曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        通用數據保護條例(GDPR)與個人信息保護法(PIPL)的4個差異
        發布時間:2022-10-24 09:07:22   閱讀次數:

        image.png

        11月1日,隱私合規的叢林變得更加厚重。就在那時,《個人信息保護法》(PIPL)在中國生效。


        與目前幾乎所有新的隱私法(例如《加州消費者隱私法》)的情況一樣,PIPL已經與歐盟的《通用保護數據條例》(GDPR)進行了比較,該條例本身自2018年5月25日起生效。


        在這種情況下,比較是恰當的。兩者都是廣泛的數據管理計劃,具有大量潛在的處罰和長臂管轄權。與歐盟的GDPR一樣,PIPL根據數據處理的地理位置和正在處理數據的個人的地理位置將其全球適用性擴展。在任何特定情況下,如果其中任何一個屬于中國境內,PIPL都可能適用,無論數據錯誤者的位置如何。


        盡管如此,這些定律并不完全相同,它們的差異超出了次要的技術方面。雖然這些差異很多,但以下是四個更顯著的差異。


        1、PIPL對“敏感信息”的定義不同。

        并非所有個人信息都是平等的,長臂隱私法通常承認這一事實。因此,與其他類型的個人信息相比,“敏感個人信息”(“SPI”)通常受到更高級別的特定法律保護。


        GDPR沒有使用確切的術語SPI,但明確提及并概述了出于處理目的而持有更高標準的個人數據類別。GDPR 第9條規定了在有限的情況下,可以處理有關以下任何一項的數據:

        • 種族/民族

        • 政治

        • 宗教

        • 哲學

        • 工會會員

        • 遺傳學

        • 用于唯一識別某人的生物識別數據

        • 健康

        • 性生活

        • 性取向


        PIPL也為SPI創建了額外的保護。然而,PIPL符合SPI資格的數據保護傘似乎比GDPR的特殊分拆更廣泛。PIPL第28條對SPI給出了廣義的定義:“個人信息一旦泄露或非法使用,很容易對尊嚴造成損害[或]對人身或財產安全的嚴重損害。


        第28條接著列舉了這類資料的一些例子。與GDPR一樣,PIPL為涉及生物識別、宗教和健康的個人信息提供增強的保護。


        PIPL還提供了 SPI 的其他具體示例:

        • 與某人的“特別指定身份”相關的數據,

        • 與個人財務賬戶相關的數據,

        • 位置跟蹤數據。


        雖然并非所有GDPR的具體分拆都列在PIPL的SPI示例中,但由于PIPL的定義有多廣泛,這些數據類別可能仍有資格成為PIPL下的SPI。


        也就是說,PIPL還特別將另外一類數據歸類為SPI。


        2、PIPL對未成年人個人信息的處理方式不同。

        PIPL還明確將14歲以下未成年人的任何和所有個人信息定義為SPI。處理此類數據需要PIPL下更嚴格的保護,包括個人信息處理者獲得父母或監護人的同意,以及個人信息處理者為未成年人的數據“制定專門的個人信息處理規則”。


        在這一點上,GDPR的負擔既更嚴格又不那么嚴格。出于處理個人信息的目的,GDPR 將未成年人歸類為 16 歲以下的人,盡管它允許各個歐盟成員國將此標準設置為低至 13 歲。另一方面,GDPR 不會自動將所有未成年人的個人數據定性為 SPI。GDPR 僅要求父母或監護人同意即可在需要同意的情況下處理未成年人的個人數據。


        這并不是GDPR在某些領域比PIPL更嚴格的領域,而在另一些領域則不那么嚴格。


        3、PIPL對政府對風險評估過程的監督有不同的標準。

        根據GDPR,數據控制者必須在“可能導致自然人的權利和自由面臨高風險”的情況下對其數據處理計劃進行數據隱私影響評估(“DPIA”),例如涉及新技術,大規模監控和/或特定類別的SPI。DPIA 必須具體概述:

