在上期數(shù)據(jù)隱私和匿名化系列文章中�,我們主要分享了《中國(guó)個(gè)人信息保護(hù)法》(PIPL)和《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR)在涵蓋范圍、定義��、敏感信息等方面的異同點(diǎn)����,今天,我們將重點(diǎn)分析PIPL與GDPR在數(shù)據(jù)處理行為及其基礎(chǔ)合法性方面的異同����,旨在幫助車(chē)企更準(zhǔn)確地把握數(shù)據(jù)隱私保護(hù)法規(guī)的要求,有效應(yīng)對(duì)相關(guān)挑戰(zhàn)����,推動(dòng)自動(dòng)駕駛行業(yè)健康發(fā)展���。
一、PIPL和GDPR的異同點(diǎn)
1��、數(shù)據(jù)處理行為定義
兩部法規(guī)(PIPL和GDPR)均明確界定了不同的數(shù)據(jù)處理行為,這些行為將觸發(fā)各自法規(guī)的管理范疇����。此處所提及的信息,已不再局限于敏感信息�,而是涵蓋了兩部法規(guī)所規(guī)定的所有相關(guān)信息。
在英文版的PIPL中�,數(shù)據(jù)處理行為被表述為“Handling",而GDPR則使用“Processing"一詞�,兩者在本質(zhì)上并無(wú)區(qū)別��。然而�����,在數(shù)據(jù)處理行為的定義上,兩部法規(guī)卻存在些許差異���。
PIPL中的“Handling"涵蓋了收集����、存儲(chǔ)��、使用�、加工、傳輸��、披露以及刪除個(gè)人信息等一系列行為�����。相較于PIPL����,GDPR關(guān)于數(shù)據(jù)處理行為的定義則更為詳盡,除了包含上述相同的行為外��,還涉及到了個(gè)人數(shù)據(jù)的檢索���、咨詢等多個(gè)方面��。
但實(shí)際上���,當(dāng)我們深入探討PIPL中定義的數(shù)據(jù)處理行為時(shí)�����,相關(guān)法律專(zhuān)家指出:“在中國(guó)境內(nèi)處理個(gè)人信息時(shí)�,GDPR所涵蓋的任何數(shù)據(jù)行為都需要被納入考慮范圍���,即使PIPL并未列舉出所有要點(diǎn)�����。"
由此可見(jiàn)�����,在各自司法管轄區(qū)域內(nèi)處理相關(guān)數(shù)據(jù)時(shí)����,任何數(shù)據(jù)處理行為都將受到該區(qū)域法律條例的約束����。
2、數(shù)據(jù)處理基礎(chǔ)合法性
為了進(jìn)一步對(duì)比數(shù)據(jù)處理行為的異同�,我們?cè)诖肆信e了中國(guó)的《個(gè)人信息保護(hù)法》(PIPL)與歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)在數(shù)據(jù)處理基礎(chǔ)合法性方面的相關(guān)規(guī)定。
“同意"(Consent)是指數(shù)據(jù)主體明確授權(quán)或表示同意其個(gè)人數(shù)據(jù)被處理的行為���。這種同意必須是建立在充分知情的基礎(chǔ)上�����,且必須是明確且自愿給出的��。
除了“同意"這一點(diǎn)外����,我們重點(diǎn)關(guān)注兩部法律在合法利益(Legitimate Interest)和公共利益(政府任務(wù))(Public Interest/Government Task)方面的差異����。實(shí)際上�����,PIPL在這兩點(diǎn)上并未作出明確規(guī)定���,這主要?dú)w因于中國(guó)和歐洲在法律及監(jiān)管環(huán)境上的差異。
首先在合法利益這一點(diǎn)上���,GDPR作為歐洲地區(qū)的人權(quán)保護(hù)框架���,旨在平衡企業(yè)與個(gè)人之間的權(quán)益,為企業(yè)提供一定的靈活性��,允許其在沒(méi)有明確同意的情況下處理個(gè)人數(shù)據(jù)�,從而在一定程度上增強(qiáng)了企業(yè)的自主權(quán)。相比之下�����,PIPL更加強(qiáng)調(diào)對(duì)個(gè)人信息的嚴(yán)格控制�����。在處理個(gè)人數(shù)據(jù)時(shí)�����,PIPL要求必須獲得明確的授權(quán)或依據(jù)法律規(guī)定進(jìn)行,更傾向于通過(guò)明確同意或法律規(guī)定來(lái)實(shí)施嚴(yán)格監(jiān)管����。
其次在公共利益方面�,兩部法律對(duì)公共事務(wù)和政府職責(zé)的界定存在差異。GDPR在確保公共機(jī)構(gòu)履行任務(wù)時(shí)賦予了更大的靈活性��,而PIPL則通過(guò)其他法律條款來(lái)規(guī)范政府的處理權(quán)限����,更加側(cè)重于信息透明性和數(shù)據(jù)主體的保護(hù)。
二����、信息跨境處理注意事項(xiàng)
在跨境處理信息的過(guò)程中,除了需遵循《個(gè)人信息保護(hù)法》(PIPL)和《通用數(shù)據(jù)保護(hù)條例》(GDPR)這兩部基礎(chǔ)法律的規(guī)定外��,還需執(zhí)行一系列嚴(yán)格的安全評(píng)估措施��。
以中國(guó)車(chē)企為例�����,若需將歐盟境內(nèi)的數(shù)據(jù)傳輸回中國(guó)進(jìn)行處理,必須確保該跨境數(shù)據(jù)傳輸符合GDPR的嚴(yán)格要求���。
GDPR對(duì)向歐盟外傳輸數(shù)據(jù)有著明確的規(guī)范�����,要求必須依賴標(biāo)準(zhǔn)合同條款(SCCs)或充分性決定(Adequacy Decision)來(lái)確保數(shù)據(jù)的合法傳輸���。特別是當(dāng)涉及敏感個(gè)人信息處理時(shí),如位置數(shù)據(jù)����、行為數(shù)據(jù)以及測(cè)繪數(shù)據(jù)等,企業(yè)可能還需進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估(DPIA)�����,以全面評(píng)估數(shù)據(jù)處理的合法性��、必要性和風(fēng)險(xiǎn)性����。
值得注意的是�����,由于歐盟目前尚未對(duì)中國(guó)作出充分性決定���,因此中國(guó)企業(yè)在向歐盟外傳輸數(shù)據(jù)時(shí),可能需要與相關(guān)方簽訂標(biāo)準(zhǔn)合同條款(SCCs)來(lái)確保數(shù)據(jù)傳輸?shù)暮戏ㄐ浴?/p>
總之���,在跨境傳輸過(guò)程中,為降低數(shù)據(jù)泄露或不當(dāng)使用的風(fēng)險(xiǎn)���,企業(yè)需對(duì)敏感數(shù)據(jù)進(jìn)行加密或匿名化處理���。
關(guān)注微信