1、 全球數據合規法律服務 1/86 墾丁 W&W 國際法律團隊 中國個人信息保護法與海外多國中國個人信息保護法與海外多國/地區地區數據合規數據合規法律企業合規要點比較法律企業合規要點比較報告報告 Comparison Of PRCs Personal Information Protection Law And The Compliance Points Of Enterprises In Overseas Countries/Regions Data Compliance Laws 2 202021 1 年年 1 11 1 月月 墾丁律師事務所墾丁律師事務所 KindingKinding Pa

2、rtnersPartners 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 1/86 墾丁 W&W 國際法律團隊 中國個人信息保護法與海外多國中國個人信息保護法與海外多國/地區數據合規法律地區數據合規法律 企業合規要點比較企業合規要點比較報告報告 版權版權所有所有：本報告作者本報告作者保留對本報告的所有權利。未經保留對本報告的所有權利。未經本報告作者的本報告作者的書面許可，任何人不得以任書面許可，任何人不得以任何形式或者通過任何方式復制或轉載本報告任何受版權保護的內容。何形式或者通過任何方式復制或轉載本報告任何受版權保護的內容。免責：免責：本報告本報

3、告僅代表作者個人觀點，僅代表作者個人觀點，不代表對有關問題的法律意見，任何僅依照本報告全部不代表對有關問題的法律意見，任何僅依照本報告全部或者部分內容而做出的決定及因此造成的后果由行為人自行負責?；蛘卟糠謨热荻龀龅臎Q定及因此造成的后果由行為人自行負責。同時，鑒于數據保同時，鑒于數據保護法律法規變化迅速，本報告所有內容可能會因法律法規修改而變更，司法實踐中依護法律法規變化迅速，本報告所有內容可能會因法律法規修改而變更，司法實踐中依個案實際情況來處理。個案實際情況來處理。如您需要法律意見或其他專家意見，應該與具有相關資格的專如您需要法律意見或其他專家意見，應該與具有相關資格的專業人士或業人士或與

4、與我們聯系。我們聯系。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 2/86 墾丁 W&W 國際法律團隊 作者作者 王捷 墾丁律師事務所 掃碼加入全球數據合規討論研討群 歡迎關注我們的公眾號歡迎關注我們的公眾號 出?；ヂ摼W法律觀察出?；ヂ摼W法律觀察 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 3/86 墾丁 W&W 國際法律團隊 目錄目錄 第一部分：法律適用范圍與域外適用效力第一部分：法律適用范圍與域外適用效力.7 一、我國個人信息保護法法律適用范圍與域外適用效力解讀一、我國個人信息保護法法律適用范圍與域

5、外適用效力解讀：.7(一)我國個人信息保護法對地域范圍的規定.7(二)個人信息保護法與歐盟 GDPR 地域適用范圍的差異.8 二、海外主要個人信息保護法律法律適用范圍與域外適用效力對比二、海外主要個人信息保護法律法律適用范圍與域外適用效力對比：.10 第二部分：個人信息處理規則與特別注意事項第二部分：個人信息處理規則與特別注意事項.13 一、我國個人信息保護法個一、我國個人信息保護法個人信息處理規則與特別注意事項解讀人信息處理規則與特別注意事項解讀：.13(一)個人信息保護的原則.13(二)“告知-同意”是核心規則.15(三)“單獨同意”是特別規則.16(四)豁免告知作為例外規則.17(五)共

6、同處理承擔連帶責任規則.18(六)自動化決策應確保透明公平公正，并有權進行拒絕的規則.18 二、海外主要個人信息保護法律敏感個人信息的概念與處理規則對比：二、海外主要個人信息保護法律敏感個人信息的概念與處理規則對比：.20 第三部分：數據本地化存儲要求第三部分：數據本地化存儲要求.24 一、我國個人信息保護法數據本地化存儲一、我國個人信息保護法數據本地化存儲要求解讀要求解讀.24(一)明確了個人信息以境內存儲為原則.24(二)企業合規扼要建議.25 二、海外主要個人信息保護法律數據本地化存二、海外主要個人信息保護法律數據本地化存儲要求對比儲要求對比.27 第四部分：數據跨境傳輸規則與要求第四部

7、分：數據跨境傳輸規則與要求.30 一、我國個人信息保護法數據跨境傳一、我國個人信息保護法數據跨境傳輸規則與要求解讀輸規則與要求解讀.30(一)跨境提供個人信息的前置條件：.30(二)跨境提供個人信息的基礎要求.31(三)跨境提供個人信息的對等要求.31(四)跨境提供個人信息的特殊要求.32 二、海外主要個人信息保護法律數據跨境傳輸規則與要求對比二、海外主要個人信息保護法律數據跨境傳輸規則與要求對比.34 第五部分：數第五部分：數據主體在個人信息處理活動中的權利據主體在個人信息處理活動中的權利.37 一、我國個人信息保護法數據主體權利解讀一、我國個人信息保護法數據主體權利解讀.37 中國個人信息

8、保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 4/86 墾丁 W&W 國際法律團隊 (一)知情權.37(二)決定權.38(三)限制權.38(四)拒絕權.38(五)查詢、復制權.38(六)更正、補充權.39(七)刪除權.39(八)解釋說明權.40(九)關于逝者個人信息的近親屬繼承權.40(十)行使個人權利的途徑.41 二、二、海外主要個人信息保護法律數據主體權利對比海外主要個人信息保護法律數據主體權利對比.42 第六部分：數據影響評估（第六部分：數據影響評估（DPIA/PIADPIA/PIA）要求）要求.44 一、我國個人信息保護一、我國個人信息保護法個人信息安全

9、影響評估要求解讀法個人信息安全影響評估要求解讀.44(一)應當進行個人信息安全影響評估的情形.45(二)個人信息安全影響評估應當包括的內容.45 二、海外主要個人信息保護法律數據影響評估（二、海外主要個人信息保護法律數據影響評估（DPIA/PIADPIA/PIA）對比）對比.47 第七部分：關于發生安全事件時數據泄露通知的要求第七部分：關于發生安全事件時數據泄露通知的要求.50 一、我國個人信息保護一、我國個人信息保護法數據泄露通知要求解讀法數據泄露通知要求解讀.50(一)明確了需要執行數據泄露通知義務的情況：.50(二)明確了履行數據泄露通知義務的主體：.51(三)明確了數據泄露需要通知的對

10、象：.51(四)明確數據泄露通知中應該包含的內容：.52(五)通知時間的限制要求：.52 二、海外主要個人信息保護法律數據泄露二、海外主要個人信息保護法律數據泄露通知要求對比通知要求對比.53 第八部分：數據保護官（第八部分：數據保護官（DPO/個人信息保護負責人）任命要求個人信息保護負責人）任命要求.56 一、我國一、我國個人信息保護法個人信息保護負責人要求解讀個人信息保護法個人信息保護負責人要求解讀.56(一)需要設立個人信息保護負責人的情況.56(二)個人信息保護負責人的主要職責.57(三)關于個人信息保護負責人的資質和角色定位要求.59 中國個人信息保護法與海外多國/地區數據合規法律企

11、業合規要點比較報告 全球數據合規法律服務 5/86 墾丁 W&W 國際法律團隊 二、海外主要個人信息保護法律數據保護官要求對比二、海外主要個人信息保護法律數據保護官要求對比.61 第九部分：個人信息處理者的主要義務第九部分：個人信息處理者的主要義務.64 一、我國個人信息保護法個人信息處一、我國個人信息保護法個人信息處理者的主要義務解讀理者的主要義務解讀.64(一)制定企業內部的管理制度和操作規程.64(二)建立個人信息分級、分類的管理制度.64(三)建立數據安全制度并采取安全技術措施.65(四)建立個人信息權限管理制度，安全教育與培訓制度.65(五)制定并落實個人信息安全事件應急機制.66(

12、六)任命個人信息保護負責人.67(七)定期進行合規審計.67(八)進行事前風險評估與建立數據影響評估制度.67(九)關于“守門人規則”.67(十)法律、行政法規規定的其他措施.68 二、海外主要個人信息保護法律個人信息處理者的基礎義務扼要對比二、海外主要個人信息保護法律個人信息處理者的基礎義務扼要對比.69 第十第十部分：數據保護監管機構與違反數據保護法的處罰規定部分：數據保護監管機構與違反數據保護法的處罰規定.73 一、我國個人信息保護法數據保護監管機構和處罰規定解讀一、我國個人信息保護法數據保護監管機構和處罰規定解讀.73(一)數據保護監管機構.73(二)違反數據保護的處罰規定.77 二、

13、海外主要個人信息保護法律數據保護監管機構和處罰規定對比二、海外主要個人信息保護法律數據保護監管機構和處罰規定對比.81 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 6/86 墾丁 W&W 國際法律團隊 前前言：言：中華人民共和國個人信息保護法（以下簡稱個保法）已于 2021 年 8 月 20 日橫空出世，并將于 11 月 1 日正式生效。作為中國第一部法典化的個人信息保護法中國第一部法典化的個人信息保護法，個保法不僅從內容上借鑒和吸收了先進海外地區的立法經驗，以及包括民法典、個人信息安全規范、網絡安全法、電子商務法，數據安全法等在內的涉及個人信息保

14、護方面的有益內容，也從個人信息處理規則、個人信息跨境提供規則、個人信息主體權利、個人信息處理者的義務、以及個人信息保護和合規義務等具體方面，為個人信息主體的權益提供了全面的保障?？傮w上來說，個保法的出臺，正式宣告網絡安全與數據合規三駕馬車（網絡安全法、數據安全法、個人信息保護法）的誕生，并確立了我國個人信息保護的法治架構與體系，體現出我國高度重視個人信息保護與治理的決心與態度。筆者專注于互聯網法律服務與合規工作，特別是全球數據與個人信息合規保護領域，一直特別關注海外數據隱私保護立法的動態與發展。本文旨在通過將我國個保法與海外九大主要地區的個人信息保護法案，從十個維度進行橫向對比，以幫助出?；ヂ?/p>

15、網企業及大量接觸個人信息的相關崗位人員更好地了解各國/地區在數據保護方面的異同點，以及主要合規要點。鑒于篇幅有限，筆者僅將主要比對維度按版塊以要點的方式進行扼要列示，并期待個人信息保護同行專家朋友們的寶貴建議與指導。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 7/86 墾丁 W&W 國際法律團隊 第一部第一部分：法律適用范圍與域外適用效力分：法律適用范圍與域外適用效力 法律適用范圍，主要是指某一法律所具有或者賦予的約束力，以及其所適用的范圍廣度與深度，一般包括時間適用效力（開始生效和終止生效時間）、空間效力（生效的地域范圍）、以及對人的效力（對哪些

16、人員生效）。而對于個人信息保護法律而言，一般會關注地域適用范圍、個人適用范圍以及個人信息資料本身的適用范圍。一一、我國我國個人信息保護法個人信息保護法法律適用范圍與域外適用效力法律適用范圍與域外適用效力解讀解讀：個保法在第一章“總則”中就本法的適用范圍進行了明確的規定。首先，其明確規定過了“在中華人民共和國境內處理境內處理自然人個人信息的活動，適用本法”?？梢?，我國個保法采取了“屬地原則”，明確了其適用范圍之一針對的是“處理中國境內自然人信息的活動處理中國境內自然人信息的活動”，本法適用的個人信息主體，是指在中國境本法適用的個人信息主體，是指在中國境內的自然人個人，而無論該自然人是中國人還是外

17、國人。內的自然人個人，而無論該自然人是中國人還是外國人。換言之，即便是外國人主體，當其是在中國境內產生了個人數據，且被中國境內的組織、個人進行了個人信息的處理行為，則將會落入我國個保法的管轄和保護范圍內。(一一)我國個人信息保護法對地域范圍的規定我國個人信息保護法對地域范圍的規定 舉例說明，一款主要為境內用戶提供購物服務的國內電商類 App，在其服務過程中，收集了某位身處中國境內的外國人主體的個人信息時，則該電商類 App在中國境內處理該等外國個人主體的個人信息時，需要遵守我國個保法的規定。而至于該電商類 App 對外國人主體個人信息的處理行為，是否還會落入該外國人所屬國家或其他第三方國家/地

18、區的個人信息保護法的適用范圍，或海外地區的法律是否對本場景下的個人信息處理活動享有管轄權，則還需結合該海外地區結合該海外地區的數據保護法案的適用范圍進行分析的數據保護法案的適用范圍進行分析（我們將在下文的圖表對比中提供判斷思路）。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 8/86 墾丁 W&W 國際法律團隊 其次，我國個保法明確了它也是具有域外適用效力的，體現在第三條第二款的規定：“在中華人民共和國境外處理境外處理中華人民共和國境內自然人境內自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內自然人提供產品或者服務向境內自然人提供產

