资讯中心
个人信息保护法(草案)与GDPR差异的全面解读!

个人信息保护法(草案)与GDPR差异的全面解读!

原创
2021-04-14
技术文章
作者: SGS知识与管理
访问次数: 4323

2020年10月21日,全国人大法工委公开就《中华人民共和国个人信息保护法(草案)》(以下简称"草案")征求意见,通观草案的内容可以发现,其借鉴了GDPR的诸多优秀做法,甚至有人认为草案就是减缩版的GDPR,但鉴于中国本身的国情,草案还是体现很多中国特色的内容,我们在前两期的推文中和大家介绍了一些二者存在的差异,今天我们将继续分享剩余的部分。


处理者义务的差异

GDPR 对个人信息的控制者与处理者的责任分别有相当详细的规定,并且规定了个人信息控制者与处理者需实施个人信息保护影响评估和设立数据保护官等特别的要求。

草案没有对个人信息处理过程中涉及的处理者进行角色的划分,即没有区分控制者与处理者,统一称为"个人信息处理者"。同时,对任命数据保护官并没有强制要求,只提到对于"处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人"(第51条)。


跨境传输的差异

GDPR 对个人信息的跨境传输设定了三种合规情形:基于欧盟委员会决议设立的正面国家清单、传输数据的组织为个人数据跨境传输建立具法律效力的个人信息保护规则、传输数据的组织为个人数据跨境传输提供了切实有效的保护措施,其核心是保障个人信息的保障程度不会因跨境传输而削弱。

草案对个人信息的跨境传输的管理与GDPR的差异较大。分两种情况进行了管理:一种是被定义为关键基础设施的运营者或处理个人信息达到了国家网信部门规定数量的个人信息处理者;第二种为一般的个人信息处理者,即除去第一种情况之外的其他个人信息处理者。

第一种情况,个人信息必须存储在境内,数据跨境传输需要通过国家网信部门的安全评估才可实施。

第二种情况,可采取如下三种合规情形的任一种即可,分别为:

1)通过国家网信部门的安全评估;
2)通过专业机构的个人信息保护认证;
3)与境外接收方订立合同,约定了双方的权利和义务,并监督个人信息处理活动达到草案的保护标准(同GDPR第二种情形)。

其核心体现的是保障国家和整体人民的利益不受到损害,同时兼顾个人的权益。

罚则方面的差异

GDPR 违规处罚方面分两种情况规定了处罚尺度:

1)一般性违规且拒不改正的,一千万欧元或上一财年全球总营业额2%;
2)情节严重且拒不改正,二千万欧元或上一财年全球总营业额4%。

草案在违规处罚方面也分两种情况规定了处罚尺度,但程度有所不同:

1)一般情节拒不改正的,处100万元以下罚款;直接负责的主管人员和其他直接责任人员处1万以上10万以下罚款;

2)情节严重且拒不改正,5000万元以下或上一年度营业额5%以下罚款,并可暂停相关业务、停业整顿、吊销业务许可或者吊销营业资格;直接负责的主管人员和其他直接责任人员处10万以上100万以下罚款。

可以看出,草案相对GDPR在违规处罚方面,体现的是"轻的更轻,重的更重"。

个人信息保护法(草案)正式出台后,随之而来的相应监管将快速实施,企业加强个人信息保护已是大势,与大数据利用之间的关系如何平衡、如何适应法律合规经营将成为关键。

1. 对法规进行系统培训

个人信息保护法(草案)借鉴了GDPR的诸多优秀做法,明确了个人信息的定义及处理原则,并对自动化决策、跨境流动等热点话题进行回应。企业可以针对该法规进行系统培训,了解法规的具体要求。

2. 差异化分析,了解自身存在的风险

虽然个人信息保护法(草案)与GDPR有相同之处,但鉴于中国本身的国情,草案还是体现很多中国特色的内容,针对目前的现状,建议企业提早了解隐私现状,提前做好风险管控,提升企业的隐私信息管理水平,做到有备无患。

3. 完善体系建立,加强企业内部管理

ISO/IEC27701隐私信息管理体系是现阶段企业可选的一个很好的隐私管理解决方案,企业通过该体系的学习能够更有效的提高内部管理效率。

4. 个人信息保护法(草案)与GDPR相互融合

与GDPR相比,个人信息保护法(草案)中有关自动化决策的内容对个人信息处理者提出了更高的要求,因此对于跨国企业来说,如何将二者相互融合是当前应解决的问题。

关于SGS

SGS作为国际公认的检验、鉴定、测试和认证机构,是公认的质量和诚信的全球基准,凭借专业的技术能力和丰富的审核经验,积极推动企业管理绩效改善。SGS在IT信息安全领域解决方案范围广泛,致力于为各行业机构提供全方位管理提升服务,包括:

1. ISO/IEC20000 IT服务管理体系
2. ISO/IEC27001 信息安全管理体系
3. ISO/IEC27701 隐私信息管理体系
4. ISO/IEC29151 个人信息保护的行为准则
5. CSA STAR 云安全联盟云安全评估认证
6. ISO/IEC27017 云服务信息安全规范
7. ISO/IEC27018 公共云个人信息(PII)处理者的信息安全控制规范
8. ISO22301 业务连续性管理体系
9. GDPR 个人信息保护法
10. 法规培训
11. 差距分析
12. 定制化服务

本文著作权归SGS所有,商业转载请联系获得正式授权,非商业请注明出处
相关内容:
进博快报 | SGS&中兴通讯携手共促智能汽车安全管理向国际化迈进
2021年11月6日,第四届中国国际进口博览会期间,中兴通讯与国际公认的测试、检验和认证...
进博快报 | 比亚迪获颁国内首张SGS承诺碳中和符合声明证书
2021年11月6日,第四届中国国际进口博览会期间,比亚迪获颁国内首张SGS承诺碳中和符合...
重磅首发!SGS&微软推出全球碳管理智能云平台S-Carbon
在第四届中国国际进口博览会上,通标标准技术服务有限公司(SGS中国)宣布与微软公司合...
中国商用PC新力量——紫光计算机通过三标管理体系认证,为可持续发展护航
近日,SGS通标标准技术服务有限公司(以下简称"SGS")为紫光计算机科技有限公司(以下...
官宣!SGS再获MDR授权,推出“一审双证”服务
2021年5月25日,新版医疗器械法规(MDR)强制实施;2024年5月26日起,销往欧盟市场的产...
后疫情时代,HCMS如何带领文旅行业主动出击
在疫情常态化防控期间,良好的个人和公众卫生习惯是对抗疫情的一个重要措施。作为文化...
AR企业践行三标管理,珑璟光电迈向新征程
随着AR技术趋于成熟,以及产业应用速度的加快,加上5G、元宇宙等概念的火爆,各大厂商...
SGS为佛吉亚歌乐电子颁发IATF16949认证证书
近日,SGS为佛吉亚歌乐电子颁发IATF16949认证证书并举行颁证仪式。SGS知识与管理服务事...
上海星卓率先获得物业领域卫生控制管理体系认证证书
近期,一系列关于新冠疫情的信息再次引起人们的关注,疫情常态化防控工作仍然严峻,无...
SGS为三七互娱颁发ISO/IEC27001证书
SGS为三七互娱颁发ISO/IEC27001信息安全管理体系认证证书并举行颁证仪式。三七互娱作为...

意见反馈

对SGS服务不满意吗?请告诉我们 *

联系方式 *