博鱼真人申军:《个人信息保》与GDPR关键词比较

 公司新闻     |      2021-10-12 04:02

  2021年8月20 日,《中华群众共和国小我私家信息保》(以下称为“个保法”) 经天下会经由过程,并将于同年11月1日起实施。该法与欧盟《通用数据庇护规章》(以下称为“GDPR”) 比拟,所利用的特地用语有何异同及特征呢?笔者试就此加以比较阐发。

  鉴于其自2018年5月25日在欧盟全境见效后,GDPR对美国加州、巴西日本印度等地的数据立法均供给了灵感,本文也将参照印度《小我私家数据保案》2019年版 (The Personal Data Protection Bill,2019,以下称为“PDPB” ) 的相干内容。需求出格声明的是,本文仅代表笔者的小我私家观点,不组成法令定见。

  尽人皆知,个保法总计8章74条,GDPR则有11章99条,并包罗了长达173项的立法念头论述(considérant 或recital)。相较于GDPR第4条包罗了26个用语的界说,个保法第73条单列了4个用语的寄义。以下逐个比照析明。

  按照个保法的划定,此类处置者可以自立决议小我私家信息处置的目标及方法,可所以构造或小我私家。该界说对“构造”一词的寄义未作分析,应是包罗但不限于法人机构等,可谓一针见血。

  就GDPR而言,与小我私家信息处置者相对应的用语别离是英文版的controller (掌握人)和法文版的responsable de traitement (处置卖力人)。前述用语的界说见诸GDPR第4条第7款,一样夸大了相干举动人能对小我私家数据处置的目标与手腕加以掌握。与个保法的相干界说差别的是,GDPR阐清楚明了掌握人或处置卖力人包罗天然人或法人、大众政府、效劳及机构等,其能够零丁或与别人一同做出相干决议。而个保法的相干界说虽未说起零丁或配合利用处置决议,但该法第20条划定了两个以上小我私家数据处置者做出相干配合决议时该当商定各自的权益任务、和配合处置小我私家信息时该当负担的连带义务; 这可被视为是对小我私家信息处置者寄义的本质弥补。

  值得留神的是,GDPR中与controller或responsable de traitement有联系关系的用语别离是processor (处置人)或sous-traitant (分包人),即代表前者停止数据处置举动的人。Processor和sous-traitant在GDPR第4条第8款中被特地界说。欠好看出,英文说法的数据“掌握人”和“处置人”所表达的字面意义难以让人了如指掌,而法文表述的数据“处置卖力人”和“分包人”则要明晰许多。基于此,以下笔者将利用数据“处置卖力人”和“处置分包人”的说法。

  相较而言,个保法中仅付与了小我私家信息处置者的界说,在第21条中数次呈现的小我私家信息处置者的受托人的说法,则对应着GDPR所称的数据“处置分包人”。个保法的此类划定见仁见智。实践上,个保法将绝大部门的合规任务施加给小我私家信息处置者,对后者的受托人的义务划定则较着偏少。思索到数字经济布景下数据处置分包的频次不容小觑,处置分包人/受托人的脚色实践上不容无视,因而相干划定的实效性能够需求留待将来的理论查验。反之,“处置分包人”的字眼在GDPR呈现的次数高达248次,其负担的主要脚色不问可知: 不只需求实行诸多法定任务,并且需求因而负担响应的法令义务。

  值得一提的是,在印度PDPB(总计14章98条)的划定中,与GDPR中的处置卖力人相对应的术语是data fiduciairy,博鱼真人直译就是数据托管人,是指零丁或与别人配合决议数据处置的目标与方法的任何人,包罗国度、公司、司法实体或任何小我私家。该法案也一样利用了processor一词,与GDPR的英文说法分歧。这些称呼及界说也折射出PDPB与GDPR之间的渊源。