19、品或者服務為目的；（二）分析、評估境內自然人分析、評估境內自然人的行為；（三）法律、行政法規規定的其他情形?！笨梢?，我國個保法借鑒了歐盟 GDPR，明確了其具有必要的域外適用效力，具有必要的域外適用效力，規定了當向境內自然人提供產品或服務，或分析、評估境內自然人的行為亦適用規定了當向境內自然人提供產品或服務，或分析、評估境內自然人的行為亦適用個保法的規定。個保法的規定?；氐絼偛诺睦?，假如該電商類 App 在新加坡部署了數據中心，并在新加坡（中國境外）處理該外國人的數據，鑒于該 App 是以向中國境內自然人提供服務的，且該外國人亦身處中國境內，因此仍然落入我國個保法的適用范圍，需要遵守我國數據

20、保護法律法規的相關要求。特別需要注意的是，對于境外的個人信息處理者，我國個保法明確要求了應當在中國境內設立專門機構或者指定代表設立專門機構或者指定代表，負責處理個人信息保護相關事務，并將有關機構或者代表的信息報送報送履行個人信息保護職責的部門。(二二)個人信息保護法與歐盟個人信息保護法與歐盟 GDPR 地域適用范圍的差異地域適用范圍的差異 但對比于歐盟但對比于歐盟 GDPR 的地域適用范圍，我國個保法的規定還是有細微的區的地域適用范圍，我國個保法的規定還是有細微的區別。別。歐盟 GDPR 是由“穩定的安排/組織設立機構（establishment）”，以及“服務目標/開展業務過程中（in th

21、e context of the activities）”兩個標準共同確立的，而我國個保法的地域適用范圍則是由“處理行為發生地”和“服務目標”確定的。這里這里的異同體現在的異同體現在“穩定的安排穩定的安排/組織設立機構（組織設立機構（establishment）”與與“在境內進行處理在境內進行處理”，是不一樣的。是不一樣的。根據我國個保法的要求，只要處理自然人個人信息的活動發生在我 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 9/86 墾丁 W&W 國際法律團隊 國境內，或者以向我國境內自然人提供產品或者服務為目的，就會被納入個保法的管轄，而不管是

22、否需要在我國境內具有穩定的安排或設有機構（establishment）。當然，我國個保法亦明確了其不適用的情形，包括：（1）自然人因個人或者家庭事務而處理個人信息的，不適用本法。（2）法律對各級人民政府及其有關部門組織實施的統計、檔案管理活動中的個人信息處理有規定的，適用其規定?！敝袊鴤€人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 10/86 墾丁 W&W 國際法律團隊 二二、海外主要個人信息保護法律海外主要個人信息保護法律法律適用范圍與域外適用效力法律適用范圍與域外適用效力對比對比：中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球

23、數據合規法律服務 11/86 墾丁 W&W 國際法律團隊 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 12/86 墾丁 W&W 國際法律團隊 總體來說總體來說 個保法 在適用范圍上借鑒了歐盟 GDPR 的相關規定，縱觀上表其他國家/地區的數據保護法律的管轄范圍，不難看出，在全球范圍內擴大本國在全球范圍內擴大本國/本地區的本地區的數據保護法律的域外效力已成為立法趨勢。數據保護法律的域外效力已成為立法趨勢。企業在出海業務發展過程中，特別是當企業涉及處理海外主體的個人信息時，應特別關注是其個人信息處理行為，是否會落入該國或地區的個人信息保護法案管轄范圍，

24、以進一步確認是否遵守以及該如何遵守該國或地區的數據保護法律及與此相關的法律規定。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 13/86 墾丁 W&W 國際法律團隊 第二部分：個人信息處理規則與特別注意事項第二部分：個人信息處理規則與特別注意事項 個人信息處理原則以及個人信息處理的具體規則，是每個國家數據保護法案中最為關鍵和核心內容，通過在法案中明確處理個人信息的合法性基礎，以及對應的具體規則，以幫助企業和個人在處理個人信息時候厘清權利義務的邊界，企業、組織在處理個人信息活動時應當特別留意和關注關于個人信息處理的具體規則要求。一一、我國我國個人信息保

25、護法個人信息保護法個人信息處理規則與特別注意事項個人信息處理規則與特別注意事項解讀解讀：經過三審會議的我國個保法，在關于個人信息處理原則和處理規則上有了更進一步細化和完善，為企業、組織在處理個人信息時候劃定了更清晰的紅線。(一一)個人信息保護的原則個人信息保護的原則 我國個保法第五條到第十一條確立了個人信息處理應遵循的原則，強調處理個人信息應當遵循合法、正當、必要和誠信原則，具有明確、合理的目的并與處理目的直接相關，采取對個人權益影響最小的方式采取對個人權益影響最小的方式，限于實現處理目的的最小范圍，公開處理規則，保證信息質量，采取安全保護措施等。歸納來看，可以理解為主要的七大原則：1.合法、

26、正當、必要和誠信原則合法、正當、必要和誠信原則 是指處理個人信息時，一方面，應當具有合法性的基礎合法性的基礎（在下文分析）、具有具有正當的理由、并應滿足必要性的要求正當的理由、并應滿足必要性的要求（對個人信息的處理應當限定在為了實現處理目的所必要的范圍內），另一方面，要遵守誠信原則，不得不得通過誤導、欺詐、誤導、欺詐、脅迫脅迫等方式處理個人信息。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 14/86 墾丁 W&W 國際法律團隊 2.目的明確、合理原則目的明確、合理原則 相比于二審稿，個保法新增了“采取對個人權益影響最小的方式”新增了“采取對個人權益

27、影響最小的方式”，即將個人權益的影響程度作為是否明確、合理的判斷標準，再次特別強調了，信息的信息的收集范圍與處理目的應當直接關聯，并應該限制在實現目的的最小范圍內收集范圍與處理目的應當直接關聯，并應該限制在實現目的的最小范圍內（最小必要原則，不得過度收集個人信息）。3.公開、透明原則公開、透明原則 是指，處理個人信息，一方面應該對企業、組織是如何處理用戶的個人信息進行公開；另一方面，還應通過這些公開的政策、規則來明確展示企業、組織在處理個人信息方面的具體目的、處理方式和處理范圍。4.質量原則質量原則 相比于二審稿，個保法新增了“保證個人信息的質量”新增了“保證個人信息的質量”的要求，其具體內涵

28、是指，為實現個人信息的處理目的，企業、組織應當對其所處理的個人信息保證準確，并在有變化時候進行及時的更新。5.安全安全保護原則保護原則 沒有數據安全的保障，就沒有對數據的有力保護，安全是保護的關鍵前提，企業、組織應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。6.禁止非法處理原則禁止非法處理原則 個保法明確列舉了 8 大“禁止性行為”，給企業、個人劃定了清晰的紅線：任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。7.共同治理原則共同治理原則 中國個人信息保護法與海外多國/

29、地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 15/86 墾丁 W&W 國際法律團隊 個人信息保護是一項需要個人、企業、行業組織、監管部門等各方面共同協作、參與的事項，一方面，國家通過建立、健全個人信息保護制度，對侵害個人信息權益的行為進行預防和懲治；另一方面，也需要通過加強個人信息保護宣傳教育工作，推動形成政府、企業、相關行業組織、社會公眾共同參與個人信息保護的良好環境。(二二)“告知“告知-同意”是核心規則同意”是核心規則 我國個保法明確了以“告知“告知同意”為我國個人信息保護的核心規則同意”為我國個人信息保護的核心規則（核心核心的合法性基礎的合法性基礎），一方面，為個人對其

30、個人信息處理的知情權和決定權提供了重要的保障；另一方面，以“同意”作為合法理由處理個人信息，必須賦予用戶撤撤回同意回同意的權利。這與 GDPR 的規則設置是非常類似的。對于如何進行告知，個保法明確了，企業不僅要真實、準確、完整地向個人“充分告知”“充分告知”與處理個人信息的各類事項（包括處理者身份、聯系方式、處理目的、處理方式、信息種類、保存期限、個人行使權力的方式和程序等等），還需要以顯著方式、清晰易懂的方式進行顯著方式、清晰易懂的方式進行，并且在重要事項發生變更時，還應重新取得個人的同意，而不能“一次了事”。對于如何獲得同意，則要求個人需要在“充分知情”“充分知情”的前提下，作出自愿的、自

31、愿的、明確的同意明確的同意，而不能是被強迫的、不平等的，也不能是含糊的、不清晰的情況下作出。值得一提的是，本次個保法在處理個人信息的合法理由中，新增了“實施人新增了“實施人力資源管理所必需”作為處理個人信息的合法理由之一，力資源管理所必需”作為處理個人信息的合法理由之一，但在使用這一合法理由時，應特別注意這是附條件的，只有是滿足了“依法制定的勞動規章制度”和“依法簽訂的集體合同”才可以，而何為“依法制定”和“依法簽訂”，就為作為用人單位的企業在處理員工的個人信息時留下了非常值得研究的實操空間以及合規空間，也對企業在處理員工個人信息時，提出了更進一步的合規要求。中國個人信息保護法與海外多國/地區

32、數據合規法律企業合規要點比較報告 全球數據合規法律服務 16/86 墾丁 W&W 國際法律團隊 (三三)“單獨同意”是特別規則“單獨同意”是特別規則 與此同時，我國個保法還針對“法律、行政法規等專門規定的特殊情況”，特，特別設置了特殊的單獨同意規則。別設置了特殊的單獨同意規則。1.處理敏感個人信息情形：處理敏感個人信息情形：例如，企業在處理個人敏感信息時，除了在隱私政策中，向用戶告知處理敏處理敏感個人信息的具體種類、處理的必要性、對個人的影響，采取嚴格的保護措施感個人信息的具體種類、處理的必要性、對個人的影響，采取嚴格的保護措施外，還需要在該特定場景觸發時，通過如單獨單獨彈窗、單獨頁面展示等方

33、式向個人告知告知，并獲得個人的單獨的、明示有效的同意單獨的、明示有效的同意，而不能是“概括同意”，“一攬子同意/捆綁授權”，更不能是“默認同意”。2.處理兒童個人信息情形：處理兒童個人信息情形：例如，在企業收集不滿 14 周歲的未成年人個人信息的場景下，企業還應當還應當取得未成年人的父母或者其他監護人的同意取得未成年人的父母或者其他監護人的同意。3.向其他個人信息處理者提供個人信息情形：向其他個人信息處理者提供個人信息情形：例如，在企業向其他第三方合作伙伴（其他個人信息處理者）提供、轉移提供、轉移個人信息的場景下，除了需要向個人履行告知義務（個保法規定了告知內容的法定要求），進行事前的風險評估

34、外，還應當取得個人的單獨同意。還應當取得個人的單獨同意。而對于前述情況下作為數據接收方的第三方合作伙伴，除了應該在傳輸方告知個人的范圍內處理個人信息，還應該在接收方企業變更原先的處理目的和方式時，重新取得個人的同意。重新取得個人的同意。4.在在公共場所安裝圖像采集、個人身份識別設備公共場所安裝圖像采集、個人身份識別設備的情形：的情形：這是本次個保法新增的內容，與目前大量企業濫用攝像頭收集個人信息、特別是人臉識別信息等情況有關，也與今年 8 月 1 日出臺的最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定 起到遙相呼應的效果。中國個人信息保護法與海外多國/地區數

35、據合規法律企業合規要點比較報告 全球數據合規法律服務 17/86 墾丁 W&W 國際法律團隊 與此相關的企業應特別關注和留意，在安裝圖像采集、個人身份識別設備時，應當：(1)是為了維護公共安全所必需維護公共安全所必需限制收集目的限制收集目的(2)在遵守國家有關規定的同時，還應設置顯著的提示標識顯著的提示標識明確告知方明確告知方式式(3)特別需要注意的是，企業因此而收集的個人圖像、身份識別信息，只能只能用于維護公共安全的目的用于維護公共安全的目的，不得用于其他目的；但取得個人單獨同意的但取得個人單獨同意的除外除外限制處理用途限制處理用途 5.公開個人信息的情形公開個人信息的情形：個保法明確規定了

