個人信息保護法（草案）與GDPR差異的全面解讀！

2020年10月21日，全國人大法工委公開就《中華人民共和國個人信息保護法（草案）》（以下簡稱"草案"）征求意見，通觀草案的內(nèi)容可以發(fā)現(xiàn)，其借鑒了GDPR的諸多優(yōu)秀做法，甚至有人認為草案就是減縮版的GDPR，但鑒于中國本身的國情，草案還是體現(xiàn)很多中國特色的內(nèi)容，我們在前兩期的推文中和大家介紹了一些二者存在的差異，今天我們將繼續(xù)分享剩余的部分。

處理者義務(wù)的差異

GDPR 對個人信息的控制者與處理者的責(zé)任分別有相當(dāng)詳細的規(guī)定，并且規(guī)定了個人信息控制者與處理者需實施個人信息保護影響評估和設(shè)立數(shù)據(jù)保護官等特別的要求。

草案沒有對個人信息處理過程中涉及的處理者進行角色的劃分，即沒有區(qū)分控制者與處理者，統(tǒng)一稱為"個人信息處理者"。同時，對任命數(shù)據(jù)保護官并沒有強制要求，只提到對于"處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)指定個人信息保護負責(zé)人"（第51條）。

跨境傳輸?shù)牟町?br />
GDPR 對個人信息的跨境傳輸設(shè)定了三種合規(guī)情形：基于歐盟委員會決議設(shè)立的正面國家清單、傳輸數(shù)據(jù)的組織為個人數(shù)據(jù)跨境傳輸建立具法律效力的個人信息保護規(guī)則、傳輸數(shù)據(jù)的組織為個人數(shù)據(jù)跨境傳輸提供了切實有效的保護措施，其核心是保障個人信息的保障程度不會因跨境傳輸而削弱。

草案對個人信息的跨境傳輸?shù)墓芾砼cGDPR的差異較大。分兩種情況進行了管理：一種是被定義為關(guān)鍵基礎(chǔ)設(shè)施的運營者或處理個人信息達到了國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者；第二種為一般的個人信息處理者，即除去第一種情況之外的其他個人信息處理者。

第一種情況，個人信息必須存儲在境內(nèi)，數(shù)據(jù)跨境傳輸需要通過國家網(wǎng)信部門的安全評估才可實施。

第二種情況，可采取如下三種合規(guī)情形的任一種即可，分別為：

1）通過國家網(wǎng)信部門的安全評估；
2）通過專業(yè)機構(gòu)的個人信息保護認證；
3）與境外接收方訂立合同，約定了雙方的權(quán)利和義務(wù)，并監(jiān)督個人信息處理活動達到草案的保護標(biāo)準（同GDPR第二種情形）。
其核心體現(xiàn)的是保障國家和整體人民的利益不受到損害，同時兼顧個人的權(quán)益。

罰則方面的差異

GDPR 違規(guī)處罰方面分兩種情況規(guī)定了處罰尺度：

1）一般性違規(guī)且拒不改正的，一千萬歐元或上一財年全球總營業(yè)額2%；
2）情節(jié)嚴重且拒不改正，二千萬歐元或上一財年全球總營業(yè)額4%。

草案在違規(guī)處罰方面也分兩種情況規(guī)定了處罰尺度，但程度有所不同：

1）一般情節(jié)拒不改正的，處100萬元以下罰款；直接負責(zé)的主管人員和其他直接責(zé)任人員處1萬以上10萬以下罰款；

2）情節(jié)嚴重且拒不改正，5000萬元以下或上一年度營業(yè)額5%以下罰款，并可暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷業(yè)務(wù)許可或者吊銷營業(yè)資格；直接負責(zé)的主管人員和其他直接責(zé)任人員處10萬以上100萬以下罰款。

可以看出，草案相對GDPR在違規(guī)處罰方面，體現(xiàn)的是"輕的更輕，重的更重"。

個人信息保護法（草案）正式出臺后，隨之而來的相應(yīng)監(jiān)管將快速實施，企業(yè)加強個人信息保護已是大勢，與大數(shù)據(jù)利用之間的關(guān)系如何平衡、如何適應(yīng)法律合規(guī)經(jīng)營將成為關(guān)鍵。

1. 對法規(guī)進行系統(tǒng)培訓(xùn)

個人信息保護法（草案）借鑒了GDPR的諸多優(yōu)秀做法，明確了個人信息的定義及處理原則，并對自動化決策、跨境流動等熱點話題進行回應(yīng)。企業(yè)可以針對該法規(guī)進行系統(tǒng)培訓(xùn)，了解法規(guī)的具體要求。

2. 差異化分析，了解自身存在的風(fēng)險

雖然個人信息保護法（草案）與GDPR有相同之處，但鑒于中國本身的國情，草案還是體現(xiàn)很多中國特色的內(nèi)容，針對目前的現(xiàn)狀，建議企業(yè)提早了解隱私現(xiàn)狀，提前做好風(fēng)險管控，提升企業(yè)的隱私信息管理水平，做到有備無患。

3. 完善體系建立，加強企業(yè)內(nèi)部管理

ISO/IEC27701隱私信息管理體系是現(xiàn)階段企業(yè)可選的一個很好的隱私管理解決方案，企業(yè)通過該體系的學(xué)習(xí)能夠更有效的提高內(nèi)部管理效率。

4. 個人信息保護法（草案）與GDPR相互融合

與GDPR相比，個人信息保護法（草案）中有關(guān)自動化決策的內(nèi)容對個人信息處理者提出了更高的要求，因此對于跨國企業(yè)來說，如何將二者相互融合是當(dāng)前應(yīng)解決的問題。

關(guān)于SGS

SGS作為國際公認的檢驗、鑒定、測試和認證機構(gòu)，是公認的質(zhì)量和誠信的全球基準，憑借專業(yè)的技術(shù)能力和豐富的審核經(jīng)驗，積極推動企業(yè)管理績效改善。SGS在IT信息安全領(lǐng)域解決方案范圍廣泛，致力于為各行業(yè)機構(gòu)提供全方位管理提升服務(wù)，包括：

1. ISO/IEC20000 IT服務(wù)管理體系
2. ISO/IEC27001 信息安全管理體系
3. ISO/IEC27701 隱私信息管理體系
4. ISO/IEC29151 個人信息保護的行為準則
5. CSA STAR 云安全聯(lián)盟云安全評估認證
6. ISO/IEC27017 云服務(wù)信息安全規(guī)范
7. ISO/IEC27018 公共云個人信息（PII）處理者的信息安全控制規(guī)范
8. ISO22301 業(yè)務(wù)連續(xù)性管理體系
9. GDPR 個人信息保護法
10. 法規(guī)培訓(xùn)
11. 差距分析
12. 定制化服務(wù)