欧盟GDPR与中国《网络安全法》的比较分析

欧盟《一般数据保护法案》（General Data Protection Regulation, GDPR）已于2018年5月25日正式适用，对数据控制方作出了严格的数据合规要求。在互联网高速发展、尤其是云技术高速发展、数据无处不在并时时流动的时代，GDPR的颁布实施可谓影响深远。

我国于2016年11月7日颁布并于2017年6月1日正式生效的《中华人民共和国网络安全法》（简称“《网络安全法》”）尽管切入点为“网络安全”而非欧盟的“数据”，但《网络安全法》专章对“网络信息安全”做了规定，以“个人信息”作为切入点对涉及个人信息的数据保护做了原则性规定；除此之外，在《网络安全法》颁布之前我国即有全国人民代表大会常务委员会《关于加强网络信息保护的决定》、工信部《电信和互联网用户个人信息保护规定》；《网络安全法》颁布之后，相关部门则先后发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称“<评估办法>”）以及《信息安全技术 数据出境安全评估指南（征求意见稿）》等多份文件予以配套；这方面与GDPR可谓殊途同归，都对各自监管范围内的数据/个人信息获取、使用、转移做了规定。

本文将从立法目的、适用范围、个人数据/信息处理原则、个人数据/信息主体的权利、数据转移、违反个人数据/信息保护义务的法律责任六个方面对二者进行比较。

一、立法目的

微评：

《网络安全法》的立法目的较为多重，包涵对网络安全的维护、对国家与社会公共利益的维护和对用户主体的权利保护三个方面，而GDPR则聚焦于对个人数据自由流动的保护。这一区别与两个主体之间的不同性质、欧盟与中国之间立法传统等均有关系。在数据/个人信息保护之外，《网络安全法》还注重网络服务提供商提供网络服务的持续性、稳定性以及数据内容本身的合法合规性，防止网络安全事故导致的服务中断以及非法、不实数据内容的传播对实体经济、社会公众日常生活乃至国家安全造成破坏性影响。

此外，值得注意的是，无论是GDPR还是《网络安全法》，从法律通过/颁布到正式适用都预留了较长的时间，以便于从业企业为自身合规做准备。由此也可见，从业企业对数据、个人信息保护的合规化是一个系统、复杂的工程，并非可以一蹴而就。

二、适用范围

微评：

在受规制主体方面，《网络安全法》的适用范围除了对信息/数据的收集、存储、传输、交换、处理等行为本身外，还包括与该等行为相关的硬件设施的建设、运营和维护；在《网络安全法》框架下受规制的主体统称为网络运营者，并区分为关键信息基础设施的运营者和非关键信息基础设施运营者。相较而言，GDPR的适用范围聚焦于对个人数据的处理，将受规制主体区分为数据控制者与数据处理者。

在适用地域方面，《网络安全法》原则上只适用于我国境内，包括我国境内个人和实体以及境外个人、实体在中国境内建设、运营、维护和适用网络的行为； （1）而GDPR除了适用于欧盟境内的个人数据处理行为，还适用于为欧盟内的数据主体提供商品或服务及对发生在欧洲范围内的数据主体的活动进行监控的行为。此外，据了解，该等“欧盟内的数据主体”除了包括欧盟成员国公民（citizens），还可以包括在欧盟持续居住成为欧盟居民（residents）的主体。可以说，GDPR在适用地域方面比《网络安全法》宽泛很多，并不受限于欧盟境内，甚至不仅仅受限于欧盟公民。

三、个人数据/信息处理原则

微评：

对比可以发现，无论是《网络安全法》还是GDPR，都规定了合法、合理、正当、透明、必要、有限、安全等原则。值得注意的是：

①《网络安全法》明确规定了需要获得用户的同意，而在GDPR框架下，获得用户同意仅仅是对个人数据进行处理的一种方式（但“获得同意”有着具体的方式要求，并且获得用户同意之外的其他方式的个人数据处理均受到严格的限制）；

②对于可以识别数据主体的个人数据，GDPR明确规定了储存不得超过必须的时间，即意味着除个别例外情况，超过时间后该等数据需要存储方主动删除，相较而言《网络安全法》并未对此进行具体规定，但该等要求是否可以在未来解释为“必要”原则的应有之意还需进一步观察。

③对于相关原则，GDPR还综合运用概括性规定、正向列举、反向列举等方式进行了具体的细化，相较于《网络安全法》而言，规定的操作性更强。

④特殊情况下，GDPR设置了数据保护官制度，明确要求需要专人负责个人数据处理/控制方的数据保护事项。

四、个人数据/信息主体的权利

微评：

相较而言，《网络安全法》规定的数据/个人信息主体的权利较为简单，仅赋予了数据主体删除与更正的权利，并且其适用情形也更为狭窄，仅限于网络运营者违反规定/约定收集、使用个人信息，或者其收集、存储的个人信息有错误的情形；GDPR赋予的数据主体的权利则更加广泛、深入与具体，赋予了数据主体对自身数据更为积极主动的管理权利，这与GDPR的立法目的密切相关。