36、，原則上不得公開，但取得個人單獨同意的除外。原則上不得公開，但取得個人單獨同意的除外。值得注意的是，在使用公開個人信息方面，我國個保法參考海外數據保護法規，也提供了“選擇退出”的規定：也提供了“選擇退出”的規定：(1)對于個人自行公開或者其他已經合法公開的個人信息，除非個人明確拒絕，個人信息處理者可以在合理范圍內處理；(2)對于處理已公開的個人信息，而對個人權益有重大影響的，個人信息處理者應當取得個人同意。(四四)豁免告知作為例外規則豁免告知作為例外規則 本次個保法不僅在告知的內容要求上和告知的形式上作出了進一步的細化要求，還確立了兩種個人信息處理者可以進行豁免的告知情形：(1)基于保密義務的

37、豁免：當有法律、行政法規規定應當保密或者不需要告知的情況下，可以不向個人告知個人信息處理者的名稱或者姓名和聯系方式。(2)基于緊急情況的豁免：為保護自然人的生命健康和財產安全而無法及時向個人告知的情況下，可以在緊急情況發生之時不進行告知，但是應當在緊急情況消除后及時告知。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 18/86 墾丁 W&W 國際法律團隊 (五五)共同處理承擔連帶責任規則共同處理承擔連帶責任規則 本次個保法正式確定了共同處理者的概念（共同決定個人信息的處理目的和本次個保法正式確定了共同處理者的概念（共同決定個人信息的處理目的和處理方式

38、的），也是新增內容之一處理方式的），也是新增內容之一。與歐盟 GDPR 以及先前出臺的個人信息規范不同的是，個保法在概念上沒有區分個人信息控制者和處理者，而是通過明確規定“在共同處理個人信息時，在侵害個人信息權益造成損害的情況，應當一起依法承擔連帶責任”的方式，確立了由共同處理者一起面向個人數據主體去承擔連帶責任一起面向個人數據主體去承擔連帶責任。提醒企業注意的是，提醒企業注意的是，在發生共同處理的情況下，應該通過合同的方式與第三方明確約定雙方的權利與義務，明確各自需要承擔的責任，要求第三方共同滿足個人信息安全的要求，同時亦需要向個人數據主體進行有效的告知。(六六)自動化決策應確保透明公平公正

39、，并有權進行拒絕的規則自動化決策應確保透明公平公正，并有權進行拒絕的規則 這可能是本次個保法最為關注也受到最大熱議的亮點之一，明確了廣大用戶關注的自動化決策的規制，即應“保證決策的透明度和結果公平公正透明度和結果公平公正”且“不得對個人在交易價格等交易條件上實行不合理的差別待遇”。要求企業在自動化決策最為普遍的應用場景“信息推送、商業營銷信息推送、商業營銷”中，應當向個人提供“不針對其個人特征的選項不針對其個人特征的選項”，或者“向個人提供便捷的拒絕方式便捷的拒絕方式”。特別是，對于對用戶的個人權益造成重大影響的情況，法律明確為個人主提供了要求解釋清楚的權利以及進行明確拒絕的權利要求解釋清楚的

40、權利以及進行明確拒絕的權利。本條的出現，在實務中，引起了非常多與個性化推薦有關的企業的關注，特別是精準廣告的行業企業，在接下來的實際應用中，相信會有更多的實務難題出現。但從最基本的合規注意事項而言，企業可以關注以下基本的合規邏輯：(1)以充分、全面、清晰告知用戶，以及取得用戶的個人同意為合法性基礎，中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 19/86 墾丁 W&W 國際法律團隊 其確保該同意是自愿、明確的；(2)對企業所進行的自動化決策的透明和公平性進行解釋與說明；(3)當自動化決策是用于為了信息推送，或商業廣告推廣時，應為用戶提供可以退出的途徑

41、，以及不進行個人特征推送的選項；(4)僅通過自動化決策作出對個人權益有重大影響的決定的，在用戶要求解析說明，或用戶明確提出拒絕時，應保障其權利機制的實現，并考慮增加人工決策的方式。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 20/86 墾丁 W&W 國際法律團隊 二二、海外主要個人信息保護法律海外主要個人信息保護法律敏感個人信息的概念與處理規則敏感個人信息的概念與處理規則對比：對比：鑒于個人信息處理的規則是一個比較復雜的分析類事項，一方面，不同國家的數據保護法律會有不同的規定，不僅對于特殊類型個人信息有不同的概念不僅對于特殊類型個人信息有不同的概念

42、與分類，而且也會對不同特殊類型的個人信息有特別的規則與分類，而且也會對不同特殊類型的個人信息有特別的規則，另一方面，在大量的實務操作過程中，還需要結合具體的業務場景、前提和多方面的維度進行綜合考慮。鑒于篇幅有限，以下表格，我們僅就個人敏感信息的定義以及處理我們僅就個人敏感信息的定義以及處理要求和一些特殊點進行扼要對比。要求和一些特殊點進行扼要對比。如有不完善之處，還請同行們多多指正。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 21/86 墾丁 W&W 國際法律團隊 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律

43、服務 22/86 墾丁 W&W 國際法律團隊 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 23/86 墾丁 W&W 國際法律團隊 總體來說總體來說 個人信息的處理的具體規則，是每個國家數據保護法案中非常值得關注的內容，大部分國家的數據保護法律法規中都會對特殊類型的數據提出了特殊的大部分國家的數據保護法律法規中都會對特殊類型的數據提出了特殊的處理規則處理規則（例如會分別對一般個人信息、敏感個人信息、健康信息、生物特征信息進行概念上的分類，以及規定不同的處理規則），以更好地保護個人數據主體的權益，同時也成為企業、組織和個人在處理個人信息時候的指南針和區

44、分合規紅線的判斷基礎。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 24/86 墾丁 W&W 國際法律團隊 第第三三部分：部分：數據本地化存儲要求數據本地化存儲要求 數據本地化存儲，是指某一主權國家/地區，通過制定法律或規則來限制本國數據向境外流動，是對數據出境進行限制的做法之一。數據又被譽為當今的“石油”，在全球互聯網信息時代中顯得尤為重要。因此，有些主權國/地區會對個人信息進行不同維度的分類，并根據不同的類型的個人信息提出了本地存儲與跨境流動限制的要求。一一、我國我國個人信息保護法個人信息保護法數據本地化存儲要求數據本地化存儲要求解讀解讀 (一一

45、)明確了個人信息以境內存儲為原則明確了個人信息以境內存儲為原則 我國個保法明確規定了個人信息的存儲地點應當以境內存儲為原則，應當存儲在境內的具體情形包括：(1)國家機關處理處理的個人信息；(2)關鍵信息基礎設施運營者關鍵信息基礎設施運營者（CIIOCIIO）在境內在境內收集和產生的個人信息；(3)即使不構成即使不構成 CIIOCIIO，如果，如果個人信息處理者個人信息處理者在境內在境內收集和產生的個人信息的數量達到國家網信部門規定的數量達到國家網信部門規定的數量的的，也應當存儲在境內。個保法特別強調了關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在境內收集

46、和產生的個人信息存儲在境應當將在境內收集和產生的個人信息存儲在境內，不得向境外傳輸。內，不得向境外傳輸。如果的確需要如果的確需要向境外提供個人信息的，應當通過國家網信向境外提供個人信息的，應當通過國家網信部門組織的安全評估。部門組織的安全評估。換言之，對于關鍵信息基礎設施等重要數據的儲存、利用、控制和管轄，我國提出了明確的本地化存儲的要求明確的本地化存儲的要求，其基本邏輯是，任何中國公司或者外國公司在我國境內采集和存儲與個人信息和關鍵領域相關數據時，必須使用我國境內的服務器。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 25/86 墾丁 W&W 國際

47、法律團隊 這是我國作為主權國家行使“數據主權”的重要體現之一，也與我國網絡安全法基于保障網絡數據安全的考量，明確要求在境內存儲“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”的要求一脈相承。(二二)企業合規扼要建議企業合規扼要建議 從前面分析可知，我國個保法并非像某些主權國家（例如俄羅斯）一樣對本地化存儲進行了非常嚴格的要求，而是對特定的主體特定的主體提出了本地化存儲的要求以及安全評估的義務。企業以及特別是涉及國際業務的企業，在處理個人信息的時候,需要關注是否受到本地化存儲的要求限制：StepStep 1 1：判斷是否落入必須進行本地化存儲的主體范圍。：判斷

48、是否落入必須進行本地化存儲的主體范圍。如果是，則需要進行數據本地化存儲，即企業應當將在中國境內收集和產生的個人信息存儲在境內。StepStep 2 2：判斷是否有的確有需要向境外提供的必要。：判斷是否有的確有需要向境外提供的必要。即企業需要結合業務的實際情況與業務運作安排等維度，綜合考慮與確認該等數據出境的必要性。StepStep 3 3：判斷是否已經通過國家網信部門組織的安全評估：判斷是否已經通過國家網信部門組織的安全評估。我國的數據本地化要求并沒有一刀切地完全禁止將個人信息傳輸至中國境外，對于確實需要向境外提供的，則需要在通過國家網信部門組織的安全評估后再進行傳輸。根據網信辦 2019 年

49、個人信息出境安全評估辦法（征求意見稿）的要求，企業在進行安全評估時候，并非完成了內部的自我評估就結束，而是應當向所在地的省級網信部門進行個人信息出境安全評估的申報動作。安全評估的重點包括：(1)評估個人信息跨境傳輸是否符合法律法規及政策規定；(2)傳輸方與接收方所簽署的合同是否能夠充分保障個人信息主體合法權益；中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 26/86 墾丁 W&W 國際法律團隊 (3)合同是否得到有效執行；(4)傳輸方與接收方是否發生過有損害個人信息主體合法權益的歷史、是否發生過重大網絡安全事件；(5)傳輸方獲得個人信息是否合法、正當

50、。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 27/86 墾丁 W&W 國際法律團隊 二二、海外主要個人信息保護法律海外主要個人信息保護法律數據本地化存儲要求數據本地化存儲要求對比對比 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 28/86 墾丁 W&W 國際法律團隊 從上述各國或地區要求本地化的數據類型從上述各國或地區要求本地化的數據類型來看來看，大致可以分為三種類型：，大致可以分為三種類型：(1)數據保護法律中沒有明確要求進行本地化存儲的，但可能在進行跨境傳輸時候提供了嚴格的限制。例如歐盟 GDPR

51、、新加坡地區等；(2)對數據類型進行劃分，針對不同的數據類型提出不同的本地化存儲要求。例如印度，劃分為關鍵個人數據、敏感個人數據和一般個人數據，關鍵的個人數據必須存儲在印度境內，但也提供了例外條件；對于敏感的個人數據，必須存儲在印度境內，但其副本可以按照跨境轉移的要求進行傳輸到印度境外。(3)對收集數據的主體進行了劃分，并針對不同的特定主體提出了不同的本地化存儲要求。例如印尼要求只有公共電子系統運營商才必須將其電子系統和數據放置在印度尼西亞本地?？傮w來說總體來說 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 29/86 墾丁 W&W 國際法律團隊 隨

52、著各國監管機構認識到某些類型的數據需要在本地境內存儲，并需要更嚴格控制跨境數據傳輸，數據存儲本地化正日益成為一項全球性挑戰。對于涉及海外業務的企業，應特別需要關注出海目標國家的數據本地化存儲的要求，結合業務的整體發展規劃與業務運營成本，綜合考慮服務器部署的位置與方案，以更好地在符合目標國際的數據合規要求同時，也提高企業的內部運作效率。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 30/86 墾丁 W&W 國際法律團隊 第第四四部分：部分：數據跨境傳輸規則與要求數據跨境傳輸規則與要求 在數字經濟時代，數據是各國競相爭奪的基礎性戰略資源，各國不斷出臺數據

53、跨境傳輸規則與政策，強化本國對數據資源的掌控能力，以便在全球數字經濟發展格局中占據有利地位。與此同時，數據只有流動才能產生經濟紅利，如何平衡跨境數據流動為跨國合作帶來極大促進作用的同時，也能更好地維護主權國家在個人隱私權、企業商業利益和國家安全的問題上，提出了法律規制上的全新挑戰。一一、我國我國個人信息保護法個人信息保護法數據跨境傳輸規則與要求數據跨境傳輸規則與要求解讀解讀 (一一)跨境提供個人信息的前置條件：跨境提供個人信息的前置條件：我國個保法正式確立了我國個人信息跨境流動的規則體系，規定個人信息以在境內存儲為原則，并確定了需要在滿足法律規定的條件下可以向境外提供個人信息的規則?？梢?，我國

54、基于個人信息的跨境流動將會影響到個人隱私安全、企業利益甚至國家安全，以及數據的跨境流動具有不可逆的特性，采取了對個人信息跨采取了對個人信息跨境傳輸活動進行事前監管的方式。境傳輸活動進行事前監管的方式。個保法第三十八條明確規定，個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當至少具備下列一項至少具備下列一項條件：（一）依照本法第四十條的規定通過國家網信部門組織的安全評估國家網信部門組織的安全評估；（二）按照國家網信部門的規定國家網信部門的規定經專業機構進行個人信息保護認認證；（三）按照國家網信部門制定的標準國家網信部門制定的標準合同與境外接收方訂立合同合同與境外接收方訂立

