個(gè)人信息保護(hù)法（草案）與GDPR差異的全面解讀！

2020年10月21日，全國(guó)人大法工委公開(kāi)就《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）》（以下簡(jiǎn)稱(chēng)"草案"）征求意見(jiàn)，通觀草案的內(nèi)容可以發(fā)現(xiàn)，其借鑒了GDPR的諸多優(yōu)秀做法，甚至有人認(rèn)為草案就是減縮版的GDPR，但鑒于中國(guó)本身的國(guó)情，草案還是體現(xiàn)很多中國(guó)特色的內(nèi)容，我們?cè)谇皟善诘耐莆闹泻痛蠹医榻B了一些二者存在的差異，今天我們將繼續(xù)分享剩余的部分。

處理者義務(wù)的差異

GDPR 對(duì)個(gè)人信息的控制者與處理者的責(zé)任分別有相當(dāng)詳細(xì)的規(guī)定，并且規(guī)定了個(gè)人信息控制者與處理者需實(shí)施個(gè)人信息保護(hù)影響評(píng)估和設(shè)立數(shù)據(jù)保護(hù)官等特別的要求。

草案沒(méi)有對(duì)個(gè)人信息處理過(guò)程中涉及的處理者進(jìn)行角色的劃分，即沒(méi)有區(qū)分控制者與處理者，統(tǒng)一稱(chēng)為"個(gè)人信息處理者"。同時(shí)，對(duì)任命數(shù)據(jù)保護(hù)官并沒(méi)有強(qiáng)制要求，只提到對(duì)于"處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)指定個(gè)人信息保護(hù)負(fù)責(zé)人"（第51條）。

跨境傳輸?shù)牟町?br />
GDPR 對(duì)個(gè)人信息的跨境傳輸設(shè)定了三種合規(guī)情形：基于歐盟委員會(huì)決議設(shè)立的正面國(guó)家清單、傳輸數(shù)據(jù)的組織為個(gè)人數(shù)據(jù)跨境傳輸建立具法律效力的個(gè)人信息保護(hù)規(guī)則、傳輸數(shù)據(jù)的組織為個(gè)人數(shù)據(jù)跨境傳輸提供了切實(shí)有效的保護(hù)措施，其核心是保障個(gè)人信息的保障程度不會(huì)因跨境傳輸而削弱。

草案對(duì)個(gè)人信息的跨境傳輸?shù)墓芾砼cGDPR的差異較大。分兩種情況進(jìn)行了管理：一種是被定義為關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營(yíng)者或處理個(gè)人信息達(dá)到了國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者；第二種為一般的個(gè)人信息處理者，即除去第一種情況之外的其他個(gè)人信息處理者。

第一種情況，個(gè)人信息必須存儲(chǔ)在境內(nèi)，數(shù)據(jù)跨境傳輸需要通過(guò)國(guó)家網(wǎng)信部門(mén)的安全評(píng)估才可實(shí)施。

第二種情況，可采取如下三種合規(guī)情形的任一種即可，分別為：

1）通過(guò)國(guó)家網(wǎng)信部門(mén)的安全評(píng)估；
2）通過(guò)專(zhuān)業(yè)機(jī)構(gòu)的個(gè)人信息保護(hù)認(rèn)證；
3）與境外接收方訂立合同，約定了雙方的權(quán)利和義務(wù)，并監(jiān)督個(gè)人信息處理活動(dòng)達(dá)到草案的保護(hù)標(biāo)準(zhǔn)（同GDPR第二種情形）。
其核心體現(xiàn)的是保障國(guó)家和整體人民的利益不受到損害，同時(shí)兼顧個(gè)人的權(quán)益。

罰則方面的差異

GDPR 違規(guī)處罰方面分兩種情況規(guī)定了處罰尺度：

1）一般性違規(guī)且拒不改正的，一千萬(wàn)歐元或上一財(cái)年全球總營(yíng)業(yè)額2%；
2）情節(jié)嚴(yán)重且拒不改正，二千萬(wàn)歐元或上一財(cái)年全球總營(yíng)業(yè)額4%。

草案在違規(guī)處罰方面也分兩種情況規(guī)定了處罰尺度，但程度有所不同：

1）一般情節(jié)拒不改正的，處100萬(wàn)元以下罰款；直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處1萬(wàn)以上10萬(wàn)以下罰款；