五、数据跨境转移

微评：

根据《网络安全法》的规定，关键信息基础设施的运营者因业务需要确需向境外转移个人信息和重要数据的，需要按要求进行评估。而具体的评估办法（即《个人信息和重要数据出境安全评估办法》、《信息安全技术数据出境安全评估指南》）目前尚未正式生效。其中，关键信息基础设施运营者是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施的运营者。值得注意的是，前述《评估办法》的征求意见稿已经将本地化要求的主体从关键信息基础设施的运营者扩大到了所有网络运营者。

相较而言，GDPR对数据转移的要求适用于所有数据的转移。该等转移分为了需要获得授权和无需获得授权两种情形。但因为无需获得授权的情况下要求欧盟委员会认定认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织具有充足保护；而实际上，截至目前基本没有任何国家或地区对个人数据的保护严于欧盟，因此目前要实现无需授权的转移几乎不可能。

六、违反数据/信息保护义务的法律责任

微评：

相较于《网络安全法》在罚金上最高100万元的处罚，GDPR规定的相当于2000万欧元/企业“上一年全球总营业额4%的金额”（取较高的一项）的罚款（此处的基数为营业额而非净利润，笔者注），对于企业尤其是大型跨国企业来说，与《网络安全法》的处罚相比可以说完全不在一个数量级，也难怪各国企业都高度关注欧盟颁布的GDPR。

尽管《网络安全法》与GDPR的立法目的不尽相同，但在个人数据/信息保护的大方向上可以说殊途同归，这一点在二者所规定的个人数据/信息处理原则上即可看出。据此可以说明，我国立法部门的前瞻性以及在应对社会发展过程中所展现出来与时俱进与灵活应变的能力。当然，需要正视的是，在个人数据/信息保护方面，GDPR规定得更为详尽与具体，给个人数据/信息主体赋予的权利更为积极主动，所展现出来的立法技术更为成熟，同时规定的处罚措施也更为严苛。

需要特别关注的是，根据GDPR的规定，其适用范围不仅仅包括在欧盟境内开展的个人数据处理行为，还包括为欧盟内的数据主体提供商品或服务，且不论此项商品或服务是否要求数据主体支付对价。这意味着，尽管是注册在我国并且在我国提供服务的企业，只要涉及为欧盟内的数据主体（包括欧盟公民以及欧盟居民）提供商品或服务，哪怕该等商品或服务是免费的，也需要遵守GDPR的规定。典型的如我国境内的酒店因为来我国的欧盟公民/居民提供住店服务，在信息系统中登记其个人信息，严格来说也在GDPR规制的范围之内。

据此，在目前世界各国都越来越重视个人数据保护的背景下，我国从业企业需要同时关注我国《网络安全等》等与个人信息保护的相关法律法规和欧盟GDPR对个人数据保护的要求；而对于已经或致力于全球化的企业更需要整体布局企业的个人数据/信息处理政策，包括但不限于：

（1）在全球布局数据中心/服务器，应对越来越严格的数据跨境转移要求；

（2）整体规划并更新企业面向用户的相关协议文本，完整获取使用、共享、转移用户数据/信息的授权；

（3）完整梳理公司日常业务需要处理的用户数据/信息，并根据迫切性、必要性进行分级，遵守个人数据/信息处理的必要、有限原则；

（4）更新公司的隐私政策，向用户披露个人数据/信息收集、使用、共享、转移的目的、范围、方式等内容，遵守个人数据/信息处理的透明规则；

（5）重视公司数据保护的软硬件投入，建立完整的数据保护规则和体系，确保公司数据存储的安全性；

（6）考虑引入“数据保护官”制度（如有必要还可在欧盟委任代表以适应GDPR的监管要求），或至少设置专人负责公司的个人数据/信息保护事务，重视通过该专门负责人员提升企业在数据安全、数据合规方面的专业能力，降低数据处理过程中的违法风险。

说明：本文GDPR中文翻译来源于中国人民大学法学院副教授，中国人民大学法学院未来法治研究院副院长丁晓东的翻译，具体可参见《欧盟首个数据保护条例GDPR今日生效,你可能需要它的中文版全文》一文，链接：https://www.secrss.com/articles/2894

[1]根据《网络安全法》第五十、七十五条的规定，针对来源于境外的网络安全风险和威胁，有关机构可以采取措施阻断来源于境外的违法信息传播；对于境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任。

来源：汉盛律师

网站安全认证、网络安全保险、等级保护咨询

咨询电话：400-608-5250

                010-57033050

信安在线为您提供专业的信息安全服务

www.cnmstl.net

信息安全“生态型”平台

长按二维码关注我们