55、合同，約定雙方的權利和義務；（四）法律、行政法規或者國家網信部門規定的其他條件。我國締結或者參加的國際條約、協定對向境外提供個人信息的條件等有規定的，可以按照其規定執行。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 31/86 墾丁 W&W 國際法律團隊 首先，從法條本義解析出發，至少滿足其中一項條件即可，但實踐中，如果能同時滿足其他條件，亦為更佳。其次，需要注意的是，安全評估或個人信息保護認證，并非企業自我評估或自我認證就可以，而是兩者都需要由國家網信部門的安排與組織下進行。根據 2019 網信辦發布的個人信息出境安全評估辦法（征求意見稿），與安全

56、評估的相關規則還處在征求意見階段，暫未見其他進一步的強制規定與政策指南。所以，盡管目前還沒有具體的由國家網信部門指定的標準合同，但相比前兩者來說，目前跨國企業在進行個人信息跨境傳輸時較為可行的方式，是采取“與境外接收方訂立合同”的方式，通過要求提供方與接收方公司簽訂合同以約定雙方在個人信息處理和保護的權利和義務。(二二)跨境提供個人信息的基礎要求跨境提供個人信息的基礎要求 跨境傳輸是個人信息處理活動的一種，因此，在滿足“前置條件”的情況下，企業在向境外提供個人信息的時候，仍需要繼續按照我國個保法的基礎要求進行，主要包括：(1)向數據主體告知告知境外接收方的身份和聯系方式，個人信息的處理目的、處

57、理方式，個人信息的種類、數據主體對應權利，以及保存期限（且應當為實現處理目的所必要的最短時間等）；(2)獲得數據主體的單獨同意單獨同意；(3)進行事先的個人信息保護影響評估個人信息保護影響評估（DPIA 或 PIA）(4)采取必要措施，保障境外接收方處理個人信息的活動達到達到個保法要求的個人信息保護標準個人信息保護標準；(5)確保境外接收方沒有落入國家網信部門的黑名單沒有落入國家網信部門的黑名單（列入限制或者禁止提供個人信息的公告清單）。(三三)跨境提供個人信息的對等要求跨境提供個人信息的對等要求 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 32/

58、86 墾丁 W&W 國際法律團隊 我國個保法確立了信息跨境傳輸的“對等原則”，即，如果信息接收國家和地區在個人信息保護方面對我國采取歧視性的禁止、限制或者其他類似措施，作為我國可以根據實際情況對該國家或者地區采取對等的禁止、限制或其他類我國可以根據實際情況對該國家或者地區采取對等的禁止、限制或其他類似的措施似的措施。在這樣的情況下，當個人信息是向該等國家或地區提供的時候，則會受到相應的限制，需要視情況而具體分析。(四四)跨境提供個人信息的特殊要求跨境提供個人信息的特殊要求 A A.在向境外提供個人信息時候，還需要特別關注被傳輸的個人信息的性質，在向境外提供個人信息時候，還需要特別關注被傳輸的個

59、人信息的性質，以及數量問題。以及數量問題。對于關鍵信息基礎設施運營者，以及處理個人信息達到國家網信部門規定數量的個人信息處理者，應當：將在境內收集和產生的個人信息存儲在境內存儲在境內；確需向境外提供的，應當通過國家網信部門組織的安全評估安全評估；但法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。關于“關鍵信息基礎設施”的認定，關于“關鍵信息基礎設施”的認定，在剛剛生效的關鍵信息基礎設施安全保護條例中有所體現，主要是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國

60、計民生、公共利益的重要網絡設施、信息系統等。關于“關于“個人信息達到個人信息達到國家網信部門規定數量”的界定，國家網信部門規定數量”的界定，可參考本年 7 月份網信辦發布的網絡安全審查辦法（修訂草案征求意見稿），以及 2017 年網信辦發布的個人信息和重要數據出境安全評估辦法(征求意見稿)中的規定。B B.在協助境外司法執行方面的規定在協助境外司法執行方面的規定 我國個保法在這方面設置了非常高的門檻，明確規定了，對于存儲在我國境內的個人信息，如果沒有經過我國主管機關的批準如果沒有經過我國主管機關的批準，不得向外國司法或者執不得向外國司法或者執法機構進行提供。法機構進行提供?？梢?，我國對此情形下

61、亦強調并采取了事前監管原則，即便進行了各種安全評估、獲得數據主體同意、進行個人信息保護認證等方式也不 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 33/86 墾丁 W&W 國際法律團隊 能成為可以向境外司法或執法機構提供的前置條件，而唯有獲得中國主管機關的明確批準，才能流出境外。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 34/86 墾丁 W&W 國際法律團隊 二二、海外主要個人信息保護法律海外主要個人信息保護法律數據跨境傳輸規則與要求數據跨境傳輸規則與要求對比對比 中國個人信息保護法與海外多國/地區數

62、據合規法律企業合規要點比較報告 全球數據合規法律服務 35/86 墾丁 W&W 國際法律團隊 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 36/86 墾丁 W&W 國際法律團隊 總體來說總體來說 在數據跨境流動方面，主要是以美國和歐盟為首的主要管理思路。美國在數據流入方面主張“數據自由流動”，強調通過美國科技和數據資源上的優勢，推動數字經濟的發展；在數據流出方面，則通過出口管制手段來限制高科技、軍民兩用技術的數據出境。歐盟則選擇“歐盟境內松，歐盟境外緊”的數據跨境管理模式。在歐盟境內通過非個人數據自由流動框架條例促進歐盟內部數據的自由流動，同時通過

63、通用數據保護條例（GDPR），確定歐盟數據保護的法律框架，增強了數據向境外流出的管控，并通過長臂管轄方式加大了對歐盟個人數據的保護力度。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 37/86 墾丁 W&W 國際法律團隊 第第五五部分：部分：數據主體在個人信息處理活動中的權利數據主體在個人信息處理活動中的權利 每個人都有權保護與他或她有關的個人信息或數據，對個人信息主體進行數據處理的，必須出于特定目的并在相關人員同意或法律規定等其他的合法基礎的基礎上進行，且數據處理的過程需要是公平的、平等的、自愿的。這樣的這樣的權利會分為不同的類型，有包括維護數據主

64、體尊嚴的權利權利會分為不同的類型，有包括維護數據主體尊嚴的權利，例如每個人都有權訪問已收集的有關他或她的數據（知情權、訪問權知情權、訪問權），并有權對其進行糾正（更正權更正權）；有包括進行消極的控制數據使用的權利，例如刪除權刪除權/被遺忘權被遺忘權、限制處理權限制處理權/拒絕權拒絕權等權利；也有包括對數據進行積極處理與控制的權利，例如數據轉移權數據轉移權/可攜帶權可攜帶權等。通過法律賦予數據主體在個人信息處理活動中的權利，是非常重要與關鍵的，這不僅意味著每個人都有權保護他們的個人信息，更體現了企業、個人在更體現了企業、個人在使用這些數據主體的個人信息時，更應以公平、合法、合規的方式進行處理和使

65、用這些數據主體的個人信息時，更應以公平、合法、合規的方式進行處理和使用，并尊重每個人的個人信息權利。使用，并尊重每個人的個人信息權利。一一、我國我國個人信息保護法個人信息保護法數據主體數據主體權利權利解讀解讀 我國個保法在借鑒海外優秀數據法律的同時，也結合了自己的特色，從八大個方面賦予了個人信息主體所享有的主體權利，并特別就數據主體行使個人權利的可觸達途徑，以及逝者在個人信息主體權利方面做了進一步的完善，使到我國個人信息保護的整體架構更為豐滿：(一一)知情權知情權 個人信息主體對于自己的個人信息是如何被收集、使用、處理的進行個人信息主體對于自己的個人信息是如何被收集、使用、處理的進行充分的知悉

66、和了解充分的知悉和了解，是最為基礎的權利，也與我國個保法要求企業、個人等信息處理者需要履行告知義務，獲得用戶的自愿明確的同意相輔相成。企業在處理個人信息時，應通過明示個人信息保護政策讓個人信息主企業在處理個人信息時，應通過明示個人信息保護政策讓個人信息主體清晰地了解到有關個人信息處理的各項內容與規則體清晰地了解到有關個人信息處理的各項內容與規則，包括但不限于企業的主體身份、聯系方式等基本情況、所收集的個人信息的具體類型與范 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 38/86 墾丁 W&W 國際法律團隊 圍、個人信息的收集方式、存儲期限、數據出境

67、的處理規則、個人信息處理和使用的目的、使用方式與范圍等等。(二二)決定權決定權 個人信息主體對自己的個人信息權利享有自主決定的權利是保護數據主體個人信息主體對自己的個人信息權利享有自主決定的權利是保護數據主體權利的核心內容權利的核心內容，有權決定是否接受個人信息處理者對其個人信息的收集、使用和處理。企業在處理個人信息時應該對個人信息主體的決定權提供充分的保障，例如通過主動勾選同意協議、通過區分必要與附加業務功能來為個人信息例如通過主動勾選同意協議、通過區分必要與附加業務功能來為個人信息主體提供是否選擇接受服務功能等方式進行。主體提供是否選擇接受服務功能等方式進行。(三三)限制權限制權 個人信息

68、主體的限制權是決定權的延伸體現個人信息主體的限制權是決定權的延伸體現，例如個人信息主體有權要求企業、組織在收集個人信息的時候應當限于實現處理目的的最小范圍，不得過度收集個人信息；有權要求企業、組織在處理個人信息的時候僅在已經告知和獲得同意的限定范圍內進行使用，如果超出已約定的范圍或者超出合理合法的范圍的，則需要另外再行告知與獲得同意。(四四)拒絕權拒絕權 個人信息主體的拒絕權也可以理解為決定權的延伸體現個人信息主體的拒絕權也可以理解為決定權的延伸體現，例如，對于不是非必需提供個人信息才能使用的某些業務功能，個人信息主體可以拒絕提供。我國四部門在 2021 年 3 月聯合發布的常見類型移動互聯網

69、應用程序必要個人常見類型移動互聯網應用程序必要個人信息范圍規定信息范圍規定進行了明確要求與呼應，明確規定了移動互聯網應用程序明確規定了移動互聯網應用程序（AppApp）運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用）運營者不得因用戶不同意收集非必要個人信息，而拒絕用戶使用 AppApp基本功能服務?；竟δ芊?。我國個保法也在個人信息處理規則中，通過要求個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務（但處理個人信息屬于提供產品或者服務所必需的除外）來進一步保障了個人信息主體實現拒絕權的可能性。(五五)查詢、復制權查詢、復制權 中國個人信息保護法與海

70、外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 39/86 墾丁 W&W 國際法律團隊 個人信息主體有權對自己被收集和處理的個人信息進行查看、訪問與復個人信息主體有權對自己被收集和處理的個人信息進行查看、訪問與復制制，但是也給出了豁免條款，例如企業、組織在處理個人信息時候被法律所要求應當進行保密或者不需要進行告知的情形。本次個保法還特別新增了數據可攜權，這個權利在此前的一審、二審稿中本次個保法還特別新增了數據可攜權，這個權利在此前的一審、二審稿中都沒有體現過。都沒有體現過。該權利明確要求了當個人信息主體在請求將其個人信息轉移到其指定的其他個人信息處理者的時候，如果也符合了網

71、信辦規定的條件的，則個人信息處理者應當為該個人主體提供轉移的途徑。關于數據可攜權在實操方面亦帶來了很大的問題與爭議，我們將可能在另外的文章中進行討論，暫不在此展開。(六六)更正、補充權更正、補充權 個人信息也會有一個動態的變化，賦予個人信息主體的修正、更改的權利非常重要，因為不準確、不完整的個人信息，不僅會對個人在生活、工作中造成影響，也會為企業在處理個人信息時候帶來其他風險（特別是涉及征信、金融、醫療等敏感特殊領域與情況）。因此，在個人信息主體提出要求對自己的個在個人信息主體提出要求對自己的個人信息進行更正、補充或其他異議的時候，企業、組織等個人信息處理者應該人信息進行更正、補充或其他異議的