        • “對設想的處理操作的系統描述;”

        • 對數據處理操作目的的類似描述,包括數據控制者的合法利益;

        • 所述數據處理操作的“必要性和相稱性”;

        • 這些操作對數據主體的權利和自由構成的風險;

        • 實際處理/減輕這些風險的“設想的措施”。


        通常,數據控制者可以獨立執行 DPIA。但是,此一般規則有幾個例外。在GDPR生效之前,歐盟咨詢機構發布的一份指導文件明確指出,數據控制者必須與監管機構協商:

        1. “每當數據控制者無法找到足夠的措施將風險降低到可接受的水平時,”

        2. 當歐盟成員國法律如此針對與公共利益相關的數據處理時。


        PIPL要求個人信息處理者在類似(盡管不一定完全相同)的情況下接受個人信息保護影響評估(“PIPIA”)。然而,與GDPR下的DPIA不同,如果PIPIA識別出組織無法補救的風險,PIPL不要求組織咨詢監管機構。


        另一方面,考慮個人信息跨境傳輸的情況。值得注意的是,PIPL將來自中國邊境的數據傳輸視為固有的風險活動,這些活動會自動觸發對PIPIA的需求。在這些情況下,雖然PIPL可能不會為PIPIA的目的強制政府直接監督,但它通常會以單獨的“由國家網絡安全和信息化部門組織的安全評估”的形式強制實施。在組織對出站數據傳輸風險進行自我評估并向監管機構提交評估報告后,將進行此評估。


        GDPR 還為與個人信息相關的數據處理活動提供了安全評估,盡管一般而言,但不限于跨境數據傳輸。然而,這些評估可能是自我進行的。


        盡管如此,無論是GDPR下的自我執行安全評估,還是PIPL下的自我執行PIPIIA,都意味著主題組織可以固步自封。根據這兩個框架,對不遵守規定的處罰可能是嚴厲的。


        但一個框架的懲罰可能比另一個框架更嚴厲。


        4、PIPL 可能要苛刻得多。

        從2016年歐盟成員國采用GDPR到其生效之日之間的大約兩年期間,商界都感到恐慌。是的,GDPR是一個聲稱具有普遍影響力的全面法律框架。但即使是通常受歐盟法規約束的公司也感到擔憂 - 因為潛在的處罰。


        在GDPR生效之前,通過今天的比較,對個人數據相關錯誤的最高處罰是溫和的。但GDPR提高了賭注。違反GDPR規定的人,對于最嚴重的違規行為,可能面臨最高2000萬歐元或全球年度總收入的4% - 以較高者為準。企業巨頭和中型企業都注意到了這一點,而小企業則為破產的幽靈而煩惱。


        PIPL走得更遠。嚴重“違反PIPL的公司可能面臨高達其全球年總收入的5%(如果更大,則相當于約726萬歐元)。如果這個額外的百分點還不夠可怕,那么應該指出的是,這種罰款似乎不是恢復原狀的;除這些罰款外,任何和所有違反PIPL者的“非法收入”都可能被沒收。為了讓越界者更嚴重,中國政府還可能暫?;虻蹁N違規者在中國的營業執照。


        盡管整個企業因PIPL違規行為而遭受損失,但個別員工和管理人員可能損失更多。PIPL為個人創造個人責任。對最嚴重的違規行為“直接負責”的員工可能也將面臨高額的罰款。


        他們還可能對其生計(以及可能的生活方式本身)造成持久的損害。在被發現對PIPL違規行為負有直接責任后,員工可能會被禁止在“一段時間內”擔任管理或隱私官的角色。即使在該期限之后,員工的違規行為記錄也可能隨附;PIPL第67條規定,違法行為將成為個人社會信用檔案的一部分。


        因此,即使 PIPL 下對數據處理違規行為的直接罰款是可控的,但全球企業及其員工在 PIPL 下面臨的風險可能比在 GDPR 下面臨的風險要大得多。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精