在上期数据隐私和匿名化系列文章中,我们主要分享了《中国个人信息保护法》(PIPL)和《欧盟通用数据保护条例》(GDPR)在涵盖范围、定义、敏感信息等方面的异同点,今天,我们将重点分析PIPL与GDPR在数据处理行为及其基础合法性方面的异同,旨在帮助车企更准确地把握数据隐私保护法规的要求,有效应对相关挑战,推动自动驾驶行业健康发展。
两部法规(PIPL和GDPR)均明确界定了不同的数据处理行为,这些行为将触发各自法规的管理范畴。此处所提及的信息,已不再局限于敏感信息,而是涵盖了两部法规所规定的所有相关信息。
在英文版的PIPL中,数据处理行为被表述为“Handling",而GDPR则使用“Processing"一词,两者在本质上并无区别。然而,在数据处理行为的定义上,两部法规却存在些许差异。
PIPL中的“Handling"涵盖了收集、存储、使用、加工、传输、披露以及删除个人信息等一系列行为。相较于PIPL,GDPR关于数据处理行为的定义则更为详尽,除了包含上述相同的行为外,还涉及到了个人数据的检索、咨询等多个方面。
但实际上,当我们深入探讨PIPL中定义的数据处理行为时,相关法律专家指出:“在中国境内处理个人信息时,GDPR所涵盖的任何数据行为都需要被纳入考虑范围,即使PIPL并未列举出所有要点。"
由此可见,在各自司法管辖区域内处理相关数据时,任何数据处理行为都将受到该区域法律条例的约束。
为了进一步对比数据处理行为的异同,我们在此列举了中国的《个人信息保护法》(PIPL)与欧盟的《通用数据保护条例》(GDPR)在数据处理基础合法性方面的相关规定。
“同意"(Consent)是指数据主体明确授权或表示同意其个人数据被处理的行为。这种同意必须是建立在充分知情的基础上,且必须是明确且自愿给出的。
除了“同意"这一点外,我们重点关注两部法律在合法利益(Legitimate Interest)和公共利益(政府任务)(Public Interest/Government Task)方面的差异。实际上,PIPL在这两点上并未作出明确规定,这主要归因于中国和欧洲在法律及监管环境上的差异。
首先在合法利益这一点上,GDPR作为欧洲地区的人权保护框架,旨在平衡企业与个人之间的权益,为企业提供一定的灵活性,允许其在没有明确同意的情况下处理个人数据,从而在一定程度上增强了企业的自主权。相比之下,PIPL更加强调对个人信息的严格控制。在处理个人数据时,PIPL要求必须获得明确的授权或依据法律规定进行,更倾向于通过明确同意或法律规定来实施严格监管。
其次在公共利益方面,两部法律对公共事务和政府职责的界定存在差异。GDPR在确保公共机构履行任务时赋予了更大的灵活性,而PIPL则通过其他法律条款来规范政府的处理权限,更加侧重于信息透明性和数据主体的保护。
在跨境处理信息的过程中,除了需遵循《个人信息保护法》(PIPL)和《通用数据保护条例》(GDPR)这两部基础法律的规定外,还需执行一系列严格的安全评估措施。
以中国车企为例,若需将欧盟境内的数据传输回中国进行处理,必须确保该跨境数据传输符合GDPR的严格要求。
GDPR对向欧盟外传输数据有着明确的规范,要求必须依赖标准合同条款(SCCs)或充分性决定(Adequacy Decision)来确保数据的合法传输。特别是当涉及敏感个人信息处理时,如位置数据、行为数据以及测绘数据等,企业可能还需进行数据保护影响评估(DPIA),以全面评估数据处理的合法性、必要性和风险性。
值得注意的是,由于欧盟目前尚未对中国作出充分性决定,因此中国企业在向欧盟外传输数据时,可能需要与相关方签订标准合同条款(SCCs)来确保数据传输的合法性。
总之,在跨境传输过程中,为降低数据泄露或不当使用的风险,企业需对敏感数据进行加密或匿名化处理。