72、時候，企業、組織等個人信息處理者應該及時進行回復、處理，核實個人信息的準確性，并對錯誤、不完整的信息進行及時進行回復、處理，核實個人信息的準確性，并對錯誤、不完整的信息進行及時的糾正與補充。及時的糾正與補充。(七七)刪除權刪除權 個人信息主體的刪除權是數據主體權利保護方面的重要體現，在其他國家或地區可能也有不同的稱呼，例如镲除權、被遺忘權（會有具體細微的區別）。對比之前的草案，個保法在刪除理由中新增了對比之前的草案，個保法在刪除理由中新增了“處理目的無法實現處理目的無法實現”，同時還就個人信息處理者提供了關于刪除權的救濟保障的規定，即在個人信息主體要求行使刪除權的時候，而實際上其他法律法規要求

73、的保存期限尚未屆滿，或技術上存在很大困難的，則個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理，以作為對數據主體行使刪除權而企業或組織等信息處理者又無法滿足時候的救濟。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 40/86 墾丁 W&W 國際法律團隊 同時，需要特別注意的是，原則上，在一些特別的情形下，個人信息處理原則上，在一些特別的情形下，個人信息處理者應當主動刪除個人信息。者應當主動刪除個人信息。如果個人信息處理者沒有主動刪除的，則我國個保法賦予了個人有權請求個人信息處理者進行刪除。因此，作為企業，在處理用戶個人信息時候，應特別注

74、意這些情形：(1)處理目的已實現、無法實現或者為實現處理目的不再必要；(2)個人信息處理者停止提供產品或者服務，或者保存期限已屆滿；(3)個人撤回同意；(4)個人信息處理者違反法律、行政法規或者違反約定處理個人信息；(5)法律、行政法規規定的其他情形。(八八)解釋說明權解釋說明權 如前所述，企業應當向用戶明確告知個人信息的處理規則以及相關的各項內容，這是對個人信息主體的各項權利的有效保障，因此，個保法賦予了個人個人信息主體有權請求企業對其個人信息處理規則進行解釋說明的權利信息主體有權請求企業對其個人信息處理規則進行解釋說明的權利，當個人提起該要求時，作為個人信息處理者的企業、組織應該進行及時的

75、反饋與答復。(九九)關于逝者個人信息的近親屬繼承權關于逝者個人信息的近親屬繼承權 這也是本次個保法新增的亮點內容之一。這也是本次個保法新增的亮點內容之一。從全球角度來看，法律對于逝者的個人信息保護與隱私權保護，很多國家還在不斷探索中，有部分國家有明確的立法規定，例如美國 HIPPA 對逝者在醫療方面的隱私保護。我國個保法也為逝者的個人信息保護提供了一定程度的保護，在自然人死亡情況下，當該逝者的近親屬是為了自身的合法、正當利益的，其近親屬可以對逝者的相關個人信息行使包括個保法規定的查閱、復制權、更正權、刪除權等相關權利，但如果逝者在生前通過協議、約定等方式另有安排的除外。但如果逝者在生前通過協議

76、、約定等方式另有安排的除外?？梢?，逝者近親屬行使的逝者數據主體權利的法定基礎是明確的，包括合逝者近親屬行使的逝者數據主體權利的法定基礎是明確的，包括合法、正當、或遵從逝者生前的安排等。法、正當、或遵從逝者生前的安排等。同時，對于可以行使的權利類型也給出了較為明確的規定，包括查閱權、復制權、更正權和刪除權等可以由近親屬等繼承人實現的權利。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 41/86 墾丁 W&W 國際法律團隊 (十十)行使個人權利的途徑行使個人權利的途徑 如果沒有個人權利有效的實現途徑，上述個人信息主體的權利將會僅是紙上談兵。因此我國個保法

77、，特別在本章的最后，增加并明確要求企業、組織等個人因此我國個保法，特別在本章的最后，增加并明確要求企業、組織等個人信息處理者應當建立便捷的、可真正觸達的、方便用戶（個人信息主體）行使信息處理者應當建立便捷的、可真正觸達的、方便用戶（個人信息主體）行使數據主體權利的途徑，包括申請受理途徑和具體可落地的處理機制。數據主體權利的途徑，包括申請受理途徑和具體可落地的處理機制。同時，明確要求企業、組織等個人信息處理者在拒絕個人行使權利的請求在拒絕個人行使權利的請求的，應當明確說明其具體的理由。的，應當明確說明其具體的理由。在遭受個人信息處理者拒絕行使數據主體權利請求的的時候，用戶個人有權向法院提起訴訟，

78、以獲得有效的司法救濟。用戶個人有權向法院提起訴訟，以獲得有效的司法救濟。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 42/86 墾丁 W&W 國際法律團隊 二二、海外主要個人信息保護法律海外主要個人信息保護法律數據主體權利數據主體權利對比對比 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 43/86 墾丁 W&W 國際法律團隊 總體來說總體來說 各國數據保護法律在個人信息主體權利方面的保護還是比較充分的，特別是在知情權、訪問權、更正權、刪除權等最為核心基礎權利的保障上。隨著數據保護法律的不斷迭代更新與發展

79、，個人信息主體的權利將會得到更為有效、完善的法律保障。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 44/86 墾丁 W&W 國際法律團隊 第六部分：數據影響評估（第六部分：數據影響評估（DPIA/PIADPIA/PIA）要求）要求 “數據保護影響評估”是引用自 GDPR 的規定，要求數據控制者需要對“可能會對自然人的權利和自由造成高風險”的操作進行數據保護影響評估，英文為 Data Protection Impact Assessment,簡稱 DPIA，有些國家或地區也稱為“隱私影響評估”（Privacy Impact Assessment，簡稱

80、 PIA），主要是指在開始數據處理活動之前和在部分特定的情況下，數據控制者有義務對數據處理的行為進行不同維度的影響評估，對個人信息主體合法權益是否可能會造成損害的不同風險進行評估，以幫助企業對數據處理過程中可能涉及的風險進行識別與系統分析。鑒于篇幅有限，本文僅就需要進行 DPIA/PIA 的情況進行基礎對比，暫不就如何開展 DPIA/PIA 進行論述，我們或會通過其他文章就怎樣進行數據影響評估進行分析。一一、我國個人信息保護法我國個人信息保護法個人信息安全影響評估個人信息安全影響評估要求要求解讀解讀 在我國個保法出臺前，我國已經有相關的法律以及國家標準指南等文件對“個人信息安全影響評估”作出了

81、規定，例如網絡安全法要求“關鍵信息基礎設施的運營者在中國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”；又例如，數據安全法對“重要數據的處理者”作出了“應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告”的要求；以及國家市場監督管理總局、國家標準化管理委員會也通過正式發布信息安全技術 個人信息安全影響評估指南（GB/T39335-2020 國家標準），來對如何進行個人信息保護影響評估提出了具體的評估規則和參考內容，以便為企業提供更有效的實務參考工具和標準。中國個人信

82、息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 45/86 墾丁 W&W 國際法律團隊 (一一)應當進行應當進行個人信息安全影響評估個人信息安全影響評估的情形的情形 雖然個保法出臺前已經有前述關于“個人信息安全影響評估”的規定內容，但對于大部分非 CIIO 亦非重要數據處理者的企業來說，由于進行數據影響評估屬于非強制性要求，因此較多企業可能還沒將需要進行數據影響評估作為內部合規機制之一。而本次個保法則明確將數據影響評估的要求作為強制性法而本次個保法則明確將數據影響評估的要求作為強制性法律要求列入，對企業內部合規制度的建設提出了更為嚴格的要求。律要求列入，對企業內

83、部合規制度的建設提出了更為嚴格的要求。本次個保法沒有就籠統性的場景對需要進行數據影響評估作出規定，而是針對具體的處理活動作為判斷是否需要進行 DPIA/PIA 的基準點，個人信息處理個人信息處理者應當在數據處理活動之前進行數據影響評估的情況（事前風險評估）包括：者應當在數據處理活動之前進行數據影響評估的情況（事前風險評估）包括：1.處理敏感個人信息 2.利用個人信息進行自動化決策 3.委托處理個人信息 4.向其他個人信息處理者提供個人信息 5.公開個人信息 6.向境外提供個人信息 7.以及其他對個人權益有重大影響的個人信息處理活動 不管是否是 CIIO，還是重要的數據處理者，只要是落入我國個保

84、法立法語境下“個人信息處理者”的范疇，就可以根據上述法定的情況來判斷是否需要執行 DPIA/PIA。(二二)個人信息安全影響評估個人信息安全影響評估應當包括的內容應當包括的內容 同時，個保法還對 DPIA/PIA 應當包括的內容應當包括的內容作出了明確的規定：1.個人信息的處理目的、處理方式等是否合法、正當、必要；2.對個人權益的影響及安全風險；3.所采取的保護措施是否合法、有效并與風險程度相適應。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 46/86 墾丁 W&W 國際法律團隊 另外，在企業檔案保管制度要求方面，個保法亦通過明確的法律規定對企業提

85、出了具體的保存期限要求，即，個人信息處理者應當對個人信息保護影響應當對個人信息保護影響報告和處理情況的記錄至少保存三年。報告和處理情況的記錄至少保存三年。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 47/86 墾丁 W&W 國際法律團隊 二二、海外主要個人信息保護法律海外主要個人信息保護法律數據影響評估（數據影響評估（DPIA/PIADPIA/PIA）對比對比 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 48/86 墾丁 W&W 國際法律團隊 總總體來說體來說 中國個人信息保護法與海外多國/地區數據合規

86、法律企業合規要點比較報告 全球數據合規法律服務 49/86 墾丁 W&W 國際法律團隊 筆者認為，當企業涉及處理敏感的、重要的的數據時候，將進行數據影響評估作為必備的內部合規制度，還是非常必要的。即便通過 DPIA/PIA 并不能為企業消除所有的數據合規風險，但卻能在較大程度上幫助企業最小化與數據合規相關的風險，以及可以幫助企業判斷對應的數據風險等級，并作出是否接受該等風險的判斷。從 GDPR 角度而言，DPIA 是履行 GDPR 問責制義務的關鍵體現之一；從我國個保法來看，是企業在部分法定情形下應當進行事前風險評估的強制性要求?？傮w而言，企業通過實施并較好地完成數據影響評估，不僅能降低各類數

87、據潛在風險的發生，而且能幫助企業自我證明其在業務運營過程中遵守了屬地國/地區的數據保護法律的規定和要求，企業亦能根據數據影響評估的結果采取有效的合規策略與保障措施。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 50/86 墾丁 W&W 國際法律團隊 第第七七部分：部分：關于發生安全事件時數據泄露通知的要求關于發生安全事件時數據泄露通知的要求 數據泄露無小事，它總是不可避免地發生在日常業務運營的過程中，一旦出現數據泄露等不同類型的安全事件時，將會對個人信息主體造成不同程度的危害和影響。造成數據泄露的原因紛繁復雜，例如網絡運營者自身的系統漏洞、沒有及時更

88、新技術措施、黑客的故意攻擊、內部管理人員的不法操作或故意泄露等等，難以進行完全的消除與遏制。因此，不同地區和國家的數據保護法律通過在立法中確定“數據泄露通知制度”以加強對數據泄露的管理，通過及時采取有效措施和控制損害范圍的擴大，來有效保障數據主體權益。而數據泄露通知則是指當發生個人數據泄露安全事件時候，個人信息的控制者與處理者需要就泄露事件向不同的主體發出通知和報告的義務。一、一、我國個人信息保護法我國個人信息保護法數據泄露通知要求數據泄露通知要求解讀解讀 GDPR 第 33 和 34 條規定了在發生個人數據泄露的情形時，數據控制者通知監管機構和受影響數據主體的要求，強制要求數據控制者應當在發

89、現數據泄露的 72 小時內將個人數據泄露的情況報告監管機構，除非個人數據泄露不太可能會對自然人的權利和自由造成風險。如果數據泄露可能對自然人的權利和自由產生較高風險，數據控制者還應當立即將個人數據泄露的情況通知數據主體。我國個保法在參考和借鑒海外數據保護立法的基礎上，亦通過明確的法律規定，對數據泄露通知作出具體的要求：(一一)明確了需要執行數據泄露通知義務的情況：明確了需要執行數據泄露通知義務的情況：個保法要求，個人信息處理者在發生或者可能發生（1）個人信息泄露；（2）個人信息被篡改；以及（3）個人信息丟失的情況下，需要履行數據泄露通知的義務。從目前的規定來看，觸發數據泄露通知的情形主要在兩大

