资讯中心
个人信息保护法(草案)与GDPR差异的全面解读!

个人信息保护法(草案)与GDPR差异的全面解读!

原创
2021-04-14
技术文章
作者: SGS知识与管理
访问次数: 113

2020年10月21日,全国人大法工委公开就《中华人民共和国个人信息保护法(草案)》(以下简称"草案")征求意见,通观草案的内容可以发现,其借鉴了GDPR的诸多优秀做法,甚至有人认为草案就是减缩版的GDPR,但鉴于中国本身的国情,草案还是体现很多中国特色的内容,我们在前两期的推文中和大家介绍了一些二者存在的差异,今天我们将继续分享剩余的部分。


处理者义务的差异

GDPR 对个人信息的控制者与处理者的责任分别有相当详细的规定,并且规定了个人信息控制者与处理者需实施个人信息保护影响评估和设立数据保护官等特别的要求。

草案没有对个人信息处理过程中涉及的处理者进行角色的划分,即没有区分控制者与处理者,统一称为"个人信息处理者"。同时,对任命数据保护官并没有强制要求,只提到对于"处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人"(第51条)。


跨境传输的差异

GDPR 对个人信息的跨境传输设定了三种合规情形:基于欧盟委员会决议设立的正面国家清单、传输数据的组织为个人数据跨境传输建立具法律效力的个人信息保护规则、传输数据的组织为个人数据跨境传输提供了切实有效的保护措施,其核心是保障个人信息的保障程度不会因跨境传输而削弱。

草案对个人信息的跨境传输的管理与GDPR的差异较大。分两种情况进行了管理:一种是被定义为关键基础设施的运营者或处理个人信息达到了国家网信部门规定数量的个人信息处理者;第二种为一般的个人信息处理者,即除去第一种情况之外的其他个人信息处理者。

第一种情况,个人信息必须存储在境内,数据跨境传输需要通过国家网信部门的安全评估才可实施。

第二种情况,可采取如下三种合规情形的任一种即可,分别为:

1)通过国家网信部门的安全评估;
2)通过专业机构的个人信息保护认证;
3)与境外接收方订立合同,约定了双方的权利和义务,并监督个人信息处理活动达到草案的保护标准(同GDPR第二种情形)。

其核心体现的是保障国家和整体人民的利益不受到损害,同时兼顾个人的权益。

罚则方面的差异

GDPR 违规处罚方面分两种情况规定了处罚尺度:

1)一般性违规且拒不改正的,一千万欧元或上一财年全球总营业额2%;
2)情节严重且拒不改正,二千万欧元或上一财年全球总营业额4%。

草案在违规处罚方面也分两种情况规定了处罚尺度,但程度有所不同:

1)一般情节拒不改正的,处100万元以下罚款;直接负责的主管人员和其他直接责任人员处1万以上10万以下罚款;

2)情节严重且拒不改正,5000万元以下或上一年度营业额5%以下罚款,并可暂停相关业务、停业整顿、吊销业务许可或者吊销营业资格;直接负责的主管人员和其他直接责任人员处10万以上100万以下罚款。

可以看出,草案相对GDPR在违规处罚方面,体现的是"轻的更轻,重的更重"。

个人信息保护法(草案)正式出台后,随之而来的相应监管将快速实施,企业加强个人信息保护已是大势,与大数据利用之间的关系如何平衡、如何适应法律合规经营将成为关键。

1. 对法规进行系统培训

个人信息保护法(草案)借鉴了GDPR的诸多优秀做法,明确了个人信息的定义及处理原则,并对自动化决策、跨境流动等热点话题进行回应。企业可以针对该法规进行系统培训,了解法规的具体要求。

2. 差异化分析,了解自身存在的风险

虽然个人信息保护法(草案)与GDPR有相同之处,但鉴于中国本身的国情,草案还是体现很多中国特色的内容,针对目前的现状,建议企业提早了解隐私现状,提前做好风险管控,提升企业的隐私信息管理水平,做到有备无患。

3. 完善体系建立,加强企业内部管理

ISO/IEC27701隐私信息管理体系是现阶段企业可选的一个很好的隐私管理解决方案,企业通过该体系的学习能够更有效的提高内部管理效率。

4. 个人信息保护法(草案)与GDPR相互融合

与GDPR相比,个人信息保护法(草案)中有关自动化决策的内容对个人信息处理者提出了更高的要求,因此对于跨国企业来说,如何将二者相互融合是当前应解决的问题。

关于SGS

SGS作为国际公认的检验、鉴定、测试和认证机构,是公认的质量和诚信的全球基准,凭借专业的技术能力和丰富的审核经验,积极推动企业管理绩效改善。SGS在IT信息安全领域解决方案范围广泛,致力于为各行业机构提供全方位管理提升服务,包括:

1. ISO/IEC20000 IT服务管理体系
2. ISO/IEC27001 信息安全管理体系
3. ISO/IEC27701 隐私信息管理体系
4. ISO/IEC29151 个人信息保护的行为准则
5. CSA STAR 云安全联盟云安全评估认证
6. ISO/IEC27017 云服务信息安全规范
7. ISO/IEC27018 公共云个人信息(PII)处理者的信息安全控制规范
8. ISO22301 业务连续性管理体系
9. GDPR 个人信息保护法
10. 法规培训
11. 差距分析
12. 定制化服务

本文著作权归SGS所有,商业转载请联系获得正式授权,非商业请注明出处
相关内容:
5月13日 | ISO45001管理体系运行痛点揭示与应对
ISO45001作为职业健康安全管理体系的全球标准,企业在日常管理中遇到的痛点主要集中在...
标准化管理助力养老机构实现降本增效
为了帮助企业升级软硬件条件,规范各项操作及服务,4月28日,SGS专家联同江苏国际老博...
SGS与郑州空港人工智能研究院共同推进人工智能标准化建设
人工智能作为一项引领未来的战略技术,吸引了无数发达国家竞相争取主导权。各国纷纷对...
拓邦获ISO/IEC27001认证证书,物联网信息安全管理达国际标准
近日,拓邦及拓邦软件获得由SGS颁发的ISO/IEC27001信息安全管理体系认证证书。 4月13日...
恭喜绿米联创通过ISO四大管理体系认证
近日,绿米联创通过由SGS颁发的ISO/IEC27001:2013信息安全管理体系、ISO9001:2015质量...
ISO21001打造教育行业专业化的管理体系
近几年,教育行业日益受到关注,无论是学校教育还是职业教育,学员在挑选教育机构时不...
回放 | 质量管理体系对二方审核的要求暨VDA 6.3过程审核的痛点分析
2021是IATF16949:2016换证大年,过程审核内审或二方审核作为IATF16949质量管理体系重...
堵与疏之间:车联网信息安全标准亟待落地
在如今大热的智联世界里,车联网当之无愧是典型代表。该新兴产业形态的出现非一日之功...
回放 | 企业碳排放源识别
众所周知,从去年底到今年初,我国最高领导人已经在多个场合正式声明了我国针对巴黎协...
“推进企业数字转型 圆梦中国制造强国” —— 保定市企业数字化转型分享交流会成功举办
4月8日,SGS携手鑫牧思网络科技有限公司"推进企业数字转型 圆梦中国制造强国"—&...

意见反馈

对SGS服务不满意吗?请告诉我们 *

联系方式 *