個人信息保護法（草案）與GDPR差異的全面解讀！

2020年10月21日，全國人大法工委公開就《中華人民共和國個人信息保護法（草案）》（以下簡稱"草案"）征求意見，通觀草案的內容可以發現，其借鑒了GDPR的諸多優秀做法，甚至有人認為草案就是減縮版的GDPR，但鑒于中國本身的國情，草案還是體現很多中國特色的內容，我們在前兩期的推文中和大家介紹了一些二者存在的差異，今天我們將繼續分享剩余的部分。

處理者義務的差異

GDPR 對個人信息的控制者與處理者的責任分別有相當詳細的規定，并且規定了個人信息控制者與處理者需實施個人信息保護影響評估和設立數據保護官等特別的要求。

草案沒有對個人信息處理過程中涉及的處理者進行角色的劃分，即沒有區分控制者與處理者，統一稱為"個人信息處理者"。同時，對任命數據保護官并沒有強制要求，只提到對于"處理個人信息達到國家網信部門規定數量的個人信息處理者應指定個人信息保護負責人"（第51條）。

跨境傳輸的差異

GDPR 對個人信息的跨境傳輸設定了三種合規情形：基于歐盟委員會決議設立的正面國家清單、傳輸數據的組織為個人數據跨境傳輸建立具法律效力的個人信息保護規則、傳輸數據的組織為個人數據跨境傳輸提供了切實有效的保護措施，其核心是保障個人信息的保障程度不會因跨境傳輸而削弱。

草案對個人信息的跨境傳輸的管理與GDPR的差異較大。分兩種情況進行了管理：一種是被定義為關鍵基礎設施的運營者或處理個人信息達到了國家網信部門規定數量的個人信息處理者；第二種為一般的個人信息處理者，即除去第一種情況之外的其他個人信息處理者。

第一種情況，個人信息必須存儲在境內，數據跨境傳輸需要通過國家網信部門的安全評估才可實施。

第二種情況，可采取如下三種合規情形的任一種即可，分別為：

1）通過國家網信部門的安全評估；
2）通過專業機構的個人信息保護認證；
3）與境外接收方訂立合同，約定了雙方的權利和義務，并監督個人信息處理活動達到草案的保護標準（同GDPR第二種情形）。
其核心體現的是保障國家和整體人民的利益不受到損害，同時兼顧個人的權益。

罰則方面的差異

GDPR 違規處罰方面分兩種情況規定了處罰尺度：

1）一般性違規且拒不改正的，一千萬歐元或上一財年全球總營業額2%；
2）情節嚴重且拒不改正，二千萬歐元或上一財年全球總營業額4%。

草案在違規處罰方面也分兩種情況規定了處罰尺度，但程度有所不同：

1）一般情節拒不改正的，處100萬元以下罰款；直接負責的主管人員和其他直接責任人員處1萬以上10萬以下罰款；

2）情節嚴重且拒不改正，5000萬元以下或上一年度營業額5%以下罰款，并可暫停相關業務、停業整頓、吊銷業務許可或者吊銷營業資格；直接負責的主管人員和其他直接責任人員處10萬以上100萬以下罰款。

可以看出，草案相對GDPR在違規處罰方面，體現的是"輕的更輕，重的更重"。

個人信息保護法（草案）正式出臺后，隨之而來的相應監管將快速實施，企業加強個人信息保護已是大勢，與大數據利用之間的關系如何平衡、如何適應法律合規經營將成為關鍵。

1. 對法規進行系統培訓

個人信息保護法（草案）借鑒了GDPR的諸多優秀做法，明確了個人信息的定義及處理原則，并對自動化決策、跨境流動等熱點話題進行回應。企業可以針對該法規進行系統培訓，了解法規的具體要求。

2. 差異化分析，了解自身存在的風險

雖然個人信息保護法（草案）與GDPR有相同之處，但鑒于中國本身的國情，草案還是體現很多中國特色的內容，針對目前的現狀，建議企業提早了解隱私現狀，提前做好風險管控，提升企業的隱私信息管理水平，做到有備無患。

3. 完善體系建立，加強企業內部管理

ISO/IEC27701隱私信息管理體系是現階段企業可選的一個很好的隱私管理解決方案，企業通過該體系的學習能夠更有效的提高內部管理效率。

4. 個人信息保護法（草案）與GDPR相互融合

與GDPR相比，個人信息保護法（草案）中有關自動化決策的內容對個人信息處理者提出了更高的要求，因此對于跨國企業來說，如何將二者相互融合是當前應解決的問題。

關于SGS

SGS作為國際公認的檢驗、鑒定、測試和認證機構，是公認的質量和誠信的全球基準，憑借專業的技術能力和豐富的審核經驗，積極推動企業管理績效改善。SGS在IT信息安全領域解決方案范圍廣泛，致力于為各行業機構提供全方位管理提升服務，包括：

1. ISO/IEC20000 IT服務管理體系
2. ISO/IEC27001 信息安全管理體系
3. ISO/IEC27701 隱私信息管理體系
4. ISO/IEC29151 個人信息保護的行為準則
5. CSA STAR 云安全聯盟云安全評估認證
6. ISO/IEC27017 云服務信息安全規范
7. ISO/IEC27018 公共云個人信息（PII）處理者的信息安全控制規范
8. ISO22301 業務連續性管理體系
9. GDPR 個人信息保護法
10. 法規培訓
11. 差距分析
12. 定制化服務