90、點：中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 51/86 墾丁 W&W 國際法律團隊 一是，只要是個人信息遭受了泄露等情形的，不管該等個人信息是否是敏感類型的個人信息、還是一般的個人信息，都可能需要啟動到數據泄露通知制度；二是，明確了觸發通知的具體場景，包括遭遇泄露、被篡改以及丟失的情況。個保法沒有就具體遭遇泄露的個人信息的數量進行規定，可以看出，其不以“數量的多少”來判定是否需要啟動數據泄露通知制度，而是以是否確實“發生了泄露、篡改和丟失”的實質情況，以及是否“對數據主體造成危害的”定性上作為啟動數據泄露通知制度的主要判定基準。(二二)明確了履

91、行數據泄露通知義務的主體：明確了履行數據泄露通知義務的主體：與 GDPR 類似，在我國個保法的立法語境下，要求“個人信息處理者”承擔數據泄露通知的義務，即，有權并能自主決定個人數據處理的目的、方式的企業、組織和個人都會成為履行數據泄露通知的義務主體。(三三)明確了數據泄露需要通知的對象：明確了數據泄露需要通知的對象：參考海外數據立法經驗，我國個保法也對被通知的對象分為兩類主體：（1）數據監管部門：履行個人信息保護職責的部門（2）數據主體本身：個人用戶。但是，我國個保法沒有像部分海外數據法律的規定一樣，以數據泄露事件的數量與規模作為是否通知數據監管部門的判斷基礎，而是明確規定了，只要發生或可能發

92、生個人信息泄露、篡改、丟失的情況下，個人信息處理者都應當通知履行個人信息保護職責的監管部門。鑒于我國目前在個人信息監管方面仍處于多頭監管的狀態，在通知數據監管部門的要求及范圍等方面，仍期待接下來的司法解釋、政策指南給出更多的指導規定。關于是否需要通知到“個人信息主體”，我國個保法也提供了一定的豁免情形。如果個人信息處理者能夠及時立即地采取措施，并能夠有效避免信息泄露、篡改、丟失所造成的危害的話，則發生了數據泄露事件的個人信息處理者 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 52/86 墾丁 W&W 國際法律團隊 可以不通知到個人信息主體。但請注意

93、，個保法對于“選擇不通知”的豁免是規定了比較嚴格的條件的，既要求個人信息處理者需要“立即”采取措施，也要求該等措施是能夠“有效避免”對個人信息主體的危害的。同時，還對“選擇不通知”的豁免給出了限制條件，即當履行個人信息保護職責的部門認為數據泄露事件可能造成危害的，則對應的數據監管部門有權要求個人信息處理者通知到個人。(四四)明確數據泄露通知中應該包含的內容：明確數據泄露通知中應該包含的內容：確認了是否啟動數據泄露通知后，關于通知中應當包含哪些具體的內容，也是通知制度中的關鍵部分。我國個保法對此也作出了明確的規定，通知應當包括：（1）發生或者可能發生個人信息泄露、篡改、丟失的信息種類；（2）發生

94、的原因；（3）本事件可能造成的危害；（4）個人信息處理者采取的補救措施；（5）個人可以采取的減輕危害的措施；（6）個人信息處理者的聯系方式 (五五)通知時間的限制要求：通知時間的限制要求：海外部分較發達地區的數據保護法律對數據泄露通知的形式、時間以及通知程序作出明確的規定。目前，我國個保法中，在通知的時間要求上并沒有例如“72 小時”或者“兩個工作日”的規定，而是采取“立即采取補救措施”+“及時通知”的要求。企業在發生數據泄露事件后，在執行通知的形式、時間和流程上的具體要求，也需要接下來進一步的司法解釋、指南和標準來進行闡明，為企業提供更加具體的實操指示。中國個人信息保護法與海外多國/地區數據

95、合規法律企業合規要點比較報告 全球數據合規法律服務 53/86 墾丁 W&W 國際法律團隊 二、二、海外主要個人信息保護法律海外主要個人信息保護法律數據泄露通知要求數據泄露通知要求對比對比 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 54/86 墾丁 W&W 國際法律團隊 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 55/86 墾丁 W&W 國際法律團隊 總的來說總的來說 數據泄露也是網絡安全最主要的威脅之一，有必要在數據泄露的情況下規定一套有效的管理通知制度與補救措施采取義務。各國在數據泄露通知制度方

96、面也逐漸通過立法來進行明確，包括在觸發通知的情形、通知主體、通知對象、通知的內容、通知的形式和流程、通知的時間要求以及違反數據泄露通知義務的處罰制度上都有了比較具體和細化的規定。企業應當對如何執行和落實數據泄露通知制度進行較高程度的關注，避免因沒有執行數據泄露通知或落實不到位而造成更為嚴重的危害結果。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 56/86 墾丁 W&W 國際法律團隊 第第八八部分：部分：數據保護官（數據保護官（DPO/個人信息保護負責個人信息保護負責人）任命要求人）任命要求 數據保護官，Data Protection Officer

97、（DPO），作為一個 GDPR 明確要求承擔企業數據合規保護職責的職能角色，主要是指在適用的情況下所指定的幫助遵守 GDPR 規定的專業人員。GDPR 規定了必須指定數據保護官的情況和條件。與此相關的另一個角色是歐盟代表，它主要是指歐盟地區以外的客戶在適用的情況下所指定的代表，負責處理 GDPR 規定的義務。兩者定位與角色不一樣，需要注意區分。對內，數據保護官作為組織治理架構中重要的角色，負責著各類與個人信息相關的合規工作；對外，數據合規官需要協助處理各種與個人信息保護相關的事項，是數據保護責任框架中的利益相關人。一、一、我國個人信息保護法我國個人信息保護法個人信息保護負責人要求個人信息保護負

98、責人要求解讀解讀 在我國個保法的語境下，個人信息保護負責人，是指全面統籌與實施企業關于個人信息保護的工作，并對個人信息安全負直接責任的專業人員，個人信息保護負責人是一個需要負責對個人信息處理活動以及采取的保護措施等行為進行監督的角色。本次個保法通過立法的形式，明確規定了應當指定個人信息保護負責人的具體情況。結合 2020 年 10 月 1 日生效的信息安全技術 個人信息安全規范（簡稱“35273-2020 規范”）中關于個人信息保護負責人的規定，我們進行扼要分析如下：(一一)需要設立個人信息保護負責人的情況需要設立個人信息保護負責人的情況 根據個保法的規定，當處理個人信息達到達到國家網信部門國

99、家網信部門規定數量規定數量的個人信息 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 57/86 墾丁 W&W 國際法律團隊 處理者，應當指定應當指定個人信息保護負責人。而關于何謂達到“國家網信部門規定數量的個人信息處理者”，如前所述，可以參考 2021 年 7 月份網信辦發布的網絡安全審查辦法（修訂草案征求意見稿），以及 2017 年網信辦發布的個人信息和重要數據出境安全評估辦法(征求意見稿)中的規定。而在 352732020 規范中，也有關于應對設立個人信息保護負責人的具體規定。根據該規范中的要求，當企業滿足以下條件之一，則應設置專職的個人信息當企

100、業滿足以下條件之一，則應設置專職的個人信息保護負責人和個人信息保護工作機構：保護負責人和個人信息保護工作機構：(1)主要業務涉及涉及個人信息處理，且從業人員規模大于大于 200 人；(2)或處理超過超過 100 萬人的個人信息，或預計在 12 個月內處理超過 100 萬人的個人信息；(3)或處理超過超過 10 萬人的個人敏感信息敏感信息的；(二二)個人信息保護負責人的主要職責個人信息保護負責人的主要職責 我國個保法在關于個人信息保護負責人的主要職責方面以比較宏觀的方式進行了表述，即其需要“負責對個人信息處理活動以及采取的保護措施等進行監督”，體現出的是，以期希望通過個人信息保護負責人的動態合規

101、動作，來推動體現出的是，以期希望通過個人信息保護負責人的動態合規動作，來推動靜態的個人信息保護制度的執行與落實，并進行持續性的監督。靜態的個人信息保護制度的執行與落實，并進行持續性的監督。同時，對于個人信息保護負責人的身份有明確的法律要求，即：(1)(1)公開身份；公開身份；明確要求了個人信息處理者應當將個人信息保護負責人的聯系方式進行公公開開（常見的通過隱私政策、隱私聲明條款、公司官網等方式進行）；以及 (2)(2)報送監管部門報送監管部門 明確要求個人信息處理者應將該負責個人信息保護的負責人員的姓名、聯系方式等向履行個人信息保護職責的部門進行報送。中國個人信息保護法與海外多國/地區數據合規

102、法律企業合規要點比較報告 全球數據合規法律服務 58/86 墾丁 W&W 國際法律團隊 而在 352732020 規范中，除了監督的職責外，我們還看到關于個人信息保護負責人更為具體的職責內容要求，并采取了“包括但不限于”的寬泛性表達，以期更能滿足后續不斷發展的個人信息保護立法與執法的變化。對于個人信息保護負責人和個人信息保護工作機構的主要職責，我們主要歸納為：(1)統籌：全面統籌實施組織內部的個人信息安全工作，對個人信息安全負直接責任；(2)計劃的制定與落實：組織制定個人信息保護工作計劃并督促落實；(3)政策+制度的創建與維護：制定、簽發、實施、定期更新個人信息保護政策和相關規程；(4)權限管

103、理：建立、維護和更新組織所持有的個人信息清單（包括個人信息的類型、數量、來源、接收方等）和授權訪問策略；(5)DPIA：開展個人信息安全影響評估，提出個人信息保護的對策建議，督促整改安全隱患；(6)培訓：組織開展個人信息安全培訓；(7)事前檢測：在產品或服務上線發布前進行檢測，避免未知的個人信息收集、使用、共享等處理行為；(8)處理投訴：公布投訴、舉報方式等信息并及時受理投訴舉報；(9)合規審計：進行安全審計；(10)監督與溝通：與監督、管理部門保持溝通，通報或報告個人信息保護和事件處置等情況。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 59/86

104、 墾丁 W&W 國際法律團隊 (三三)關于個人信息保護負責人的資質和角色定位要求關于個人信息保護負責人的資質和角色定位要求 個保法中暫未見對個人信息保護負責人在資質要求上的特殊規定，但從實踐中來看，也只有具備熟悉個人信息保護法律法規、具備法律專業背景的，以及能真正理解和處理與個人信息保護、數據安全的專業人士才能夠勝任。而在 352732020 規范中，則對個人信息保護負責人和個人信息保護工作機構提出了在資質和角色定位上的要求：(1)專業背景要求：由具有相關管理工作經歷和個人信息保護專業知識的人員擔任；(2)向管理層直接匯報 參與有關個人信息處理活動的重要決策直接向組織主要負責人匯報工作。(3)

105、保障獨立履行職責 為其提供必要的資源，保障其獨立履行職責。需要提醒注意的是，與歐盟 GDPR 中提及的“歐盟代表”類似，個保法中也有相似的規定，需要注意與“個人信息保護負責人”的角色進行區別。根據我國個保法中，對于適用中國個人信息保護的境外個人信息處理者，應當在境內設立專門的機構或通過指定境內代表，來負責處理個人信息保護相關的事務。同時，要求該等境外的個人信息處理者向履行個人信息保護職責的部門報送關于境內的專門機構或境內指定代表的姓名及聯系方式。對于可能落入我國個保法管轄范圍的境外個人信息處理者，應注意做好設立中國境內機構或指定代表的準備及對應的報送工作?？梢?，指定和任命個人信息保護負責人，是

106、企業做好個人信息合規保護工作的有力保障，也是企業將一系列的數據保護制度進行有效落地的不可或缺的關鍵一環。從企業個人信息合規的角度來看，一方面，需要任命合格的個人信息負責人，來幫助企業更好地遵守個人信息保護法規的要求；另一方面，通過設立個人信息 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 60/86 墾丁 W&W 國際法律團隊 保護工作部門，來提高企業在個人信息風險上的抵御能力，例如通過設立數據保護委員會以協調各部門在個人信息保護與數據安全保護方面的工作開展，并在發生安全事件時可以進行及時快速的反饋與響應處理；同時，還在注意通過制度來確保個人信息保護

107、負責人的獨立性和獨立地位，以確保其可以獨立地、專業地履行個人信息保護的職責，作出全面、準確且合理的決策。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 61/86 墾丁 W&W 國際法律團隊 二、二、海外主要個人信息保護法律海外主要個人信息保護法律數據保護官要求數據保護官要求對比對比 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 62/86 墾丁 W&W 國際法律團隊 總的來說總的來說 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 63/86 墾丁 W&W 國際法律

