|
《欧盟通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)已经欧洲议会通过并将于2018年5月25日实施。届时这一条例将会在所有欧盟成员国内直接适用,取代先前的《数据保护指令》(Data Protection Directive),成为欧盟个人信息保护的核心法律。
在我国个人信息保护领域,于2018年5月1日开始实施的GB/T 35273-2017《信息安全技术个人信息安全规范》(以下简称“《规范》”)是目前在个人信息保护方面最细致的官方文件。虽然《规范》性质上属于推荐性国家标准不具有法律强制力,但其由全国信息安全标准化技术委员会提出并归口,一定程度上反映了我国监管机关的态度,对企业合规具有指导意义。
因此,为帮助企业更好地理解和运用《规范》,我们将GDPR和《规范》及《网络安全法》(以下简称“《网安法》”)相关规定作了如下对比。由于篇幅的限制,我们仅摘取了GDPR中与个人信息保护有关的部分,省略了GDPR中与跨境传输相关的部分。通过对比可以看出,《规范》一方面借鉴了GDPR等国外立法,另一方面,《规范》基于《网安法》中与个人信息保护有关的法律框架(比如根据《网安法》的要求规定了安全事件应急预案制度[1]、申诉管理制度[2]等),并结合我国个人信息保护现状,进行了调整和创新(比如规定了“明示同意”格式和展示方式上的要求、规定了企业内部劳动关系处理的细节[3],个人信息公开披露规则[4]等)。
以下对比栏目中,左栏灰色背景的是GDPR条文[5],右栏为我们以GDPR为参照对《规范》的评注。 |
|
|
