原标题：我国《个人信息维护法》与欧盟《数据维护通用规则》五大根底概念比较(CN-EN)

　　我国《个人信息维护法》（下称《个信法》）现已公布，将于2021年11月1日收效。能够料定，我国社会中的个人信息处理活动（本文说到这个概念，是指受《个信法》统辖的个人信息处理活动。下同），将会呈现一段由乱入治的进程。

　　鉴于中欧经济沟通的深度与广度，关于两部法规进行比较研读，关于安排，特别是有跨境事务的企业和其它私人安排，树立一起满意两部法令要求的安排架构及准则，非常有利。

　　欧盟：维护个人数据相关自在和权力，但不得因而约束或制止欧盟规模内的信息自在活动（第1（2）（3）条）。

　　个人信息维护法的必要性，是跟着电子信息产业的大发展而日益显现出来的。由于信息产业的兴旺，处理个人信息的规划、速度及对个人日子的影响与此前的年代大相迳庭，不可同日而语。可是个人信息的运用又是数字化经济环境下许多经济活动的根底。因而，中欧法令都相同着重了两者的平衡。

　　欧盟：个人数据是与已辨认或许可辨认的自然人有关的各种信息（第 4（1））。

　　《个信法》运用个人信息一词，GDPR运用个人数据一词，但两者的内在并无本质差异。

　　《个信法》着重，匿名化后的信息就不归于个人信息（第四条）。这仅仅对“与已辨认或许可辨认的自然人有关”这一点的进一步论述，并未缩小个人信息概念的外延。

　　《个信法》还着重，是否以电子办法记载，不是界说个人信息的要件（第四条）。GDPR则规则，只需个人数据进入文档体系，便归于个人数据，不管该文档体系是否是自动化的（第2（1）条）。鉴于自动化的文档体系只能是电子的，而在电子文档体系中存在的信息只能是电子办法记载的，所以，在这一点上，两部法令表述办法不同，但作用是相同的。

　　我国：个人信息处理者是指在个人信息处理活动中自主决议个人信息的搜集、存储、运用、加工、传输、供给、揭露、删去等处理意图、处理办法的安排、个人（第四条二款，七十三条一款一项）。

　　欧盟：数据操控者是指单独或联合决议数据处理意图和办法的个人或法人、公共当局、安排或其它安排（第4（7）条榜首句）；数据处理者是指代表数据操控者搜集、记载、安排、建构、存储、改编或改动、取回、咨询、运用、发表、校准或兼并、约束、删去或拆解数据的个人或法人、公共当局、安排或其它安排（第4（2），（8）条）。

　　《个信法》中只要“处理者”，而没有“操控者”。可是，《个信法》中的处理者是能决议处理意图和处理办法的个人或安排，因而应该理解为包括了欧盟法意义上的操控者，由于只要操控者才干决议处理的意图以及办法。

　　另一方面，由于即使是狭义意义上的处理者，比方供给数据处理服务的独立第三方，虽然在处理意图上不能自主，但在数据处理办法上必定有某种规模的自主权，比方存储服务器设于何处，服务器怎么加密，选用光纤仍是电缆传输等，不然就不成其为独立第三方，而是操控者的相关公司了。

　　因而，《个信法》中的个人信息处理者也包括欧盟法意义上的处理者。总归，《个信法》上的个人信息处理者的规模，与GDPR的“操控者+处理者”的规模，并没有本质差异。

　　我国：在我国境内进行的个人信息处理活动，受统辖（第三条一款）。在我国境外进行的处理我国境内自然人个人信息的活动，假如该活动是以向我国境内自然人供给产品或服务为意图，或该活动是在剖析、评价我国境内自然人的行为，或有法令法规规则的其它景象，也受统辖（第三条二款）。

　　欧盟：由欧盟境内的信息操控人或处理人的安排进行的数据处理活动受统辖，不管处理活动是否产生在欧盟境内（第3（1）条）。建立的在欧盟境外的信息操控人或处理人进行的数据处理活动，假如该活动是为了向欧盟境内的数据主体供给产品或服务，或该活动是为了监控欧盟境内产生的行为，也受统辖（第3（2）条）。

　　明显，在信息主体（或许的受害者）所在地这一判别依据，中欧两部法令在实际作用上是共同的。

　　值得剖析的是我国“在境内进行的处理活动”与欧盟“境内操控人或处理人的安排进行的活动”两者的不同。由于问题较为杂乱，所以咱们举个例子来测验这个问题：假定，一家境内公司的境外安排处理有关境外人的信息，工作怎么？

　　榜首种，当境外安排的行为是独立的，比方境外安排为境外第三方供给信息处理服务。此刻，按PIPL的规则，因活动不在我国境内，故不适用。但在GDPR来看，答案就不清晰。有的以为GDPR不适用，由于此刻境内公司既非处理人，也不是操控人。但笔者曾服务的一家欧盟公司总部的信息安全专员以为适用GDPR，故其要求其我国子公司要恪守GDPR，虽然其我国公司中没有欧盟人的个人信息。

　　第二种，当境外安排的行为受境内安排某种规模的操控。此刻，在GDPR来看，是清晰有统辖权的，由于归于欧盟境内操控人的安排从事的活动。但在PIPL好像就能够争议。由于，比方我国总部要求境外安排遵循某种技术规范或服务规范，是不是PIPL界说的“自主决议处理办法”？答案尚不确认。

　　要提示的是，信息操控人或处理人的“安排”，GDPR英文版的表述“establishment”不能理解为是一个公司，乃至不能理解为一个办公室。法令方式并不是规范。一个延聘的参谋，也可构成establishment。

　　我国：个人信息处理者应当采纳必要办法，保证境外接纳方处理个人信息的活动到达本法规则的个人信息维护规范（第三十八条3款）。

　　欧盟：个人数据操控人或处理人只要在采纳了恰当保证办法，而且以数据主体的权力能够实行和法令救助途径能够获得为条件，除非欧盟现已确定第三国的维护水平满足。任何有关向境外传输个人数据的规则都应保证GDPR的保证水平没有削弱（第44、46（1）条）。

　　虽然法令为向境外传输个人信息设置了许多要求，假如境外接纳人在得到数据后不实行怎么办？中欧两国法令都对其境内数据操控者、处理者赋予了“保证”责任。

　　这实际上一方面是要求境内安排审慎地检查境外接纳方的维护理念、办法、才能等，另一方面是要求境内安排应当经过协议等东西对境外接纳方加以操控，以便在产生损害个人信息权时，个人信息主体、境内安排能够经过恰当的途径寻求救助，比方依据协议对境外安排提起诉讼。

　　当然，没有实行“保证”责任的境内安排，依据情节不同，或许会遭到行政处罚。在我国境内的责任人，也有或许被追查刑事责任。

　　个人信息维护合规问题，关于信息处理者，尤其是企业来说，是一个需要从管理层面上要点重视的问题：企业应当依据法令要求在内部设置适宜的个人信息维护安排，投入满足的资金建造信息维护根底设施并对人员供给满足的训练，一起制定恰当的规章准则，保证职工的职务行为符合法令要求。