2018 年 5 月 25 日施行的欧盟《通用数据保护条例》(简称 GDPR)被视为当前最为全面、严格的数据保护法案。与其同月生效的《信息安全技术个人信息安全规范》也是目前国内个人信息保护制度中最完善的规范性文件。
《个人信息安全规范》与 GDPR 有很多相似的地方,往往被称为“中国版 GDPR”, 但在具体规制个人信息的范围、方式和有关合规性要求上,两者还是有各自的特点。对于跨国企业尤其涉及欧盟业务的企业而言,建立适应跨境业务的数据合规体系需综合考虑各法域的监管要求,因此厘清二者的异同具有一定的实践意义。
为此,今天将分享二者在一些事项上有共同或相似规定的条款以表格形式列出,不涉及各自单独规范的一些情形。
项目 | 个人信息安全规范 | GDPR |
1. 个人信息的用词 | personal information | personal data |
2. 个人信息的定义 | 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 | 任何与已识别或可识别的自然人 (数据主体)相关的信息;可识 别的自然人是指可以被直接或间接地予以识别的自然人 |