108、團隊 除歐盟外，越來越多的國家和地區也不斷通過立法要求其管轄下的公司企業必須設立數據保護官，雖然名稱、職能、適用情況和條件等各有不同，但其都是通過設立專職的人員或專門的部門，來幫助和保證企業遵守屬地國的數據保護法律的規定和要求來處理個人信息和相關的數據。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 64/86 墾丁 W&W 國際法律團隊 第第九九部分：部分：個人信息處理者的主要義務個人信息處理者的主要義務 個人信息處理者的主要義務，從企業的角度來看，可以扼要理解為，組織在處理個人信息時候，需要根據適用的數據保護法律的要求，提供和制定各項內部與外部的個

109、人信息保護與管理制度，以及安全技術保障措施，以便更好地遵守數據保護法律的規定，這也是各個企業在數據合規工作中特別重要的部分。一、一、我國個人信息保護法我國個人信息保護法個人信息處理者的主要義務個人信息處理者的主要義務解讀解讀 (一一)制定企業內部的管理制度和操作規程制定企業內部的管理制度和操作規程 我國個保法要求企業應當制定屬于企業內部的個人信息保護與管理制度與操作規程。關于個人信息的合規制度體系的搭建，可以龐大而復雜，也可以麻雀雖小但五臟俱全。因此，企業應當結合自身的業務發展情況，特別是業務開展過程中所涉及到的個人信息處理活動的具體情況，將個人信息保護的基本要求嵌入到業務流程中去，以制定出一

110、套適合公司特有業務場景的內部管理制度，并通過執行性強的操作程序，進一步清晰地明確和落實個人信息全生命周期中的各個合規細節和要求，以實現通過制度和管理達到有效保障個人信息安全的目的。(二二)建立個人信息分級、分類的管理制度建立個人信息分級、分類的管理制度 從確保個人信息的安全角度考慮，我國個保法要求企業對個人信息進行分級、分類的管理，這是企業進行個人信息安全風險防范與管理的技術方案之一。我國網絡安全法要求網絡運營者應當采取數據分類、重要數據備份和加密等措施；數據安全法也以立法的形式確認了國家通過建立數據分類分級制 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法

111、律服務 65/86 墾丁 W&W 國際法律團隊 度來實現對數據的保護。因此，企業應當結合不同的業務場景和數據本身的屬性，就所收集到的個人信息制定個人信息的分級分類目錄、技術標準，并采取對應的安全管理措施。(三三)建立數據安全制度并采取安全技術措施建立數據安全制度并采取安全技術措施 同樣也是從技術安全的角度著手，我國個保法要求企業采取相應的加密、去標識化等安全技術措施。在 35273-2020 規范中，也要求企業在傳輸和存儲個人敏感信息時，應采用加密等安全措施的要求；以及提出了要求企業在收集個人信息后，應立即進行去標識化處理的建議。因此，一方面，企業需要根據其所處理的個人信息的屬性、種類、敏感程

112、度等特征，采取不同級別的加密措施，特別是涉及敏感信息的處理時候，應采用符合國家標準的密碼管理技術；另一方面，在涉及需要通過界面進行個人信息展示的時候，或其他需要進行對外轉讓、披露的情況下，企業應該根據個人信息的性質，采取去標識化處理、匿名化處理的技術措施，以達到可以有效降低個人信息泄露風險的目的。與此同時，企業應當注意將不同類別的敏感信息進行分開存儲，例如，企業需要將可用于恢復識別個人的信息，與去標識化后的信息進行分開存儲；將個人生物識別信息應與個人身份信息分開存儲等。(四四)建立個人信息權限管理制度，安全教育與培訓制度建立個人信息權限管理制度，安全教育與培訓制度 企業在進行個人信息保護工作的

113、過程中，如何對內部人員進行有效的管理，特別是對大量處理和接觸用戶個人信息的人員，是合規工作中非常重要的一環。我國個保法要求企業通過設立權限管理制度，合理確定內部人員對個人信息處理的操作權限，并定期對從業人員進行安全教育和個人信息合規培訓。因此，企業應當對個人信息，特別是個人敏感信息的控制（如個人信息的訪 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 66/86 墾丁 W&W 國際法律團隊 問、查看、修改、刪除、復制、銷毀等操作行為），建立合理、有效的個人信息權限管理制度。例如：（1）按照業務流程的需求作為授權操作的觸發條件；（2）對被授權訪問個人信息

114、的人員，建立最小授權的訪問控制策略（使其只能訪問職責所需的最小必要的個人信息）；（3）對個人信息的重要操作設置內部審批流程；（4）對大量接觸個人敏感信息的從業人員進行背景審查，簽署保密協議；（5）對企業內部員工進行定期進行安全教育和個人信息合規培訓，幫助員工，特別是從事個人信息處理崗位的相關人員熟悉，個人信息保護工作的處理原則和合法、合規地處理用戶個人信息的方式。(五五)制定并落實個人信息安全事件應急機制制定并落實個人信息安全事件應急機制 我國個保法規定，企業應當制定、并組織實施個人信息安全事件的應急預案，在安全事件發生后，企業應當根據應急預案采取如下措施，包括：(1)對個人信息安全事件進行記

115、錄；(2)對個人信息安全事件可能造成的影響進行評估；(3)采取及時、必要、有效的措施對個人信息安全事件可能造成的影響進行有效的控制、及時止損；(4)根據國家網絡安全事件應急預案等相關規定，對個人信息安全事件及時上報給監管部門等。在日常的企業經營中，企業也應注意對個人信息安全事件和應急預案進行演練，以保證在發生類似事件時候可以及時進行響應和處理。另外，關于個保法規定，當發生個人信息泄露事件后，企業應當履行個人信息泄露的通知和補救義務。關于此點，具體請見本系列文章的第七部分：十國/地區數據保護法十大合規要點對比|#7 發生安全事件時數據泄露通知的要求 中國個人信息保護法與海外多國/地區數據合規法律

116、企業合規要點比較報告 全球數據合規法律服務 67/86 墾丁 W&W 國際法律團隊 (六六)任命個人信息保護負責人任命個人信息保護負責人 關于此點，具體請見本系列文章的第八部分：|#8 數據保護官（DPO/個人信息保護負責人）任命要求 (七七)定期定期進行合規審計進行合規審計 我國個保法對個人信息的處理活動和合規保護工作提出了定期開展合規審計的要求。因此，為了保證個人信息處理活動的持續合規性，企業應當建立定期的合規審計制度，并重點對個人信息處理活動、個人信息保護政策、個人信息保護的管理制度與操作規程、技術安全措施等部分，進行有效的合規審計。(八八)進行事前風險評估與建立數據影響評估制度進行事前

117、風險評估與建立數據影響評估制度 關于此點，具體請見本系列文章的第六部分：十國/地區數據保護法十大合規要點對比|#6 數據影響評估（DPIA/PIA）要求。(九九)關于“守門人規則”關于“守門人規則”我國個保法就“提供基礎型互聯網平臺服務、用戶量巨大、業務復雜的重要互聯網企業”提出了特殊的合規義務。這主要是因為平臺型企業涉及到多種類型的個人信息處理者主體，且涉及了大量的用戶個人信息的處理，因此，個保法對此類重要的互聯網平臺企業，賦予了要求其對平臺內的產品或服務提供者進行管理的法律義務，俗稱“守門人規則”。因此，對于涉及大量用戶個人信息處理的頭部互聯網平臺企業，應特別注意：(1)建立健全個人信息保

118、護合規制度體系，成立獨立機構對個人信息保護情況進行監督，且該獨立機構需要由例如獨立董事、外部咨詢機構、獨立律所專業人員、外聘專家等外部獨立人士組成。(2)遵循公開、公平、公正的原則，制定合理的平臺規則，對平臺內的產品或服務提供者關于“處理個人信息的規范”和“保護個人信息的義務”進行明確。例如，要求平臺內的服務提供者配備獨立的隱私政策、提供足夠的安全技術保護措施等。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 68/86 墾丁 W&W 國際法律團隊 (3)發現平臺內的產品或服務提供者出現嚴重違反法律、法規去處理個人信息的情況時，應對其采取必要的處罰措施

119、、并停止為其提供服務。(4)定期發布個人信息保護社會責任報告，接受社會監督。(十十)法律、行政法規規定的其他措施法律、行政法規規定的其他措施 最后，個保法采取了兜底條款，以向企業明確，企業還需要遵守除個保法以外的其他相關法律、行政法規的規定，以應對未來個人信息合規法律體系構建過程中可能出現的各類新情況、新要求。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 69/86 墾丁 W&W 國際法律團隊 二、二、海外主要個人信息保護法律海外主要個人信息保護法律個人信息處理者的基礎義務扼要個人信息處理者的基礎義務扼要對比對比 鑒于，在不同國家和地區的數據保護法律

120、中，個人信息處理者需要遵守的法律義務均有非常具體、細致的規定，對于特殊的情況或場景也可能會有特別的規定，且一些國家和地區的數據保護法律中，會對個人信息控制者與處理者（controller）的角色、責任和義務進行區分，考慮到本問題的復雜性及本文的篇幅問題，我們在下面的表格中，僅就企業在個人信息處理活動中，需要注意的部分基礎義務進行扼要列示。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 70/86 墾丁 W&W 國際法律團隊 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 71/86 墾丁 W&W 國際法律團隊

121、總的來說總的來說 大部分國家和地區的數據保護法律中，都會對個人信息處理者的基礎法律義 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 72/86 墾丁 W&W 國際法律團隊 務進行比較充分、全面的規定，并根據其自身的的特殊國情，提供對應的特別規定。對于出海企業而言，充分了解和認識適用國家的個人信息保護法律中關于個人信息處理者的基礎義務和責任，是企業在個人信息處理活動中掌握合規要點的關鍵。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 73/86 墾丁 W&W 國際法律團隊 第第十十部分：部分：數據保護監管機構與

122、違反數據保護法的處數據保護監管機構與違反數據保護法的處罰規定罰規定 數據保護監管機構，是指負責統籌數據保護工作、履行數據保護職責、對與個人信息與數據安全等有關事項進行監督、管理的負責部門。它有權對違反個人信息保護法律規定的數據處理活動進行調查、監督、采取措施、處理投訴/舉報、對違法個人信息處理活動進行處罰等行為。一、一、我國個人信息保護法我國個人信息保護法數據保護監管機構和處罰規定數據保護監管機構和處罰規定解讀解讀 (一一)數據保護監管機構數據保護監管機構 1.1.明確了履行數據保護職責的具體部門明確了履行數據保護職責的具體部門 首先，在本次個保法中，對履行我國個人信息保護職責的具體監管部門進

123、行了明確，主要包括：（1 1）中央層面：國家網信部門中央層面：國家網信部門 我國個保法明確了國家網信部門是負責統籌協調個人信息保護工作和相關監督管理工作的?？梢?，通過明確了中央網信辦、國家網信辦等國家網信部門的職能，更便于我國從統一的高度，建立一套集中、高效的個人信息保護監管體系。（2 2）中央層面：國務院有關部門中央層面：國務院有關部門 同時，明確了工業和信息化部、司法部、公安部、工商總局、中國人民銀行等不同的國務院部門，在各自職權范圍內，負責個人信息保護和監管工作，從而更好地照顧了不同行業、不同領域、不同部門在個人信息保護方面的差異性。（3 3）地方層面：縣級以上地方人民政府有關部門地方層

124、面：縣級以上地方人民政府有關部門 我國個保法，還從地方層面，明確了由縣級以上地方人民政府有關部 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 74/86 墾丁 W&W 國際法律團隊 門，按照國家有關規定確定，履行個人信息保護和監督管理職責；從而更好地確保了個人信息保護工作在地方層面得到更為有效的落實和保障。2.2.明確了明確了數據保護監管部門的具體職責數據保護監管部門的具體職責 我國個保法明確了履行個人信息保護職責的部門的基本職責，歸納而言，包括以下職務與責任：（1）教育：教育：開展個人信息保護的宣傳教育；（2）指導：指導：對個人信息保護工作進行指導

125、；（3）監督：監督：就個人信息保護工作進行監督；（4）接受投訴：接受投訴：接受與個人信息保護相關的投訴、舉報；（5）處理舉報：處理舉報：對與個人信息保護相關的投訴、舉報進行處理；（6）調查：調查：對違法的個人信息處理活動進行調查；（7）處理：處理：發現違法的個人信息處理活動必須按法律規定進行嚴格處理；（8）其他職責：法律、行政法規規定的其他職務與責任。3.3.將評估標準與認證體系納入到個人信息保護的服務體系建設中將評估標準與認證體系納入到個人信息保護的服務體系建設中 我國個保法通過專門條款，明確了中央層面的數據保護部門的特殊職責，即，從了前述規定的基本職責外，國家網信部門和國務院有關部門，還應

