做好数据安全治理,离不开法律法规及行业标准的保障,国内法律与法规监管逐渐以数据为中心,通过立法促进数据安全合规性、规范性的要求不断提高。全球超过107个国家和地区已制定数据安全和隐私保护法律,如欧盟、美国、俄罗斯、日本、新加坡、巴西、印度等。网络安全法、通用数据保护条例(GDPR)、数据安全法为数据安全治理提供了重要的依据。今天我们来简单解读下网络安全法与GDPR的不同之处。

《中华人民共和国网络安全法》2016年11月7日颁布并于2017年6月1日正式生效。2018年5月25日,欧洲联盟出台《通用数据保护条例》(General Data Protection Regulation,简称GDPR。)尽管《中华人民共和国网络安全法》与欧盟的《通用数据保护条例》(GDPR)在个人信息保护的义务有相似之处,但也存在了一些明显的差异。为了将二者做区分,我们将网络安全法和GDPR在以下各个领域做比较:法规源由、法规观点、管辖原则、处罚形式。


法规源由

网络安全法

  • 网络安全法是一部具有多种渊源含义的中国法律。
  • 首先网络安全法在中国大陆范围内生效,没有任何国家的法规、规则或地方法规可以覆盖该法律。
  • 当不与网络安全法相抵触时,由中国国务院和下属部委制定的行政法规和规章可以规定执行该法律的详细规范、标准和程序。
       GDPR
  • GDPR是由欧洲议会和欧盟理事会制定的行政法规或国际协议
  • 尽管GDPR声称是在欧盟及欧洲经济区有效,但不能与欧盟内部主权国家的法律相抵触。
  • GDPR没有统一的欧盟执法机构,也没统一的规范、标准和程序
  • 欧盟的每个主权国家都有权制定适用GDPR侵权行为的处罚规则,再由各个监管机构自行采取法律实施行动。


法规观点

网络安全法

  • 网络安全法将个人信息保护视为网络运营者(指网络的所有者、管理者和网络服务提供者)职责的一部分。
  • 管理当局可以对他们认为尚未履行有关个人信息保护义务的网络运营商采取执法行动,并可以要求网络运营商提供合规证据。

GDPR

  • GDPR倾向于将隐私保护视为数据主体的权利。
  • 欧盟的行政当局必须提供证据证明违反法规和数据主体权利的行为,或数据泄露导致了私人数据的泄露,以此证明违反GDPR的行为并进行合理性的处罚。


管辖原则

网络安全法

  • 网络安全法是基于地域为原则,要求中国大陆内部任何公司在处理个人信息都必须遵守。
  • 因此中国大陆内部的跨国公司也必须遵守网络安全法中的个人信息保护要求,甚至是处理其他国家公民的个人信息。
  • 此外市场营销、销售、数据分析、医药、客户关系、以及其他处理个人信息相关行业或业务相关的也必须遵守。

GDPR

  • 规定欧盟及欧盟以外的国家或地区向欧盟公民提供服务或商品应符合GDPR要求


处罚形式

网络安全法

  • 同时参照《公安行政处罚法》和《中华人民共和国刑法》来确定违法行为的处罚,包括行政罚款,拘留和在最坏情况下的刑事判决。
  • 由于公安法和刑法之间的差异,刑罚会因违法行为的严重程度而定。

GDPR

  • GDPR主要是行政罚款,分别是:
  • 上限一千万欧元/全球年营业额2%,取较大者;
  • 上限两千万欧元/全球年营业额4%,取较大者;

此外,欧盟部分成员国还有可能触犯刑事责任

比较网络安全法和GDPR,网络安全法的个人信息保护条款对违反个人信息保护条款规定了更严厉的罚款。严格注意《公安管理违法》的要求,因为公安机关有权在没有公共辩护和判断的情况下进行行政裁决,裁决可以是入狱。

《中华人民共和国网络安全法》和GDPR实施的3年多时间里,很多权威机构也进行过多次解读,本次解读是针对两者在个人信息保护方面不同侧重进行提炼,抛砖引玉,更详细的内容可以留言探讨。后续,我们将会对数据安全法做进一步解读。