  该用语在个保法中是指: 经由过程计较机法式主动阐发、评价小我私家的举动风俗、爱好喜好大概经济、安康、信誉情况等,并停止决议计划的举动。

  相较而言,与主动化决议计划十分靠近的GDPR用语是profilage或profiling。其见诸GDPR第4条第7款的界说,意指任何情势的主动化处置,即所谓的“侧写”。此种处置旨在使用个兽性子的数据来评价一个天然人的某些小我私家层面,特别是为了阐发或猜测该天然人的劳动收益、经济形式、安康、小我私家偏好、定位或出行等。

  能够看出,个保法的主动化决议计划和GDPR的“侧写”划定颇多类似,均夸大藉由主动化法式处置小我私家数据的方法,对小我私家必然方面的举动风采停止评价或猜测。此类举动也均遭到个保法与GDPR的束缚,包罗服从数据处置的法定根底或是数据庇护的准绳。

  值得弥补的是,印度PDPB中列有特地的profiling的界说,其指任何情势的、旨在阐发或猜测触及一个数据本体的举动、特征或爱好方面的小我私家数据的地方理。数据本体(data principal) 的表达对应着GDPR英文版的data subject (数据主体)或法文版的personne concernée (相涉小我私家),而个保法例将相干职员称为“小我私家”。不言而喻的是,PDPB的界说并未夸大主动化处置的方法,而是凸起“侧写”举动的阐发或猜测功用。

  按照个保法的划定,去标识化是指小我私家信息颠末处置,使其在不借助分外信息的状况下没法辨认特定天然人的历程。

  去标识化所对应的是GDPR第4条第5款中所界说的化名化 (英文和法文均为pseudonymisation)。化名化在GDPR中被视为是相宜的构造性和手艺性步伐之一,意在实施数据庇护的准绳,好比数据的最小化准绳。遭到化名化处置的小我私家数据,假如诉诸弥补性信息,便可被付与给一个明白的特定小我私家,应被视为是触及一个可被辨识的天然人的信息,故而相干数据处置受制于GDPR的划定。

  在印度PDPB的条则中,则有de-identification的特地界说,即去分辨化,意味着数据托管人(data fiduciary)或数据处置人(data processor)能够移除或袒护小我私家数据的辨认符,或是用虚拟的名字或代码取而代之,但这些对小我私家而言无独有偶的名字或代码自己不克不及间接辨识出数据本体。

  因而可知,个保法、GDPR与PDPB均夸大,颠末此类处置后的相干数据/ 信息不敷以间接辨识出某个特定的天然人,但相干天然人仍然可被辨认,因而此类历程仍然遭到相干法令的限制。

  个保法中的匿名化是指小我私家信息颠末处置没法辨认特定天然人且不克不及回复复兴的历程。该法还明白指出,颠末匿名化处置后的信息,不被归类为其所界说的小我私家信息(以下会做分析)。个保法的态度可被解读为,在今朝的手艺布景之下,匿名化的信息可以使人们没法辨识某个天然人,因而不被视为是与小我私家有关的信息。

  匿名化在GDPR中没有对应的特地界说,但GDPR在立法念头论述第26项中有匿名信息 (informations anonymes或anonymous information ) 的说法。该信息可被注释为不触及一个被辨识或可被辨识的天然人的信息。该条也划定GDPR对颠末匿名化的信息不予合用,其也分歧用于因被匿名化而使相涉小我私家不克不及或不再能被辨识的小我私家数据。

  反之,印度PDPB设定了anonymisation (匿名化)及anonymised data(匿名化数据)的界说。匿名化数据意味着已受匿名化历程的数据。与小我私家数据相干的匿名化,意味着一种不成逆转的历程,该历程将小我私家数据改变为一种不克不及由此辨识一个数据本体的情势。前述法案还出格指出,这类匿名化需求满意印度数据庇护政府所特定的不成逆转性的尺度。此点PDPB的划定关于个保法的或有启示是,“不克不及回复复兴的历程”的详细涵义大概应被明白,以便将来该历程能被有用认定,从而有用解除不受个保法束缚的信息。

