3.15晚会直击隐私安全，个人信息保护刻不容缓

March 17, 2021

今年的央视“3·15”晚会，隐私保护成了最大“亮点”。进一步唤醒了消费者的安全意识，同时也给企业敲响了法律的警钟：隐私，不仅是消费者维权的底线，更是法律的红线。

近两年，我国多个部委密集制定、颁布、出台了一系列隐私安全和隐私保护相关法律法规，其中，中国首部个人信息保护法规--《个人信息保护法（草案）》迎来了序幕。
SGS技术专家第一时间，针对《个人信息保护法（草案）》与GDPR作出差异化分析比较。小编在上次九大差异化系列推文已经给大家分享了立法背景的差异（点击查看详情）。
下面，我们来看看还有哪些要点变化：

立法重点的差异
GDPR
尽管草案与GDPR都同时强调了维护自然人权利和保障个人信息自由流通两者之间的平衡。但从法规内容来看两者还是有些差异。
GDPR更侧重于维护自然人的权利。首先归纳和定义出自然人在个人信息处理中应享有和被维护的权益，然后在此基础上保障个人信息的自由流通。

草案
草案在定义自然人的权利之初，就已经照顾或考虑到避免影响个人信息的自由流通，从理念上来讲更侧重于维护代表所有人利益的个人信息使用的情况。
这与中国当前的国情是有关的，根据中国互联网络信息中心发布的《中国互联网络发展状况统计报告》，截止2020年12月，中国当前的网民数量为9.89亿人，约占世界网民总量的五分之一，互联网普及率达到了70.4%，其中网民增长最快的就是农村地区。
因此，个人信息的自由流通对于实现广大农村地区实现彻底脱贫所起到的作用是不容小觑的。

执法机制的差异
GDPR
GDPR为了保证在欧盟区域内实现执法的一致性，要求在各成员国内设立专门的数据保护署，统一执法。
同时，对于有争议的执法行为，在欧盟层面GDPR也设定了相应的投票表决机制，极大地避免在欧盟区域内，各成员国之间因主权意识而带来的较大的执法差异。

草案
草案尽管提出了国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作，但是，仍然延续了之前中国大陆境内对涉及信息安全方面执法的惯性，即国家各个职能部门对各自职责范围内的行业领域进行个人信息处理违规活动行使执法权力，属于分而治之。

主要是基于两方面的考虑：
打破原有执行惯性会造成法规要求在执行过程中难于施行，而且新设立的数据保护部门并不了解各个行业的特点，反而会造成执法过程的偏差；尽管属于分而治之，但仍处于同一主权国家管制之下，便于沟通协调，不会造成执法的不一致性。

处理原则的差异
GDPR
GDPR提出了个人信息处理的六大原则，包括：合法，公正，透明、目的限制、数据最小化、准确性、存储限制和完整性和机密性。

草案
草案在GDPR六大处理原则的基础上增加了合作治理原则（第12条）。强调在个人信息处理的规则方面，加强国际合作交流的必要性，提出了推动在国家、地区、国际组织之间建立个人信息保护规则、标准等互认的意愿，体现中国大陆在个人信息处理方面极大的开放性。

个人信息的定义
GDPR
GDPR对个人信息的定义：是指任何涉及一个已识别或可识别自然人的信息。

草案
草案对个人信息的定义：是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。草案对个人信息的处理做了进一步的明确，包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。

从上可以看出，草案将GDPR实践中颇具争议的匿名化后信息的归属问题，在此做了清晰的划分，即不属于个人信息，对其处理已不属于个人信息处理需要规范的范畴。

自然人权利的差异
GDPR
GDPR定义了自然人在涉及个人信息方面享有的八项权利，主要包括知情权、访问权、纠正权、删除权、限用权、可携权、拒绝权、决定权。

草案
草案中明确定义了自然人在涉及个人信息方面享有的权利，包括知情权（第44条）、访问权（第45条）、纠正权（第46条）、删除权（第47条）、限用权（第44条）、拒绝权（第44条和第25条）、决定权（第44条）。但草案中没有定义可携权（Right to data portability）。

以上，是9大差异分析中的第2-6个要点解读，后续的3大要点分析敬请期待......

SGS为助力企业合规的做好隐私信息安全管理，将在北京、上海开启ISO/IEC 27701 隐私信息管理体系内审员培训课程，带领学员在国内国际规范、标准和法律法规要求下学习隐私信息管理体系审核所需的知识和技巧，助力企业及个人增强隐私信息管理能力，有效应对不同司法管辖区的法规和监管要求。

课程详情
课程天数：2天

排期
3月25-26日北京
4月15-16日上海

适用人员
政府部门信息管理官员
企业高级管理层（CEO、CIO、CSO等）
DPO
企业的IT经理
系统/网络/应用管理人员
信息安全管理人员
从事认证体系管理和维护的人员
IT审计及内部审核员
从事信息安全管理咨询的顾问
意愿全面了解隐私信息管理的人员以及所有欲将ISO/IEC 27701引入组织的人员

课程大纲
ISO/IEC 27701:2019标准的框架结构以及与相关标准的关系介绍
ISO/IEC 27701:2019标准正文讲解
ISO/IEC 27701:2019标准附录讲解
PIMS相关的数据处理原则和数据主体权利讲解
风险评估工具和方法
隐私信息管理体系的过程方法
认可、认证和审核相关知识
审核技巧
审核的计划、准备和执行

课程收益
本培训课程汇集了SGS全球顶尖的信息安全专家与主任审核团队的实战经验，通过学习该课程：
能了解和掌握ISO/IEC 27701国际标准的要求
熟悉如何建立完整的PIMS
并掌握批PIMS内部审核的实践方法和技巧
实践如何领导一个团队进行隐私信息管理体系执行审核
具备PIMS内部审核员的基本技能

课程证书
学员成功完成本课程可获SGS颁发的培训证书。

费用
提交报名信息后，客服代表将为您提供课程价格。

报名链接
http://sgscbechina.mikecrm.com/y4QWY8x