2）情節(jié)嚴(yán)重且拒不改正，5000萬(wàn)元以下或上一年度營(yíng)業(yè)額5%以下罰款，并可暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)業(yè)務(wù)許可或者吊銷(xiāo)營(yíng)業(yè)資格；直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處10萬(wàn)以上100萬(wàn)以下罰款。

可以看出，草案相對(duì)GDPR在違規(guī)處罰方面，體現(xiàn)的是"輕的更輕，重的更重"。

個(gè)人信息保護(hù)法（草案）正式出臺(tái)后，隨之而來(lái)的相應(yīng)監(jiān)管將快速實(shí)施，企業(yè)加強(qiáng)個(gè)人信息保護(hù)已是大勢(shì)，與大數(shù)據(jù)利用之間的關(guān)系如何平衡、如何適應(yīng)法律合規(guī)經(jīng)營(yíng)將成為關(guān)鍵。

1. 對(duì)法規(guī)進(jìn)行系統(tǒng)培訓(xùn)

個(gè)人信息保護(hù)法（草案）借鑒了GDPR的諸多優(yōu)秀做法，明確了個(gè)人信息的定義及處理原則，并對(duì)自動(dòng)化決策、跨境流動(dòng)等熱點(diǎn)話(huà)題進(jìn)行回應(yīng)。企業(yè)可以針對(duì)該法規(guī)進(jìn)行系統(tǒng)培訓(xùn)，了解法規(guī)的具體要求。

2. 差異化分析，了解自身存在的風(fēng)險(xiǎn)

雖然個(gè)人信息保護(hù)法（草案）與GDPR有相同之處，但鑒于中國(guó)本身的國(guó)情，草案還是體現(xiàn)很多中國(guó)特色的內(nèi)容，針對(duì)目前的現(xiàn)狀，建議企業(yè)提早了解隱私現(xiàn)狀，提前做好風(fēng)險(xiǎn)管控，提升企業(yè)的隱私信息管理水平，做到有備無(wú)患。

3. 完善體系建立，加強(qiáng)企業(yè)內(nèi)部管理

ISO/IEC27701隱私信息管理體系是現(xiàn)階段企業(yè)可選的一個(gè)很好的隱私管理解決方案，企業(yè)通過(guò)該體系的學(xué)習(xí)能夠更有效的提高內(nèi)部管理效率。

4. 個(gè)人信息保護(hù)法（草案）與GDPR相互融合

與GDPR相比，個(gè)人信息保護(hù)法（草案）中有關(guān)自動(dòng)化決策的內(nèi)容對(duì)個(gè)人信息處理者提出了更高的要求，因此對(duì)于跨國(guó)企業(yè)來(lái)說(shuō)，如何將二者相互融合是當(dāng)前應(yīng)解決的問(wèn)題。

關(guān)于SGS

SGS作為國(guó)際公認(rèn)的檢驗(yàn)、鑒定、測(cè)試和認(rèn)證機(jī)構(gòu)，是公認(rèn)的質(zhì)量和誠(chéng)信的全球基準(zhǔn)，憑借專(zhuān)業(yè)的技術(shù)能力和豐富的審核經(jīng)驗(yàn)，積極推動(dòng)企業(yè)管理績(jī)效改善。SGS在IT信息安全領(lǐng)域解決方案范圍廣泛，致力于為各行業(yè)機(jī)構(gòu)提供全方位管理提升服務(wù)，包括：

1. ISO/IEC20000 IT服務(wù)管理體系
2. ISO/IEC27001 信息安全管理體系
3. ISO/IEC27701 隱私信息管理體系
4. ISO/IEC29151 個(gè)人信息保護(hù)的行為準(zhǔn)則
5. CSA STAR 云安全聯(lián)盟云安全評(píng)估認(rèn)證
6. ISO/IEC27017 云服務(wù)信息安全規(guī)范
7. ISO/IEC27018 公共云個(gè)人信息（PII）處理者的信息安全控制規(guī)范
8. ISO22301 業(yè)務(wù)連續(xù)性管理體系
9. GDPR 個(gè)人信息保護(hù)法
10. 法規(guī)培訓(xùn)
11. 差距分析
12. 定制化服務(wù)