  在个保法的4个专列寄义以外,其法令条则中呈现的用语界说也值得与GDPR的相似用语停止比照。以下撷取数个用语以作释明。

  按照个保法,小我私家信息是以电子大概其他方法记载的与已辨认大概可辨认的天然人有关的各类信息,不包罗匿名化处置后的信息。

  而在GDPR中,小我私家数据是指与一个被辨识或可被辨识的天然人有关的任何信息。需求分析的是,小我私家数据的法文表述实为“个兽性子的数据”,夸大数据与小我私家有关,而非小我私家一切。GDPR的小我私家数据的界说还列清楚明了可资间接或直接辨识天然人的诸多身分。因而,GDPR关于小我私家数据的中间尺度是辨认; 详细来讲,该界说夸大的不是辨识或人的方法,而是对一个相干小我私家停止辨识的才能。据此,假如一项数据虽本身不克不及得以辨识某个天然人,但如果其与一项或几项数据相分离而可为之,那末它仍然能被视为小我私家数据。这和个保法的相干划定殊途同归,既然后者一样夸大的是此类信息触及到已被辨认或可被辨认的天然人。

  别的,GDPR虽未间接分析小我私家数据不包罗匿名化处置后的信息,但在其念头形貌第26项中点清楚明了其分歧用相干匿名信息的处置。能够考虑的是,假如按照今朝的手艺水准,凭仗颠末匿名化处置的信息不敷以识别出某个特定天然人,那末将来的新手艺打破(好比量子手艺)大概会使已被匿名处置的信息无所遁形,从而得以辨识详细的小我私家。假使云云,这会不会因而会反促小我私家信息界说的修正呢?此点值得存眷。

  最初,基于手艺中立的准绳,GDPR中小我私家数据的定性与包罗数据的载体性子其实不相干,因而数据载体是类比(模仿) 情势或是数字情势其实不主要。这在个保法对小我私家信息的界说中也能找到附近的内在,即信息可由电子或方法记载。

  需求指出的是,个保法所界说的是小我私家信息而非小我私家数据。从广义角度而言,数据的素质就是信息,但数据所代表的信息凡是被了解为代码化、凝固化和可通报的信息,因而并不是一切的信息都是数字时期布景下的数据。个保法对小我私家信息的界说,无疑彰显了其共同征。一样能够考虑的是,个保法、民法、数据宁静法能否对信息或数据做出了互相和谐的划定,能否互相弥补、相得益彰。

  就印度PDPB而言,小我私家数据被界说为有涉天然人的特性、特性及属性等方面的数据,可被用来间接或直接地辨识一个天然人; 此类数据还应包罗出于侧写目标从如许的数据中得出的推论。因而不难了解的是,该法案的小我私家数据界说还涵盖了与相干天然人(不管是在线或离线) 的任何身份特性相干的数据,或是如许的特性与任何信息的组合。

  不容无视的是,GDPR在2016年4月27日被公布之时,与之同时问世的另有欧盟司法指令(police -justice directive),后者关乎与刑事司法范畴的小我私家数据的地方理。实践上,这两项欧盟法令组成了欧盟天然人数据庇护方面的一整套法令。比拟来讲,个保法并未出格点明有关刑事方面的小我私家数据,能够公道揣度的是,此类信息该当属于敏感信息(以下会有阐明)。

  值得一提的是,数据在中华群众共和国《数据宁静法》中被界说为任何故电子或非电子情势对信息的记载,这或可被解读为: 数据并没必要然是信息,能够只是对信息的某种情势的记载。而停止今朝,固然在法法律王法公法中未被付与法定界说,但在1981年12月22日公布的有关部令中,数据被界说为以一种旨在便于处置的协议情势停止的信息表达。思索到此界说的年月范围性,若将之安排在现今的数字经济布景下加以阐释,相干协议情势大致会指电子化或主动化的方法。

