实施细则。因此,在关注GDPR的同时也要对相应欧盟国家是否已经制定GDPR相关国内法及其规定内容有所了解。


二、个人数据及敏感数据


GDPR:依据GDPR第四条之规定,个人数据是指已识别或可被识别的自然人的任何信息。包括姓名、身份表示、位置数据、网上身份识别数据,或与该个人生理、遗传、精神、经济、文化或者社会身份相关的一个或者多个要素。但是不包括匿名化处理的个人数据以及已故人士的数据。GDPR规定的敏感个人数据包括揭露种族或民族起源的数据、政治观点、宗教或哲学信仰、工会会员身份、基因数据、生物特征数据、健康数据、性生活、性取向数据、刑事定罪与犯罪有关的个人数据以及不满16岁儿童(各成员国可以调整年龄,但不得低于13岁)的个人数据。


个保法:依据个保法第四条之规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。依据《民法典》第一千零三十四条规定,个人信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个保法第二十八条规定了敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。


律师解读:GDPR和个保法均规定匿名化处理后的数据不属于法律保护的个人数据。所谓匿名化,即任何人均不能以任何方法确定与数据有关的主体是谁。但GDPR和个保法关于个人数据及其范围的规定仍存在差异。例如死者个人数据不受GDPR保护,但我国个保法第四十九条对死者个人信息保护作出了规定。GDPR和个保法对于敏感个人数据范围的规定也不相同,种族、民族、政治观点、工会会员身份等被视为GDPR下的敏感数据,而非个保法下的敏感数据。金融账户和行踪轨迹等被视为个保法下的敏感数据,而非GDPR下的敏感数据。GDPR和个保法关于未成年人个人敏感数据的年龄规定也不相同。我们建议,在处理涉及中国和欧盟个人数据时,应当充分了解两部法律关于个人数据保护的范围,特别是敏感个人数据的范围。这直接关系到数据处理的规则要求及可能承担的合规责任。


三、相关主体


GDPR:在GDPR下涉及个人数据处理的相关主体包括数据主体、数据控制者、数据处理者、具有数据保护法律和实践专业知识的人员(DPO)、监管机构、接收者和第三方。数据主体即数据可识别的自然人;数据控制者即单独或者共同决定个人数据处理目的与方式的组织或个人;数据处理者即代表数据控制者处理个人数据的组织或个人;DPO即由数据控制者或者处理者任命,监督控制者或者处理者遵守GDPR情况等的数据保护专业人员;监管机构由各成员国设立,通常被称为“数据保护局(DPA)”;接收者即向其披露个人数据的组织或个人;第三方即上述主体之外的组织或个人。


个保法:个保法规定的涉及个人数据处理的相关主体包括数据主体、个人信息处理者、受托人、个人信息保护负责人、履行个人信息保护职责的部门。数据主体即信息可识别的自然人;个人信息处理者即在个人信息处理活动中自主决定处理目的、处理方式的组织或个人;受托人即按照与个人信息处理者约定的目的和方式处理个人信息的组织或个人;个人信息保护负责人即由处理个人信息达到国家网信部门规定数量的个人信息处理者指定的负责对个人信息处理活动以及采取的保护措施等进行监督的专业人员;履行个人信息保护职责的部门即国家网信部门和国务院、县级以上地方人民政府履行个人信息保护和监督管理工作的部门。


律师解读:GDPR规定的控制者和处理者分别对应我国个保法规定的个人信息处理者和受托人。在个人数据处理活动中控制者(个人信息处理者)与处理者(受托人)所承担责任不同,在涉及中国和欧盟个人数据处理时,由于两部法律规定名称不同,需要企业加以区分并明确主体身份及法定责任。个保法主要规定了个人信息处理者的责任,而GDPR第四章对控制者和处理者分别规定了严格的责任。两部法律都有关于数据保护负责人(DPO、个人信息保护负责人)的设立要求,但GDPR关于DPO的指定、条件、地位、责任等的系统规定确实反映了DPO在欧盟个人数据处理活动中的重要地位,企业应当对DPO的设立给予必要关注,特别是强制指定DPO的情形。另外,对于未在欧盟设立机构的企业,如果面向欧盟境内的数据主体提供商品或者服务,或监控欧盟境内数据主体的行为,应当通过书面形式在欧盟境内任命一名代表,作为企业与当地数据保护监管机构的联络。


四、数据主体权利


GDPR:依据GDPR第三章之规定,数据主体享有知情权、访问权、更正权、删除权(被遗忘的权利)、限制处理权、数据携带权、反对权、申诉和申请法律救济权。


个保法:依据个保法第四章之规定,数据主体享有知情权、决定权、限制或者拒绝处理权、查阅复制权、更正补充权、删除权、说明请求权、近亲属对死者个人信息的权利以及法律救济的权利等。


