中国《个人隐私信息保护法》与欧盟《数据保护通用规定》五大基础概念比较(CN-EN)

  原标题：中国《个人隐私信息保护法》与欧盟《数据保护通用规定》五大基础概念比较(CN-EN)

  中国《个人隐私信息保护法》（下称《个信法》）已经颁布，将于2021年11月1日生效。可以料定，中国社会中的个人隐私信息处理活动（本文提到这个概念，是指受《个信法》管辖的个人隐私信息处理活动。下同），将会出现一段由乱入治的过程。

  鉴于中欧经济交流的深度与广度，对于两部法规进行比较研读，对于机构，特别是有跨境业务的企业和其它私人机构，建立同时满足两部法律要求的组织架构及制度，十分有益。

  欧盟：保护个人数据相关自由和权利，但不得因此限制或禁止欧盟范围内的信息自由流动（第1（2）（3）条）。

  个人隐私信息保护法的必要性，是随着电子信息产业的大发展而日益显现出来的。由于信息产业的发达，处理个人隐私信息的规模、速度及对个人生活的影响与此前的时代大相迳庭，不可同日而语。但是个人隐私信息的使用又是数字化经济环境下许多经济活动的基础。因此，中欧法律都同样强调了两者的平衡。

  欧盟：个人数据是与已识别或者可识别的自然人有关的各种信息（第 4（1））。

  《个信法》使用个人隐私信息一词，GDPR使用个人数据一词，但两者的内涵并无实质区别。

  《个信法》强调，匿名化后的信息就不属于个人信息（第四条）。这只是对“与已识别或者可识别的自然人有关”这一点的进一步阐述，并未缩小个人信息概念的外延。

  《个信法》还强调，是否以电子方式记录，不是定义个人信息的要件（第四条）。GDPR则规定，只要个人数据进入文档系统，便属于个人数据，无论该文档系统是否是自动化的（第2（1）条）。鉴于自动化的文档系统只能是电子的，而在电子文档系统中存在的信息只能是电子方式记录的，所以，在这一点上，两部法律表述方法不一样，但效果是一样的。

  中国：个人隐私信息处理者是指在个人信息处理活动中自主决定个人信息的收集、存储、使用、加工、传输、提供、公开、删除等处理目的、解决方法的组织、个人（第四条二款，七十三条一款一项）。

  欧盟：数据控制者是指独自或联合决定数据处理目的和方式的个人或法人、公共当局、机构或其它组织（第4（7）条第一句）；数据处理者是指代表数据控制者收集、记录、组织、建构、存储、改编或改变、取回、咨询、使用、披露、校准或合并、限制、删除或拆解数据的个人或法人、公共当局、机构或其它组织（第4（2），（8）条）。

  《个信法》中只有“处理者”，而没有“控制者”。但是，《个信法》中的处理者是能决定处理目的和解决方法的个人或组织，因此应该理解为包含了欧盟法意义上的控制者，因为只有控制者才能决定处理的目的以及方式。

  另一方面，因为即使是狭义意义上的处理者，比如提供数据处理服务的独立第三方，虽然在处理目的上不能自主，但在数据处理方式上必然有某种范围的自主权，比如存储服务器设于何处，服务器如何加密，采用光纤还是电缆传输等，否则就不成其为独立第三方，而是控制者的关联公司了。

  因此，《个信法》中的个人隐私信息处理者也包含欧盟法意义上的处理者。总之，《个信法》上的个人信息处理者的范围，与GDPR的“控制者+处理者”的范围，并没有实质区别。

  中国：在中国境内进行的个人信息处理活动，受管辖（第三条一款）。在中国境外进行的处理中国境内自然人个人信息的活动，如果该活动是以向中国境内自然人提供产品或服务为目的，或该活动是在分析、评估中国境内自然人的行为，或有法律和法规规定的别的情形，也受管辖（第三条二款）。

  欧盟：由欧盟境内的信息控制人或处理人的机构进行的数据处理活动受管辖，无论处理活动是否发生在欧盟境内（第3（1）条）。设立的在欧盟境外的信息控制人或处理人进行的数据处理活动，如果该活动是为了向欧盟境内的数据主体提供产品或服务，或该活动是为了监控欧盟境内发生的行为，也受管辖（第3（2）条）。

  显然，在信息主体（可能的受害者）所在地这一判断依据，中欧两部法律在实际效果上是一致的。

  值得辨析的是中国“在境内进行的处理活动”与欧盟“境内控制人或处理人的机构进行的活动”两者的不同。因为问题较为复杂，所以我们举个例子来测试这样的一个问题：假定，一家境内公司的境外机构处理有关境外人的信息，事情如何？

  第一种，当境外机构的行为是独立的，比如境外机构为境外第三方提供信息处理服务。此时，按PIPL的规定，因活动不在中国境内，故不适用。但在GDPR来看，答案就不明确。有的认为GDPR不适用，因为此时境内公司既非处理人，也不是控制人。但笔者曾服务的一家欧盟公司总部的信息安全专员认为适用GDPR，故其要求其中国子公司要遵守GDPR，尽管其中国公司中没有欧盟人的个人信息。

  第二种，当境外机构的行为受境内机构某种范围的控制。此时，在GDPR来看，是明确有管辖权的，因为属于欧盟境内控制人的机构从事的活动。但在PIPL似乎就可以争议。因为，比如中国总部要求境外机构贯彻某种技术标准或服务标准，是不是PIPL定义的“自主决定解决方法”？答案尚不确定。

  要提醒的是，信息控制人或处理人的“机构”，GDPR英文版的表述“establishment”不能理解为是一个公司，甚至不能理解为一个办公室。法律形式并不是标准。一个聘请的顾问，也可构成establishment。

  中国：个人隐私信息处理者应当采取必要措施，保障境外接收方处理个人隐私信息的活动达到本法规定的个人信息保护标准（第三十八条3款）。

  欧盟：个人数据控制人或处理人只有在采取了恰当保障措施，并且以数据主体的权利可以执行和法律救济途径能够得到为前提，除非欧盟已经认定第三国的保护水平足够。任何有关向境外传输个人数据的规定都应保障GDPR的保障水平没有削弱（第44、46（1）条）。

  尽管法律为向境外传输个人隐私信息设置了很多要求，如果境外接收人在得到数据后不执行怎么办？中欧两国法律都对其境内数据控制者、处理者赋予了“保障”义务。

  这实际上一种原因是要求境内机构审慎地审查境外接收方的保护理念、方法、能力等，另一方面是要求境内机构应当通过协议等工具对境外接收方加以控制，以便在发生侵害个人隐私信息权时，个人信息主体、境内机构能够最终靠适当的途径寻求救济，比如依据协议对境外机构提起诉讼。

  当然，没有履行“保障”义务的境内机构，根据情节不同，可能会受到行政处罚。在中国境内的责任人，也有一定的可能被追究刑事责任。

  个人信息保护合规问题，对于信息处理者，尤其是企业来说，是一个需要从治理层面上着重关注的问题：企业应该依据法律要求在内部设置合适的个人隐私信息保护机构，投入充足的资金建设信息保护基础设施并对人员提供足够的培训，同时制订适当的规章制度，确保员工的职务行为合乎法律要求。