康謀分享 | 數(shù)據(jù)隱私和匿名化：PIPL與GDPR下，如何確保數(shù)據(jù)合規(guī)？（一）

自動(dòng)駕駛技術(shù)的快速發(fā)展伴隨著數(shù)據(jù)隱私保護(hù)的嚴(yán)峻挑戰(zhàn)。中國(guó)《個(gè)人信息保護(hù)法》（PIPL）與歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）為自動(dòng)駕駛數(shù)據(jù)合規(guī)設(shè)立了高標(biāo)準(zhǔn)。本篇文章將帶大家深入探討PIPL與GDPR的異同點(diǎn)，期望能夠幫助車(chē)企更好地理解并應(yīng)對(duì)數(shù)據(jù)隱私保護(hù)法規(guī)的挑戰(zhàn)，推動(dòng)自動(dòng)駕駛行業(yè)健康發(fā)展。

一、自動(dòng)駕駛數(shù)據(jù)合規(guī)挑戰(zhàn)

2021年8月20日，中國(guó)發(fā)布了一項(xiàng)重要的數(shù)據(jù)保護(hù)法，即《個(gè)人信息保護(hù)法》(Personal Information Protection Law, PIPL)。圍繞數(shù)據(jù)隱私，將零碎的立法統(tǒng)一并加強(qiáng)為一套完整的規(guī)范，包含數(shù)據(jù)的收集、處理和保護(hù)等規(guī)則。

與歐盟的通用數(shù)據(jù)保護(hù)條例（General Data Protection Regulation,GDPR）類(lèi)似，PIPL在眾多方面對(duì)于數(shù)據(jù)隱私做出了相應(yīng)的限制。

數(shù)據(jù)隱私保護(hù)法規(guī)的相關(guān)限制對(duì)自動(dòng)駕駛行業(yè)無(wú)疑是一項(xiàng)重大挑戰(zhàn)。這是因?yàn)榻陙?lái)在自動(dòng)駕駛行業(yè)，眾多新能源車(chē)企已經(jīng)將眼光從逐漸飽和的中國(guó)市場(chǎng)轉(zhuǎn)向歐洲市場(chǎng)，而數(shù)據(jù)采集作為自動(dòng)駕駛數(shù)據(jù)閉環(huán)的開(kāi)始，在中國(guó)地區(qū)和歐洲地區(qū)之間的數(shù)據(jù)轉(zhuǎn)移必須要符合相應(yīng)地區(qū)的隱私保護(hù)法規(guī)，否則可能會(huì)和Google一樣，因涉嫌侵犯用戶的隱私而面臨巨額罰款。

目前GDPR相關(guān)的罰款總額現(xiàn)已達(dá)到近50億歐元。

在中歐地區(qū)之間進(jìn)行自動(dòng)駕駛行業(yè)的數(shù)據(jù)轉(zhuǎn)移時(shí)，為幫助車(chē)企避免違規(guī)受罰，本文接下來(lái)將從多個(gè)方面討論中國(guó)和歐盟隱私保護(hù)法規(guī)的異同之處。

二、PIPL和GDPR的異同點(diǎn)

1、覆蓋范圍

PIPL的范圍：（1）中國(guó)境內(nèi)的個(gè)人信息的處理；（2）在海外處理中國(guó)境內(nèi)個(gè)人信息：a.必須為中國(guó)提供產(chǎn)品或相關(guān)服務(wù);b.中國(guó)公民的行為或是活動(dòng)的數(shù)據(jù)分析處理必須在中國(guó)境內(nèi)進(jìn)行。

在覆蓋范圍這一層面上，GDPR（歐盟通用數(shù)據(jù)保護(hù)條例）與PIPL（中國(guó)個(gè)人信息保護(hù)法）呈現(xiàn)出相似性。就PIPL而言，它明確保障了在中國(guó)境內(nèi)居住公民的個(gè)人信息安全。而對(duì)于在境外處理涉及中國(guó)公民個(gè)人信息的數(shù)據(jù)活動(dòng)，PIPL同樣設(shè)定了條件，即這種處理必須旨在向中國(guó)境內(nèi)的消費(fèi)者提供商品或服務(wù)，簡(jiǎn)而言之，其服務(wù)對(duì)象必須限定為中國(guó)公民。

一個(gè)可能的差異點(diǎn)在于，PIPL在執(zhí)行過(guò)程中明確指出了可能會(huì)援引其他法律或行政法規(guī)的情況，這一特點(diǎn)使得PIPL的適用范圍相較于GDPR更為廣泛。但在處理數(shù)據(jù)的過(guò)程中，企業(yè)也需要更加全面地考慮各種可能的法律限制和約束。

2、個(gè)人信息定義

PIPL規(guī)定了個(gè)人信息是指由電子類(lèi)設(shè)備或是其他方式記錄，與已識(shí)別或可識(shí)別的自然人相關(guān)的信息，并指出不包括匿名化處理后的數(shù)據(jù)。

GDPR則在這一基礎(chǔ)上進(jìn)一步細(xì)化了可識(shí)別自然人的定義，明確了無(wú)論是直接還是間接方式能夠識(shí)別出的個(gè)體均屬于此范疇，并列舉了諸如姓名、身份證號(hào)碼、居住地址，以及自然人的物理、生理等特征作為具體示例，以更直觀地說(shuō)明其定義。

3、敏感數(shù)據(jù)

在敏感數(shù)據(jù)處理方面，PIPL與GDPR也存在異同之處。比如，PIPL與CCPA類(lèi)似，直接使用了“敏感數(shù)據(jù)”（Sensitive Data）這一術(shù)語(yǔ)，而GDPR則稱之為“特殊類(lèi)別信息”（Special Category Information）。這一稱呼上的差異也反映了兩者在敏感數(shù)據(jù)定義上的不同。

GDPR通過(guò)明確列出一種具體的信息清單，將符合該清單的數(shù)據(jù)歸類(lèi)為“特殊類(lèi)別信息”，并為其提供專門(mén)的保護(hù)。這種方式使得GDPR在敏感數(shù)據(jù)的識(shí)別上更加直接和具體。

相比之下，PIPL在敏感數(shù)據(jù)的定義上采取了更為寬泛的視角。它不僅包括了生物計(jì)量學(xué)特征、低于14歲公民個(gè)人信息等明確列出的內(nèi)容，還支持對(duì)清單外數(shù)據(jù)內(nèi)容提出爭(zhēng)議的權(quán)利。這意味著，在PIPL的框架下，敏感數(shù)據(jù)的范圍可能更加廣泛。

未完待續(xù)，我們將分享更多數(shù)據(jù)隱私和匿名化的相關(guān)內(nèi)容。