律师解读:以专章规定数据主体的权利,是很多国家普遍采用的立法模式,旨在有效实现对个人数据权益的保护。GDPR和个保法规定数据主体权利类型较为统一,但权利内容仍存在差异,应予以关注。另外,需要注意的是死者个人信息不受GDPR的保护,但我国个保法规定了死者近亲属对死者个人信息可以行使的权利类型。


五、数据处理原则


GDPR:GDPR规定数据处理是指对个人数据或个人数据集上进行的一个或者一系列操作,不论是否采用自动化方法,包括收集、记录、组织、结构化、储存、适配或更改、检索、查询、使用、通过传送、传播或以其他方式提供、校正或组合、限制、删除或销毁。处理个人数据要遵循合法、公平、透明原则、目的限制原则、数据最小化原则、准确性原则、存储限制原则、完整性和保密性原则、可问责原则。


个保法:个保法规定个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。处理个人信息要遵循合法、正当、必要和诚信原则、目的限制原则、公开、透明原则、质量原则以及责任与安全原则。


律师解读:GDPR和个保法对数据处理行为类型的列举上存在差异,这实质上是立法技术问题。个人数据处理活动类型十分多样化,无法实现穷尽式列举。我国个保法在立法时进行了选择,对相对重要的处理活动明确列举,对非典型的处理活动用“等”字予以概括。我们认为综合两部法律列举的操作均应纳入企业个人数据处理的合规考量范畴之内。且对个人数据进行处理必须遵循数据处理的基本原则,无论处理行为是否采用自动化方式。GDPR下的目的限制原则和数据最小化原则,在个保法下统称为目的限制原则,要求处理个人数据应当具有具体、明确、合法的目的,不得以与初始目的不符的方式做更进一步的处理,且应采取对个人权益影响最小的方式,收集的个人数据应当限于实现处理目的的最小范围。存储限制原则要求对个人数据的存储不得超过特定用途所需要的时长。与GDPR不同,个保法未将存储限制单独作为原则予以规定,但个保法在数据主体删除权中做了类似规定。两种不同的立法设计,GDPR更强调企业的主动遵循。GDPR下的准确性、完整性原则被个保法以质量原则概括规定。两个法系下的责任原则则确定了相对不同的责任体系,GDPR下控制者和处理者都是数据处理的责任承担者,而个保法下个人信息处理者为首要责任主体。


六、数据处理的合法正当理由


GDPR:依据GDPR第二章第六条规定,个人数据处理应当至少满足以下一种情形,方可视为具备合法正当性:(1)数据主体同意;(2)为履行数据主体为当事方的合同;(3)为履行控制者法定义务所必须;(4)为公共利益或行使政府授予的权力的情况执行任务所必需;(5)为追求数据控制者或第三方的合理利益所必需,但不得损害数据主体的利益;(6)为了保护数据主体或者其他自然人的至关重要的利益。


个保法:个保法第十三条规定符合下列情形之一的,个人信息处理者方可处理个人信息:(1)取得个人的同意;(2)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(3)为履行法定职责或者法定义务所必需;(4)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(5)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(6)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(7)法律、行政法规规定的其他情形。依照个保法其他有关规定,处理个人信息应当取得个人同意,但是有上述第(2)至第(7)种情形的,不需取得个人同意。


律师解读:本质上而言,个人数据权益是自然人的一项基本权利。因此,对于个人数据的保护需要具备合法而正当的理由,以保证个人数据权益不受非法侵害。立足于GDPR和个保法,合法正当理由有二:一是数据主体的同意;二是基于法定的理由。数据主体的知情同意是对个人数据进行处理的一项独立适用的合法理由。除非有法定的其他正当理由,否则未经数据主体同意的数据处理活动都将被认定为违规行为,将承担相应违规责任以及对数据主体的侵权责任。处理未成年人个人数据应征得其监护人的同意。关于法定理由,原则上又可分为三种情况:第一,基于数据主体作为一方当事人的合同履行;第二,基于履行法定职责、法定义务或者公共利益;第三,基于控制者、第三方合法利益。总体而言,基于前两种法定理由,原则上无需数据主体同意,但仍需遵循合理必要等原则。如果基于第三种可能仍需对处理的紧急性、必要性等因素予以评估,或仍需取得数据主体的同意。例如在GDPR下,数据控制者处于经营需要继续处理个人数据的,可能仍需获得同意。数据主体也可通过行使反对权阻却对其个人数据的处理。


结语


本文从适用范围、个人数据及敏感数据、数据处理涉及的各方主体、数据主体权利、数据处理及其原则以及数据处理的合法正当理由六个方面对GDPR和个保法关于个人数据保护的规定进行了对比解读。下篇将从数据自动化决策、数据保护影响评估、数据泄露通知、数据跨境传输以及法律责任五个方面进行解读。


【参考资料】

[1] 程啸:《个人信息保护法理解与适用》,中国法制出版社,2021年9月第1版。


[2] 《中华人民共和国个人信息保护法》


[3] 欧盟《通用数据保护条例》(GDPR)