环球律师事务所发布的《“个人信息保护监管要求”比标分析报告》(V1.0版)旨在对比分析欧盟《通用数据保护条例》(GDPR)与中国的《网络安全法》、《信息安全技术个人信息安全规范》(GB/T 35273-2020)以及《中华人民共和国个人信息保护法(草案)》(简称“《个保法草案》”)在个人信息保护方面的规定,为企业提供合规指引。
第一部分:15项个人信息保护监管要求综合分析
比标对象、方法、范围:
- 比标对象:GDPR、《网络安全法》、《国标》、《个保法草案》。
- 比标方法:比较法规与标准的具体规定,为企业提供针对性合规建议。
- 适用范围:覆盖GDPR、中国法律法规及标准在个人信息保护领域的整体框架、合规要求、法律责任等方面。
个人信息保护立法理念:
- GDPR:以风险管理为基础框架。
- 《网络安全法》、《国标》:以用户同意为基础框架。
- 《个保法草案》:提出以风险管理为基础框架的立法理念,强调风险选择空间与权责一致性。
合规提示:
- **《个保法草案》**借鉴GDPR,采用风险管理框架,赋予企业更多自主权,同时强化法律责任,与GDPR的“与风险相匹配”的罚款原则相呼应。
第二部分:5项具体个人信息保护要求深入分析
关于个人敏感信息(人脸信息)的合规治理要求:
- 分析不同法规对人脸信息保护的差异,强调特别治理的重要性。
关于告知与同意的合规要求:
关于个人信息控制者与处理者合规要求:
- 解释在对外提供个人信息时,如何确保双方的合规责任。
关于个人信息出境的合规治理要求:
- 讨论不同国家和地区对个人信息跨境传输的限制与要求。
关于个人信息保护工作机构及负责人设置要求:
- 分析设立个人信息保护机构与负责人的具体要求及其意义。
结语:
《个保法草案》作为我国个人信息保护的综合性法律,强调了个人信息全生命周期的管理与风险控制,旨在构建更为全面的个人信息保护体系。报告通过比较分析,帮助企业了解不同法规间的差异,制定相应的合规策略,以适应全球化背景下的数据保护需求。