  印度PDPB则正式付与了数据的法定界说: 数据包罗了以适于由人类或主动化手腕交换、解释或处置的方法、对信息、究竟、观点、概念或唆使做出的表达。笔者觉得,此界说仿佛打破了惯常地将数据与信息叠加表述的窠臼,凸显的是数据在手艺上所具有的便于联系及易于处置的特征。这无疑会扩展相对应的小我私家数据界说的广度和深度,也因而拓展了响应的庇护范畴,针对数据处置的义务合用也是云云。

  在个保法中,敏感小我私家信息是指一旦保守大概不法利用,简单招致天然人的品德威严遭到损害大概人身、财富宁静遭到风险的小我私家信息,包罗生物辨认、宗教崇奉、特定身份、医疗安康、金融账户、行迹轨迹等信息,和不满十周围岁未成年人的小我私家信息。

  相较而言,GDPR对敏感小我私家数据并没有划定。反之,在其立法念头第10项中提到了“敏感数据”(sensitive data或données sensibles),该类数据所指的是特别品种的个兽性子数据。前述念头第51项则进一步指出,个兽性子数据的敏理性,是从根本权益和自在的角度而言的,因而值得特别的庇护。究竟上,GDPR对敏感数据的数个相干术语,好比基因数据、生物辨认数据、有关安康的数据均付与了明白的界说。其第9条第1段更是以枚举的情势阐清楚明了所谓的特别品种的数据,包罗但不限于概念、宗教或哲学崇奉、性取向等方面。

  由此能够揣度的是,和个保法辨别一般小我私家信息与敏感小我私家信息的办法一样,GDPR也对数据加以辨别,即一般的小我私家数据及敏感的小我私家数据。此种辨别表现了差别的GDPR合规轨制: 假如一般数据的处置只是该当尊敬必然的正当前提,那末敏感数据的处置准绳上是制止的,即使存在一些不予合用的情况。而个保法也彰显了相似的思绪,即只要契合必然的法定前提,相干敏感数据的处置才气得以停止(个保法第28条)。

  印度PDPB则列清楚明了作甚“敏感小我私家数据”(sensitive personal data),后者包罗了最少11种可被归类的敏感数据。除广为论及的安康、生物辨认、基因数据、宗教或崇奉等范例的数据以外,金融数据、种姓或部落、变性人身份、双性人身份等数据在PDPB中亦被列出。小我私家的官方辨认符(official identifier) 也归为此类,因而百姓身份文件的号码也或将会被归为印度法中的敏感小我私家数据。

  不言而喻,个保法、GDPR与PDPB关于敏感信息/数据的归类根本上大同小异。而个保法的可圈可点的地方在于,不满十周围岁未成年人的小我私家信息被间接列明为小我私家敏感信息,这无疑夸大出该法关于未成年人在相干范畴的庇护。

  可资参照的是,正如在订定处置敏感数据的划定规矩方面,其付与各成员国响应的操纵空间一样,GDPR对儿童付与收集赞成的相干庇护也反应了不异的思绪,由于根据其第8条的划定,GDPR并未间接划定儿童的收集赞成年齿,而是设定了一个13-16岁的区间,详细年齿的设置交由列国决议。好比法国将之设定为不低于15周岁。

  印度PDPB则经由过程第4章“小我私家数据与儿童的敏感小我私家数据”来标准儿童相干数据的处置划定规矩。儿童(child)在该法案中被界说为未满18周岁的人。鉴于18周岁是大大都国度所划定的法定年齿,PDPB的相干划定无疑是将儿童的收集赞成年齿与通例的法定年齿同一口径,这可被视为是对有涉儿童的数据庇护的另外一种增强方法。

  综上所述,中国小我私家信息保、欧盟通用数据庇护规章和印度小我私家数据保案在专有效语的利用上各有特征、互有照应。对这些枢纽用语的比照理解,将会有助于我们更好地停止国际视角下的个保法解读。