11月1日，隐私合规的丛林变得更加厚重。就在那时，《个人信息保护法》（PIPL）在中国生效。

与目前几乎所有新的隐私法（例如《加州消费者隐私法》）的情况一样，PIPL已经与欧盟的《通用保护数据条例》（GDPR）进行了比较，该条例本身自2018年5月25日起生效。

在这种情况下，比较是恰当的。两者都是广泛的数据管理计划，具有大量潜在的处罚和长臂管辖权。与欧盟的GDPR一样，PIPL根据数据处理的地理位置和正在处理数据的个人的地理位置将其全球适用性扩展。在任何特定情况下，如果其中任何一个属于中国境内，PIPL都可能适用，无论数据错误者的位置如何。

尽管如此，这些定律并不完全相同，它们的差异超出了次要的技术方面。虽然这些差异很多，但以下是四个更显着的差异。

1、PIPL对“敏感信息”的定义不同。

并非所有个人信息都是平等的，长臂隐私法通常承认这一事实。因此，与其他类型的个人信息相比，“敏感个人信息”（“SPI”）通常受到更高级别的特定法律保护。

GDPR没有使用确切的术语SPI，但明确提及并概述了出于处理目的而持有更高标准的个人数据类别。GDPR 第9条规定了在有限的情况下，可以处理有关以下任何一项的数据：

• 种族/民族
  

• 政治

• 宗教

• 哲学

• 工会会员

• 遗传学

• 用于唯一识别某人的生物识别数据

• 健康

• 性生活

• 性取向

PIPL也为SPI创建了额外的保护。然而，PIPL符合SPI资格的数据保护伞似乎比GDPR的特殊分拆更广泛。PIPL第28条对SPI给出了广义的定义：“个人信息一旦泄露或非法使用，很容易对尊严造成损害[或]对人身或财产安全的严重损害。

第28条接着列举了这类资料的一些例子。与GDPR一样，PIPL为涉及生物识别、宗教和健康的个人信息提供增强的保护。

PIPL还提供了 SPI 的其他具体示例：

• 与某人的“特别指定身份”相关的数据，

• 与个人财务账户相关的数据，

• 位置跟踪数据。

虽然并非所有GDPR的具体分拆都列在PIPL的SPI示例中，但由于PIPL的定义有多广泛，这些数据类别可能仍有资格成为PIPL下的SPI。

也就是说，PIPL还特别将另外一类数据归类为SPI。

2、PIPL对未成年人个人信息的处理方式不同。

PIPL还明确将14岁以下未成年人的任何和所有个人信息定义为SPI。处理此类数据需要PIPL下更严格的保护，包括个人信息处理者获得父母或监护人的同意，以及个人信息处理者为未成年人的数据“制定专门的个人信息处理规则”。

在这一点上，GDPR的负担既更严格又不那么严格。出于处理个人信息的目的，GDPR 将未成年人归类为 16 岁以下的人，尽管它允许各个欧盟成员国将此标准设置为低至 13 岁。另一方面，GDPR 不会自动将所有未成年人的个人数据定性为 SPI。GDPR 仅要求父母或监护人同意即可在需要同意的情况下处理未成年人的个人数据。

这并不是GDPR在某些领域比PIPL更严格的领域，而在另一些领域则不那么严格。

3、PIPL对政府对风险评估过程的监督有不同的标准。

根据GDPR，数据控制者必须在“可能导致自然人的权利和自由面临高风险”的情况下对其数据处理计划进行数据隐私影响评估（“DPIA”），例如涉及新技术，大规模监控和/或特定类别的SPI。DPIA 必须具体概述：

• “对设想的处理操作的系统描述;”
  

• 对数据处理操作目的的类似描述，包括数据控制者的合法利益;

• 所述数据处理操作的“必要性和相称性”;

• 这些操作对数据主体的权利和自由构成的风险;

• 实际处理/减轻这些风险的“设想的措施”。

通常，数据控制者可以独立执行 DPIA。但是，此一般规则有几个例外。在GDPR生效之前，欧盟咨询机构发布的一份指导文件明确指出，数据控制者必须与监管机构协商：

1. “每当数据控制者无法找到足够的措施将风险降低到可接受的水平时，”
   

2. 当欧盟成员国法律如此针对与公共利益相关的数据处理时。

PIPL要求个人信息处理者在类似（尽管不一定完全相同）的情况下接受个人信息保护影响评估（“PIPIA”）。然而，与GDPR下的DPIA不同，如果PIPIA识别出组织无法补救的风险，PIPL不要求组织咨询监管机构。

另一方面，考虑个人信息跨境传输的情况。值得注意的是，PIPL将来自中国边境的数据传输视为固有的风险活动，这些活动会自动触发对PIPIA的需求。在这些情况下，虽然PIPL可能不会为PIPIA的目的强制政府直接监督，但它通常会以单独的“由国家网络安全和信息化部门组织的安全评估”的形式强制实施。在组织对出站数据传输风险进行自我评估并向监管机构提交评估报告后，将进行此评估。

GDPR 还为与个人信息相关的数据处理活动提供了安全评估，尽管一般而言，但不限于跨境数据传输。然而，这些评估可能是自我进行的。

尽管如此，无论是GDPR下的自我执行安全评估，还是PIPL下的自我执行PIPIIA，都意味着主题组织可以固步自封。根据这两个框架，对不遵守规定的处罚可能是严厉的。

但一个框架的惩罚可能比另一个框架更严厉。

4、PIPL 可能要苛刻得多。

从2016年欧盟成员国采用GDPR到其生效之日之间的大约两年期间，商界都感到恐慌。是的，GDPR是一个声称具有普遍影响力的全面法律框架。但即使是通常受欧盟法规约束的公司也感到担忧 - 因为潜在的处罚。

在GDPR生效之前，通过今天的比较，对个人数据相关错误的最高处罚是温和的。但GDPR提高了赌注。违反GDPR规定的人，对于最严重的违规行为，可能面临最高2000万欧元或全球年度总收入的4% - 以较高者为准。企业巨头和中型企业都注意到了这一点，而小企业则为破产的幽灵而烦恼。

PIPL走得更远。严重“违反PIPL的公司可能面临高达其全球年总收入的5%（如果更大，则相当于约726万欧元）。如果这个额外的百分点还不够可怕，那么应该指出的是，这种罚款似乎不是恢复原状的；除这些罚款外，任何和所有违反PIPL者的“非法收入”都可能被没收。为了让越界者更严重，中国政府还可能暂停或吊销违规者在中国的营业执照。

尽管整个企业因PIPL违规行为而遭受损失，但个别员工和管理人员可能损失更多。PIPL为个人创造个人责任。对最严重的违规行为“直接负责”的员工可能也将面临高额的罚款。

他们还可能对其生计（以及可能的生活方式本身）造成持久的损害。在被发现对PIPL违规行为负有直接责任后，员工可能会被禁止在“一段时间内”担任管理或隐私官的角色。即使在该期限之后，员工的违规行为记录也可能随附;PIPL第67条规定，违法行为将成为个人社会信用档案的一部分。

因此，即使 PIPL 下对数据处理违规行为的直接罚款是可控的，但全球企业及其员工在 PIPL 下面临的风险可能比在 GDPR 下面临的风险要大得多。

点击此处，查看《中国：个人信息安全规范 合规性要求》，联系揽阁信息，获取更多资料。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• 揭示PKI动态：全球各地区技术趋势和监管见解

• 数据脱敏和数据加密一样吗？

• 针对GDPR合规性的加密