126、當：（1 1）制定個人信息保護的規則和標準：制定個人信息保護的規則和標準：中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 75/86 墾丁 W&W 國際法律團隊 不僅需要制定個人信息保護的具體規則、標準；還需要針對新技術、新應用，制定專門的個人信息保護規則、標準（例如小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等）；（2 2）支持認證技術：支持認證技術：對研究、開發和推廣應用安全、方便的電子身份認證技術進行支持，并推進網絡身份認證公共服務的建設；（3 3）支持個人信息保護評估、認證服務：支持個人信息保護評估、認證服務：推進個人信息保護社會

127、化服務體系的建設，并對有關機構開展個人信息保護評估、認證服務的工作給予支持；（4 4）完成投訴、舉報機制完成投訴、舉報機制 這一點需要結合我國個保法第六十一條來看，通過明確了個人信息保護投訴、舉報工作機制來進一步完善與個人信息保護有關的檢舉機制。從投訴、舉報主體來看，任何組織和個人都可以進行投訴、舉報，而不管該主體是否與被投訴、舉報的個人信息處理活動有關，這更有利于推動“個人信息保護，人人有責”的社會共同治理的氛圍搭建。從接受投訴、舉報處理的部門來看，則只要是收到投訴、舉報的部門，不管是中央層面的、還是地方層面的，只要是履行個人信息保護職責的部門都必須進行受理。因此，對應的數據保護監管部門不僅

128、應當“公開接受投訴、舉報的聯系方式”“公開接受投訴、舉報的聯系方式”，還應當依法進行“及時“及時的處理的處理”，并將處理結果“告知”“告知”投訴人、舉報人。4.4.明確數據保護部門可以采取的措施明確數據保護部門可以采取的措施 我國個保法明確了履行個人信息保護職責的部門在執法的過程中可以采取的措施，這些具體的措施包括：（1 1）詢問：詢問：有權對個人信息處理活動有關的當事人進行詢問，例如負責公司 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 76/86 墾丁 W&W 國際法律團隊 數據保護工作的負責人、高層管理人員、實施了侵犯個人信息行為的有關人員等；

129、（2 2）調查：調查：有權對與個人信息處理活動有關的情況展開具體的調查；（3 3）查閱：查閱：有權對當事人與個人信息處理活動有關的合同、記錄、賬簿以及其他有關資料進行查閱；（4 4）復制：復制：有權對第（3）點提及的有關資料進行復制；（5 5）實施現場檢查：實施現場檢查：有權對涉嫌違法個人信息處理活動進行現場的檢查與調查；這可能意味著可能會對企業整個個人信息全生命周期的各節點進行具體的調查；（6 6）檢查設備、物品：檢查設備、物品：有權檢查與個人信息處理活動有關的設備、物品；（7 7）查封設備、物品：查封設備、物品：對有證據證明是違法個人信息處理活動的設備、物品，有權進行查封；（8 8）扣押設

130、備、物品：扣押設備、物品：對有證據證明是違法個人信息處理活動的設備、物品，有權進行扣押。我國個保法通過法律明確了履行個人信息保護的部門可以采取的具體措施，不僅為該等數據保護監管部門的執法行為提供了法律依據，明確了相關部門的職責范圍，而且也幫助了被采取措施的行政相對人更好地了解數據保護監管部門的履責范圍，在對有關部門進行有效監督的同時，亦應當予以協助、配合，不得拒絕、阻撓。5.5.明確了個人信息保護的約談制度明確了個人信息保護的約談制度 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 77/86 墾丁 W&W 國際法律團隊 我國個保法將“個人信息保護的約

131、談制度”進行了法定化，關于“約談”的主要觸發條件包括：（1）發現個人信息處理活動存在較大風險；或（2）發生個人信息安全事件的；則，此時數據保護監管部門可以按照規定的權限和程序，對該個人信息處理者的法定代表人或者主要負責人進行約談法定代表人或者主要負責人進行約談。如果不進行約談的，則也可以要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。而在完成約談或完成合規審計后，該個人信息處理者應當按照要求采取采取對應的有效措施有效措施，對存在風險的個人信息處理活動或安全事件進行整改進行整改，從而達到有效消除個人信息隱患有效消除個人信息隱患的目的。如果過程中，還發現該等違法的個人信息處理活動是

132、涉嫌犯罪的，則數據保護監管部門應當及時移送公安機關進行依法處理。(二二)違反數據保護的處罰規定違反數據保護的處罰規定 1.1.明確了違反個人信息保護規定的法律責任明確了違反個人信息保護規定的法律責任 （1 1）行政責任行政責任 我國個保法借鑒了歐盟 GDPR 中 2000 萬歐元或者是上一年度全球營收的 4%（兩者取其高）的高額罰款規定，也對違反個保法規定處理個人信息，或者處理個人信息未履行個保法規定的個人信息保護義務的行為，設置了高額處罰規定，具體而言，處罰措施包括：處罰措施包括：（a a）責令改正責令改正 （b b）給予警告給予警告 （c c）沒收違法所得沒收違法所得 （d）對違法處理個人

133、信息的應用程序，責令暫?；蛘呓K止提供服務責令暫?；蛘呓K止提供服務；（e e）處以罰款：處以罰款：在拒不改正的情況下，可以處以罰款，就罰款金額來說，區分一般情 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 78/86 墾丁 W&W 國際法律團隊 節和嚴重情節，具體而言，包括：維度維度 單位最高罰款單位最高罰款 直接負責的主管人員和其他直接負責的主管人員和其他直接責任人員最高罰款直接責任人員最高罰款 一般情節 100 萬以下 1 萬以上，10 萬以下 嚴重情節嚴重情節 罰款罰款 5 5000000 萬以下或者上一年萬以下或者上一年度營業額度營業額 5%5

134、%以下罰款以下罰款 10 萬以上，100 萬以下 附加責任附加責任 責令暫停暫停相關業務 禁止其在一定期限內擔任禁止其在一定期限內擔任相關企業的：董事、監事、高級管理人員和個人信息保護負責人 停業停業整頓 通報有關主管部門吊銷吊銷相關業務許可或者吊銷營業執照 （2 2）民事責任民事責任 -明確了個人信息違法的過錯推定原則明確了個人信息違法的過錯推定原則 這可能是作為個人信息處理者的企業、組織最值得關注的規定之一。我國個保法明確了個人信息民事侵權賠償適用的是“過錯推定原則”，這意味著“由于處理個人信息而侵害了個人信息權益并造成損害的，推定行為人有過錯,如果行如果行為人為人不能證明自己沒有過錯的不

135、能證明自己沒有過錯的,則則應當承擔應當承擔損害賠償的損害賠償的侵權責任侵權責任”。因此，對于作為個人信息處理者的企業、組織來說，過錯推定原則的適用要求企業、組織在處理個人信息時候，需要高度、時刻注意如何證明自己是已經（a a）“嚴格制定了”“嚴格制定了”企業內部的個人信息保護制度；（b b）并并“嚴格地遵守和履行了”“嚴格地遵守和履行了”該等個人信息保護制度；（c c）并對該等個人信息的整體合規程進行了有效的“記錄和留存“記錄和留存證明證明”從而更好地完成了“自證合規+合規留痕”的整套合規動作。而對于損害賠償損失的確定，則以“可證明損失或獲益的，以具體損失或獲“可證明損失或獲益的，以具體損失或

136、獲益承擔賠償責任；難以計算損失或獲益的，根據實際情況確定”益承擔賠償責任；難以計算損失或獲益的，根據實際情況確定”作為計算賠償額的原則。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 79/86 墾丁 W&W 國際法律團隊 （3 3）治安管理處罰責任與刑事責任治安管理處罰責任與刑事責任 我國個保法通過“違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任”的規定，明確就個人信息違法行為可能引發的治安管理處罰責任與刑事責任進行了明確的劃分。（4 4）信用懲戒責任信用懲戒責任 本次個保法還特別規定了“對違反個人信息保護規

137、定的主體施以信信用懲戒制度”，明確了會將作為個人信息處理者的企業、組織的違反個人信息保護規定的違法行為，記入信用檔案，并予以公示，以達到提高了個人信息違法成本，起到社會警示作用的目的。2.2.明確了國家機關不履行個人信息保護義務的法律責任明確了國家機關不履行個人信息保護義務的法律責任 國家機關不履行個保法關于個人信息保護義務的規定，需要承擔對應的法律責任，包括：（1）由其上級機關或者履行個人信息保護職責的部門責令改正；（2）對直接負責的主管人員和其他直接責任人員依法給予處分；（3）履行個人信息保護職責的部門的工作人員玩忽職守、濫用職權、徇私舞弊，尚不構成犯罪的，依法給予處分。3.3.明確了個人

138、信息的公益訴訟制度明確了個人信息的公益訴訟制度 公益訴訟制度，一般在侵害眾多消費者合法權利等損害社會公共利益的情況下發生并提起。而本次個保法特別明確了與“侵犯個人信息”相關的公益訴訟制度。（1 1）觸發條件：觸發條件：可以提起個人信息公益訴訟的觸發條件是：“違反個保法的規定”“違反個保法的規定”+“侵害“侵害眾多個人的權益的行為”眾多個人的權益的行為”，該等行為被認為是民事訴訟法中規定的“損害社會公共利益的行為”，因此可以提起個人信息公益訴訟。（2 2）起訴主體：起訴主體：中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 80/86 墾丁 W&W 國際法

139、律團隊 （a）人民檢察院；（b）法律規定的消費者組織；（c）由國家網信部門確定的組織。司法實踐中，人民檢察院和消費者保護協會為保護大多數消費者主體的公共利益，也經常作為公益訴訟的起訴主體，在接下來的個人信息保護中，也將可以作為公益起訴主體以更好地維護了大多數公眾的個人信息主體權益。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 81/86 墾丁 W&W 國際法律團隊 二、二、海外主要個人信息保護法律海外主要個人信息保護法律數據保護監管機構和處罰規定數據保護監管機構和處罰規定對比對比 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全

140、球數據合規法律服務 82/86 墾丁 W&W 國際法律團隊 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 83/86 墾丁 W&W 國際法律團隊 總的來說總的來說 已有較多國家成立了獨立的數據保護執法機構，在各國的數據保護工作中，數據保護監管機構承擔著非常重要的責任，是一國數據保護立法是否可以得到有效的推動、落實與執行的關鍵環節，在設有獨立的數據保護監管機構的國家中，數據保護監管機構不僅可以圍繞數據保護工作進行制度、政策、指南等規定；也可以對數據保護工作進行指導、監督；更可以對違法個人信息處理活動進行檢查、調查、采取措施、作出處罰，以從統一、集中的高

141、度構建一套有效的國家層面的 中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 84/86 墾丁 W&W 國際法律團隊 個人信息保護的治理體系，從而更好地推動個人信息保護的系統建設，保障每個公民的個人信息權利與權益。中國個人信息保護法與海外多國/地區數據合規法律企業合規要點比較報告 全球數據合規法律服務 85/86 墾丁 W&W 國際法律團隊 本文作者：本文作者：王捷王捷 墾丁墾丁墾丁律所國際業務部負責人墾丁律所國際業務部負責人&創始人創始人，執業律師，聯合國世界絲路論壇國際法律合作委員會專家，廣東省法學會信息通訊法學研究會理事，白鯨出海法律硏究中心執行主

142、任，荷蘭RuG 國際經濟法與商法碩士，曾任職阿里巴巴大文娛集團，深耕海內外多條業務線，業務領深耕海內外多條業務線，業務領域覆蓋國際瀏覽器、國際信息流、海外品牌營銷、廣告聯盟、短視頻、音樂互娛、應用分發、域覆蓋國際瀏覽器、國際信息流、海外品牌營銷、廣告聯盟、短視頻、音樂互娛、應用分發、及各類創新與孵化業務與項目型法律工作及各類創新與孵化業務與項目型法律工作；專業能力模塊包括產品風險管控、業務流程搭產品風險管控、業務流程搭建、風險分析評估、數據保護與合規、糾紛案件處理、競對攻防布局、政府監管合規、海外建、風險分析評估、數據保護與合規、糾紛案件處理、競對攻防布局、政府監管合規、海外公司治理、投資項目管理公司治理、投資項目管理等。近十年的科技型公司實務經驗與中外律所從業背景，能更準確理解客戶核心需求，快速響應并提供基礎到戰略的有效支持，并為各類出?；ヂ摼W企業拓展印度、東南亞、中東、非洲、歐美等新興及重要市場提供有效的合規解決方案與落地支持。同時為出?；ヂ摼W法律觀察公眾號主理人，合著互聯網全球數據合規法律觀察報告，并輸出多篇專業互聯網與數據合規文章，部分文章刊登于威科先行專業數據庫中。