3.15晚會直擊隱私安全，個人信息保護刻不容緩

今年的央視"3·15"晚會，隱私保護成了最大"亮點"。進一步喚醒了消費者的安全意識，同時也給企業敲響了法律的警鐘：隱私，不僅是消費者維權的底線，更是法律的紅線。

近兩年，我國多個部委密集制定、頒布、出臺了一系列隱私安全和隱私保護相關法律法規，其中，中國首部個人信息保護法規——《個人信息保護法（草案）》迎來了序幕。

SGS技術專家第一時間，針對《個人信息保護法（草案）》與GDPR作出差異化分析比較。小編在上次九大差異化系列推文已經給大家分享了立法背景的差異（點擊查看詳情）。下面，我們來看看還有哪些要點變化：

立法重點的差異

GDPR

盡管草案與GDPR都同時強調了維護自然人權利和保障個人信息自由流通兩者之間的平衡。但從法規內容來看兩者還是有些差異。
GDPR更側重于維護自然人的權利。首先歸納和定義出自然人在個人信息處理中應享有和被維護的權益，然后在此基礎上保障個人信息的自由流通。

草案

草案在定義自然人的權利之初，就已經照顧或考慮到避免影響個人信息的自由流通，從理念上來講更側重于維護代表所有人利益的個人信息使用的情況。
這與中國當前的國情是有關的，根據中國互聯網絡信息中心發布的《中國互聯網絡發展狀況統計報告》，截止2020年12月，中國當前的網民數量為9.89億人，約占世界網民總量的五分之一，互聯網普及率達到了70.4%，其中網民增長最快的就是農村地區。因此，個人信息的自由流通對于實現廣大農村地區實現徹底脫貧所起到的作用是不容小覷的。

執法機制的差異

GDPR

GDPR為了保證在歐盟區域內實現執法的一致性，要求在各成員國內設立專門的數據保護署，統一執法。
同時，對于有爭議的執法行為，在歐盟層面GDPR也設定了相應的投票表決機制，極大地避免在歐盟區域內，各成員國之間因主權意識而帶來的較大的執法差異。

草案

草案盡管提出了國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作，但是，仍然延續了之前中國大陸境內對涉及信息安全方面執法的慣性，即國家各個職能部門對各自職責范圍內的行業領域進行個人信息處理違規活動行使執法權力，屬于分而治之。

主要是基于兩方面的考慮：

打破原有執行慣性會造成法規要求在執行過程中難于施行，而且新設立的數據保護部門并不了解各個行業的特點，反而會造成執法過程的偏差；
盡管屬于分而治之，但仍處于同一主權國家管制之下，便于溝通協調，不會造成執法的不一致性。

處理原則的差異

GDPR

GDPR提出了個人信息處理的六大原則，包括：合法，公正，透明、目的限制、數據最小化、準確性、存儲限制和完整性和機密性。

草案

草案在GDPR六大處理原則的基礎上增加了合作治理原則（第12條）。強調在個人信息處理的規則方面，加強國際合作交流的必要性，提出了推動在國家、地區、國際組織之間建立個人信息保護規則、標準等互認的意愿，體現中國大陸在個人信息處理方面極大的開放性。

個人信息的定義

GDPR

GDPR對個人信息的定義：是指任何涉及一個已識別或可識別自然人的信息。

草案

草案對個人信息的定義：是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。草案對個人信息的處理做了進一步的明確，包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。

從上可以看出，草案將GDPR實踐中頗具爭議的匿名化后信息的歸屬問題，在此做了清晰的劃分，即不屬于個人信息，對其處理已不屬于個人信息處理需要規范的范疇。

自然人權利的差異

GDPR

GDPR定義了自然人在涉及個人信息方面享有的八項權利，主要包括知情權、訪問權、糾正權、刪除權、限用權、可攜權、拒絕權、決定權。

草案

草案中明確定義了自然人在涉及個人信息方面享有的權利，包括知情權（第44條）、訪問權（第45條）、糾正權（第46條）、刪除權（第47條）、限用權（第44條）、拒絕權（第44條和第25條）、決定權（第44條）。但草案中沒有定義可攜權（Right to data portability）。

以上，是9大差異分析中的第2-6個要點解讀，后續的3大要點分析敬請期待。

SGS為助力企業合規的做好隱私信息安全管理，將在北京、上海開啟ISO/IEC 27701 隱私信息管理體系內審員培訓課程，帶領學員在國內國際規范、標準和法律法規要求下學習隱私信息管理體系審核所需的知識和技巧，助力企業及個人增強隱私信息管理能力，有效應對不同司法管轄區的法規和監管要求。

課程詳情

課程天數：2天
課程排期：3月25-26日（北京）、4月15-16日（上海）

適用人員：
政府部門信息管理官員
企業高級管理層（CEO、CIO、CSO等）
DPO
企業的IT經理
系統/網絡/應用管理人員
信息安全管理人員
從事認證體系管理和維護的人員
IT審計及內部審核員
從事信息安全管理咨詢的顧問
意愿全面了解隱私信息管理的人員以及所有欲將ISO/IEC 27701引入組織的人員

課程大綱：
ISO/IEC 27701:2019標準的框架結構以及與相關標準的關系介紹
ISO/IEC 27701:2019標準正文講解
ISO/IEC 27701:2019標準附錄講解
PIMS相關的數據處理原則和數據主體權利講解
風險評估工具和方法
隱私信息管理體系的過程方法
認可、認證和審核相關知識
審核技巧
審核的計劃、準備和執行

課程收益：
本培訓課程匯集了SGS全球頂尖的信息安全專家與主任審核團隊的實戰經驗，通過學習該課程：
能了解和掌握ISO/IEC 27701國際標準的要求
熟悉如何建立完整的PIMS
并掌握批PIMS內部審核的實踐方法和技巧
實踐如何領導一個團隊進行隱私信息管理體系執行審核
具備PIMS內部審核員的基本技能

課程證書：學員成功完成本課程可獲SGS頒發的培訓證書。

課程費用：提交報名信息后，客服代表將為您提供課程價格。

課程報名：請點擊鏈接