中美欧个人信息保护法比较——以中国个人信息保护法、欧盟GDPR，美国加州CCPA&CPRA为样本

1 2 引 言 2021年8月 20 日，《个人信息保护法》颁布，并将于2021 年11月1日起正式实施。《个人信息保护法》是我国迈入数字化社会，彰显“以人为本”的法律制度里程碑，也是我国为全球数字治理贡献的中国方案。 近年来，个人信息保护立法在世界范围内如火如荼地展开，目前已经有128个国家通过立法保护个人信息和隐私。1其中，结合市场规模，规制范围等因素，以欧盟《通用数据保护条例》（以下简称GDPR），美国加利福尼亚州隐私保护法（CCPA&CPRA）2，以及中国刚刚出台的《个人信息保护法》为最具有影响力的法律文本。以这四部法律文本为基础，开展条款比较工作，能够系统展现当今世界个人信息保护立法在最为主要的区域及国家的共性与差异，为企业合规工作及学者研究带来积极价值。 腾讯研究院依托对个人信息保护领域法律制度的长期积累和专业洞察，完成了《中美欧个人信息保护法比较——以中国<个人信息保护法>、欧盟GDPR，美国加州CCPA&CPRA为样本》的专题报告，以飨读者。其中有不完善甚至谬误之处，欢迎指出！ 1 See: https://unctad.org/page/data-protection-and-privacy-legislation-worldwide, 最后访问日期：2021年8月17日。 2 2018年6月28日签署的CCPA是一项旨在增强美国加利福尼亚州居民隐私权和消费者保护的州法规。在其基础上，2020年11月3日加州选民投票通过了CPRA，对CCPA的一些重要条款进行了修正，扩展了 CCPA 的范围并制定了新的执行机制。CCPA和CPRA共同构建了加州隐私保护法的主要制度框架，两者均是对《加利福尼亚民法典》（California Civil Code）第三章第四部分进行的修改，因此下文加州隐私法（CCPA&CRPA）引用条文的均是《加利福尼亚民法典》（以下简称《加州民法典》）的相关条款。 3 报告目录 图标说明 .............................................. 1 一、立法模式与适用范围 ................................................................. 2 适用的地域范围.......................................................................... 5 受规制的对象类型...................................................................... 7 规制的数据活动.......................................................................... 9 排除适用的范围........................................................................ 10 二、个人信息的定义与分类 ........................................................... 12 个人信息的定义........................................................................ 12 敏感个人信息............................................................................ 14 未成年人个人信息.................................................................... 18 死者个人信息............................................................................ 20 匿名化、去标识化信息............................................................ 22 三、合法性基础 ............................................................................... 25 合法性基础的范围.................................................................... 26 同意规则.................................................................................... 27 四、个人信息的跨境提供 ............................................................... 29 数据本地化和出境安全评估.................................................... 31 跨境证据调取............................................................................ 32 五、信息主体的权利 ....................................................................... 33 知情权........................................................................................ 33 访问权........................................................................................ 35 反对权/撤回权 ........................................................................... 37 删除权 ........................................................................................ 38 复制权/可携权 ........................................................................... 40 六、信息处理者的义务.................................................................... 43 采取安全保障措施的义务 ........................................................ 43 保存（储存期限） .................................................................... 45 发生数据安全事件时的通知义务 ............................................ 47 个人信息保护影响评估 ............................................................ 51 DPO/个人信息保护责任人制度 ............................................... 52 守门人条款 ................................................................................ 54 七、其他特别条款 ............................................................................ 57 自动化决策条款（算法规制） ................................................ 58 采集图像信息和身份识别信息 ................................................ 60 八、法律责任 .................................................................................... 62 民事诉讼 .................................................................................... 63 行政监管 .................................................................................... 65 刑事责任 .................................................................................... 68 比较概览 ............................................................................................ 69 结语 .................................................................................................... 71 1 图标说明 图一 图二 图三 图四 图五 每个二级标题均有一个矢量图说明比较结论。指针代表中国《个人信息保护法》，左侧（即橙红色区域）代表GDPR模式，右侧（即绿色区域）代表加州隐私法（CCPA&CPRA）模式。  指针方向：指针指向左侧说明就此部分规则而言《个人信息保护法》更接近GDPR模式，指向右侧则说明《个人信息保护法》更接近加州隐私法（CCPA&CPRA）模式。  指针指向的颜色： ⚫ 橙色向红色渐变说明法律的严厉程度递增，白色虚线内的红色区域表示严厉程度超过GDPR； ⚫ 深绿向浅绿渐变说明法律的宽松程度递增，白色虚线内的深绿色部分表示严厉程度超过CCPA&CPRA。  五种矢量图具体说明如下 ➢ 图一：《个人信息保护法》模式和GDPR相似，但比GDPR更宽松。 ➢ 图二：《个人信息保护法》模式和严厉程度上与GDPR基本一致。 ➢ 图三：《个人信息保护法》模式上与GDPR相似，但是比GDPR更严格。 ➢ 图四： 《个人信息保护法》模式上与加州隐私法（CCPA&CPRA）相似，但是比加州隐私法（CCPA&CPRA）更严格。 ➢ 图五：《个人信息保护法》模式上与加州隐私法（CCPA&CPRA）相似，宽松程度与其基本一致。 2 一、立法模式与适用范围 中国《个人信息保护法》采取了类似于GDPR的综合立法模式，而加州隐私法（CCPA&CPRA）是在消费者保护领域的个人信息保护专门立法。两种立法模式下，法律的适用范围有显著的不同： 适用范围概览： 立法 模式 GDPR——综合性立法 中国《个