康謀分享 | 數(shù)據(jù)隱私和匿名化:PIPL與GDPR下,如何確保數(shù)據(jù)合規(guī)?(二)
在上期數(shù)據(jù)隱私和匿名化系列文章中,我們主要分享了《中國個人信息保護法》(PIPL)和《歐盟通用數(shù)據(jù)保護條例》(GDPR)在涵蓋范圍、定義、敏感信息等方面的異同點,今天,我們將重點分析PIPL與GDPR在數(shù)據(jù)處理行為及其基礎合法性方面的異同,旨在幫助車企更準確地把握數(shù)據(jù)隱私保護法規(guī)的要求,有效應對相關挑戰(zhàn),推動自動駕駛行業(yè)健康發(fā)展。
一、PIPL和GDPR的異同點
1、數(shù)據(jù)處理行為定義
兩部法規(guī)(PIPL和GDPR)均明確界定了不同的數(shù)據(jù)處理行為,這些行為將觸發(fā)各自法規(guī)的管理范疇。此處所提及的信息,已不再局限于敏感信息,而是涵蓋了兩部法規(guī)所規(guī)定的所有相關信息。
在英文版的PIPL中,數(shù)據(jù)處理行為被表述為“Handling”,而GDPR則使用“Processing”一詞,兩者在本質上并無區(qū)別。然而,在數(shù)據(jù)處理行為的定義上,兩部法規(guī)卻存在些許差異。
PIPL中的“Handling”涵蓋了收集、存儲、使用、加工、傳輸、披露以及刪除個人信息等一系列行為。相較于PIPL,GDPR關于數(shù)據(jù)處理行為的定義則更為詳盡,除了包含上述相同的行為外,還涉及到了個人數(shù)據(jù)的檢索、咨詢等多個方面。
但實際上,當我們深入探討PIPL中定義的數(shù)據(jù)處理行為時,相關法律專家指出:“在中國境內處理個人信息時,GDPR所涵蓋的任何數(shù)據(jù)行為都需要被納入考慮范圍,即使PIPL并未列舉出所有要點。”
由此可見,在各自司法管轄區(qū)域內處理相關數(shù)據(jù)時,任何數(shù)據(jù)處理行為都將受到該區(qū)域法律條例的約束。
2、數(shù)據(jù)處理基礎合法性
為了進一步對比數(shù)據(jù)處理行為的異同,我們在此列舉了中國的《個人信息保護法》(PIPL)與歐盟的《通用數(shù)據(jù)保護條例》(GDPR)在數(shù)據(jù)處理基礎合法性方面的相關規(guī)定。
“同意”(Consent)是指數(shù)據(jù)主體明確授權或表示同意其個人數(shù)據(jù)被處理的行為。這種同意必須是建立在充分知情的基礎上,且必須是明確且自愿給出的。
除了“同意”這一點外,我們重點關注兩部法律在合法利益(Legitimate Interest)和公共利益(政府任務)(Public Interest/Government Task)方面的差異。實際上,PIPL在這兩點上并未作出明確規(guī)定,這主要歸因于中國和歐洲在法律及監(jiān)管環(huán)境上的差異。
首先在合法利益這一點上,GDPR作為歐洲地區(qū)的人權保護框架,旨在平衡企業(yè)與個人之間的權益,為企業(yè)提供一定的靈活性,允許其在沒有明確同意的情況下處理個人數(shù)據(jù),從而在一定程度上增強了企業(yè)的自主權。相比之下,PIPL更加強調對個人信息的嚴格控制。在處理個人數(shù)據(jù)時,PIPL要求必須獲得明確的授權或依據(jù)法律規(guī)定進行,更傾向于通過明確同意或法律規(guī)定來實施嚴格監(jiān)管。
其次在公共利益方面,兩部法律對公共事務和政府職責的界定存在差異。GDPR在確保公共機構履行任務時賦予了更大的靈活性,而PIPL則通過其他法律條款來規(guī)范政府的處理權限,更加側重于信息透明性和數(shù)據(jù)主體的保護。
二、信息跨境處理注意事項
在跨境處理信息的過程中,除了需遵循《個人信息保護法》(PIPL)和《通用數(shù)據(jù)保護條例》(GDPR)這兩部基礎法律的規(guī)定外,還需執(zhí)行一系列嚴格的安全評估措施。
以中國車企為例,若需將歐盟境內的數(shù)據(jù)傳輸回中國進行處理,必須確保該跨境數(shù)據(jù)傳輸符合GDPR的嚴格要求。
GDPR對向歐盟外傳輸數(shù)據(jù)有著明確的規(guī)范,要求必須依賴標準合同條款(SCCs)或充分性決定(Adequacy Decision)來確保數(shù)據(jù)的合法傳輸。特別是當涉及敏感個人信息處理時,如位置數(shù)據(jù)、行為數(shù)據(jù)以及測繪數(shù)據(jù)等,企業(yè)可能還需進行數(shù)據(jù)保護影響評估(DPIA),以全面評估數(shù)據(jù)處理的合法性、必要性和風險性。
值得注意的是,由于歐盟目前尚未對中國作出充分性決定,因此中國企業(yè)在向歐盟外傳輸數(shù)據(jù)時,可能需要與相關方簽訂標準合同條款(SCCs)來確保數(shù)據(jù)傳輸?shù)暮戏ㄐ浴?/p>
總之,在跨境傳輸過程中,為降低數(shù)據(jù)泄露或不當使用的風險,企業(yè)需對敏感數(shù)據(jù)進行加密或匿名化處理。
相關產品
免責聲明
- 凡本網(wǎng)注明“來源:化工儀器網(wǎng)”的所有作品,均為浙江興旺寶明通網(wǎng)絡有限公司-化工儀器網(wǎng)合法擁有版權或有權使用的作品,未經(jīng)本網(wǎng)授權不得轉載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權使用作品的,應在授權范圍內使用,并注明“來源:化工儀器網(wǎng)”。違反上述聲明者,本網(wǎng)將追究其相關法律責任。
- 本網(wǎng)轉載并注明自其他來源(非化工儀器網(wǎng))的作品,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負責,不承擔此類作品侵權行為的直接責任及連帶責任。其他媒體、網(wǎng)站或個人從本網(wǎng)轉載時,必須保留本網(wǎng)注明的作品第一來源,并自負版權等法律責任。
- 如涉及作品內容、版權等問題,請在作品發(fā)表之日起一周內與本網(wǎng)聯(lián)系,否則視為放棄相關權利。