企业出海数据合规:GDPR和CCPA差异知多少
一、地域管辖方面
GDPR:无论数据控制者或处理者在欧盟境内有没有设立实体,只要其进行的个人数据处理活动涉及欧盟境内的数据主体,就应当受到GDPR规制。
CCPA:当且仅当在个人信息被收集、利用或出售等与数据主体重大利益相关的活动是在加州进行的,CCPA方可管辖。
总的来说,GDPR管辖范围更广,CCPA仅聚焦重点领域和重点人群。GDPR第三条规定了其管辖范围,采属地+属人+保护性主义的管辖原则。从图片中我们可以看到,GDPR的管辖采层层递进模式。首先判断数据处理行为是否涉及欧盟境内主体的个人数据,若不是,则当然不落入GDPR的管辖,若是,则进一步判断数据控制者和数据处理者在欧盟境内是否有营业活动,若有且该营业活动与数据处理行为具有不可分关系,则落入GDPR管辖,若没有,并不当然排除管辖,而是看所实施的数据处理活动是否针对欧盟境内主体,若是,再看该活动是否与提供商品服务或监控有关,只有处理活动带有营利目的或为了更好的保护个人信息安全,此时GDPR才对其进行管辖。若数据处理活动并不针对欧盟境内主体,但是基于国际公法而适用欧盟成员国法律的,则也要遵守GDPR规定。
“营业活动”:指通过稳定的安排而实施地有效实际活动,判断是否有营业活动时无需考虑数据控制者和数据处理者是否在欧盟境内设有法人实体或代表处。
“不可分关系”:需要结合个案具体判断:例如:欧盟境内的营业活动会给数据控制者带来营利,欧盟境内的营业活动是否与数据处理行为有关联等。
“针对”:必须是数据处理者和控制者出于明确意图向欧盟境内主体提供商品和服务,若只是偶然的,则不应认定为满足“针对欧盟境内主体”标准。
“欧盟境内主体”:是指提供商品或服务或实施监控行为时位于欧盟境内的数据主体,无需关注数据主体的国籍或常住地。
二、跨境传输活动的管控
在跨境传输管控方面,GDPR环环相扣,严格限制,而CCPA无明确规定。
GDPR:
- 数据输入者所在国是否被列为“充分性认定白名单”;
- 若未进入上述“充分性认定白名单”则判断是否提供适当协议、行为准则为跨境传输提供保障;
- 若不满足上述两项,则判断企业集团内部是否建立起有约束力的公司规则(BCRs)并被监管机构批准;
- 若上述三项不满足,那么向第三国或国际组织传输个人数据仅能在满足如下条件下时才能发生:(1)数据主体明知缺少上述保障却仍然同意跨境传输;(2)为履行数据主体和控制者之间的合同的目的而传输;(3)跨境传输对于履行其他人之间的合同是必要的;(4)当数据主体客观上或法律上不能做出同意时,该传输对于保护数据主体或他人的重要利益是必要的;(5)或者向第三国或国际组织的传输不是重复的、仅与少数的数据主体相关、且为了实现控制者追求的令人信服的合法利益、且该利益不与数据主体的权利和自由相互冲突、目的是必要的,等等;
- 上述第4条判断标准的前提是,必须要通过“必要性测试”和“偶然性判定”
三、针对儿童个人信息处理活动的规制
GDPR采取严格保护,其第8条规定:“直接向儿童提供信息社会服务的,只有对16周岁以上儿童的个人数据处理合法。儿童未满16周岁时,处理在征得监护人同意或授权的范围内合法。成员国可通过法律对上述年龄进行调整,但不得低于13岁。考虑现有技术,控制者应当做出合理努力证明此情况下已取得监护人同意或授权。
CCPA与GDPR不同,并不是一概否定儿童的授权。CCPA认为,若儿童未满13周岁,则只有在其父母或者监护人授权的情况下,企业才能向第三方出售该儿童的个人信息;若儿童满13周岁但未满16周岁,则只要儿童自己明确授权,企业就可向第三方出售该儿童的个人信息。
四、数据主体反对数据处理的权利
GDPR的数据处理以数据主体“同意”为原则,数据主体有权“撤回同意权”,并且对敏感数据的处理及直接营销、用户画像的行为拥有反对权,偏重于保护用户数据。
CCPA的数据处理以“通知数据主体”为原则,数据主体的主动授权和同意时常并非必须,数据主体仅有“选择退出权”,偏重于促进数据的流动和经济价值。
阅读更多:
深度分析-《数据视角下的隐私合规》
深度分析-《数据视角下的隐私合规 II》
深度分析-《数据视角下的隐私合规 III》
深度分析-EDPB个人数据泄漏通知指南摘要及合规建议
深度分析:EDPB数据主体权利-访问权指南摘要及合规建议
EDPB关于通过视频设备处理个人数据的指南摘要及合规建议
App隐私合规评估实务和要点
TikTok被罚3.5亿欧元,你应该知道以下几点
没错!非洲肯尼亚刚刚发布了3项隐私处罚
技术分享-动态脱敏
智能网联时代汽车行业数据合规挑战
隐私工程实践路径系列:PIA篇(上)
落地实践-数据分类分级实践难点
数据分类分级-敏感图片识别
深度解读-《个人信息保护合规审计管理办法(征求意见稿)》
隐私工程实践路径系列:PIA篇(下)技术助力
智能网联汽车如何做好用户告知
用九智汇分享:《数字经济合规实务》
数据分类分级-结构化数据识别与分类的算法实践
数据分类分级-隐私管理与保护
“Autosec 安全之星” 用九智汇再获殊荣!
汽车智能网联时代如何解决用户隐私问题?
数据分类分级-敏感数据识别工程实践
用九智汇参编《隐私工程白皮书》正式发布,附下载链接
喜讯!用九智汇入选IAPP中国区服务供应商
这家母公司位于中国的企业因数据问题遭到CNIL处罚!
垦丁律师事务所麻策律师一行到访用九智汇交流合作
用九智汇通过ISO 27001、ISO 27701双重认证
我撒过最多的谎:已阅读并同意相关协议
用九智汇受邀参加WELEGAL与六和律师事务所线下沙龙活动:《数据如何合规出境》
用九智汇入选《数据安全保护义务履行参考案例集》
数字水印在知识产权保护中的应用?
最新!H&M因隐私问题遭到瑞典IMY处罚
第三方SDK合规浅析
关于个人信息权利与响应,你知道多少?
深度分析:EDPB跨境数据合规指南-BCRs认证
深度分析:EDPB关于GDPR下行政罚款计算的指南V2.1
GDPR开发者指南
智能网联汽车行业数据合规解决方案(上)
企业出海数据合规:选择加入和选择退出
企业出海数据合规:CCPA与CPRA的关系
企业出海合规:GDPR和CCPA差异知多少
EDPB-关于在联网车辆和移动相关应用中处理个人数据的第01/2020号指南2.0版(全文翻译)
智能网联汽车行业数据合规解决方案(下)
企业出海如何做好网站Cookie合规
企业出海数据合规:“躲不了”的GDPR域外管辖