汇业评论

文 | 蒋虹 汇业律师事务所 律师

数据在智能手机和物联网出现之后，快速化身为财富。在2000 年，亚马逊 “差别价格实验”是“大数据杀熟”起源 。2012年，Yahoo被攻击导致泄露了30亿的客户数据。2019年，一个研发人员利用爬虫技术从阿里巴巴集团的网站上抓取了约11亿的客户数据，最终获刑。Linkedin在2021年发现自己的7亿客户数据被挂在暗网上，同样是被黑客用爬虫技术抓取。2020年Sina新浪微博5.38亿的客户数据被泄露，包括他们真实姓名，性别，地址和电话。这些数据打包在暗网以仅仅250美元的价格出售。2019年Facebook脸书的2个数据库被公开，5.3亿用户数据被公开。数据保护成为了一个紧迫并且不能避免的话题，相关的一系列法律法规相继出台。比较有代表性的就是欧盟的《通用数据保护条例》GDPR（General data protection regulation）（以下简称GDPR），美国加利福尼亚州隐私保护法(CCPA&CPRA)和中国的《个人信息保护法》（以下简称个保法）。

欧盟GDPR规范的只是个人数据问题，对于非自然人的数据、市场主体对此类数据的再次使用范围，欧盟在2022年2月23日颁布了 DATA ACT《数据法案》。自此，欧盟的数据市场主要策略已经成型。

欧盟的GDPR落地到现在已经经过4年的时间，本文旨在通过浅析2个国家的法律对比，查看欧盟法规其成员国的一些细分规则，希望从中能得到一起启发和经验。

第一、主体和管辖

1.数据主体（解释数据来源谁）(nature person)

无论是GDPR还是中国的个保法规范的都是自然人相关的数据。

GDPR进一步指出自然人在纯粹的个人或家庭活动不被规范，但是，如果数据处理者和数据控制者是为以上活动提供分析的方法和方式的，那本来不被管辖的也纳入管辖范围了。

简单的例子就是个人在家利用网上公开的工具组建了数据模型来查看家庭年度电费的峰值和峰谷从而分析电费和家庭支出比例的行为模式，这个活动是纯粹的个人行为。但是使用的工具或者模型利用个人的结论或者数据，并且工具和数据模型是收费，那就属于个人数据了。

2.对数据处理的行为上看

GDPR规范的行为是指通过部分或者全部自动方式处理构成或不涉及自动处理旨在构成系统数据一部分的个人数据，或者想建立一个档案系统。无论看起来都是读起来都很拗口并且晦涩。抓住2个要点就能明白这个法条：1）无论是否自动化处理，都被规范；2）无论是否旨在建立一个档案系统（广义）都被规范。无论是否是系统化数据，还是零散的数据都属于系统定义。

中国的个保法显然偏重从数据的处理方法上来细化规定，列举个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

3.从物理地址上来看

GDPR规定控制者(controller)或者处理者(processor)只要建立在欧盟，不管处理行为在哪里发生都归欧盟管。对数据处理主体所处的地理位置来看，如果数据处理主体不在欧盟内：1）向欧盟境内的此类数据主体提供商品或服务，无论是否需要向数据主体付款；或者2）监控欧盟数据主体的行为模式并且只要该行为发生在欧盟都会导致GDPR可以管辖。

欧盟进一步要求如果数据处理主体没有在欧盟设立，但是符合以上条件的，欧盟强制性要求主体在欧盟内设立一个代表处，言下之意就是你不在欧盟建立机构，我就要求你必须建立一个，从而达到了管辖的目的。

欧盟GDPR还有一条扩大性规定即国际法对领土的认可。典型的例子是领事馆虽然物理地址不在欧盟，其从国际法法律的角度视为欧盟领土。

反观中国的个保法在管辖上二者基本没有差异，除了关于国际法领土的规定之外。当然中国的个保法也有保护性的规定要求在1）基础信息运营；或者2）个人信息达到一定数量级的应当存储在中国国内。

第二、数据处理主体

（在个人数据具体处理领域内会涉及的几方主体的分析）

1.Processor 和Controller,Joint Controller

欧盟GDPR提出了处理者Processor和控制者Controller还有联合控制者Joint Controller的概念，把责任落实到具体的各方，并且在法规里面详细规定了什么情况下Controller负责，什么情况下Processor负责。

简言之，Processor主要负责具体的流程控制、情况汇报和总结。Controller是方向和原则的把握，首要责任承担人。责任的承担体现在罚款上，违法行为面临最大到20000000 EUR的罚款，最厉害的是罚款可以不超过上一财政年度全球年营业额的 4%。从2021年1月28日以来，欧盟已经开出了总共12亿美元的罚单。

在欧盟成员国中，丹麦和爱沙尼亚的法制体系中不允许行政罚款，丹麦从而把其设为刑事处罚的一种，爱沙尼亚将其融入到处理轻罪和小罪的程序中。体现了成员国将欧盟GDPR和国内的法律法规结合的适用情况。

中国的个保法：苛责的是直接负责的主管人员和其他直接负责人员。这个范围显然比GDPR要宽泛的多。但是在实际中没有区别Joint Controller和processor的情况。

个保法第二十一条：个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。其实是Joint Controller的体现。

中国的处罚具体为并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的，并处五千万元以下或者上一年度营业额百分之五以下罚款。

第三、主体

（什么是个人数据）

GDPR对于主体规定核心是：可以追溯到具体某个人的信息，或者要借助另外的信息可以追溯到具体某个人的信息就属于个人数据。

GDPR通过举例：姓名、地址、电话都是个人数据。扩展来看比如 IP、 cookie、无线电的频率其实都可以追溯到具体某个人，所以也是个人信息。在访问国外的网站时，会看到关于cookie的隐私说明就是对此点的反映。如果不正确或者准确的信息追溯到一个错误的自然人算不算？GDPR肯定了此情况也是属于个人数据。

个保法第4条第1款：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。采取的是关联说。根据《GB/T 35273-2020-信息安全技术个人信息安全规范》举例：

表一：个人敏感信息示范

GDPR指明逝去的人的信息不在规范范围内，但是逝去的人对自己的信息不是没有权利，可从知识产权和人格权方面去保护。中国的个保法对个人信息的定义和GDPR是一致的，也扩张为逝去的自然人权利可以延伸到其近亲属，通过近亲属来主张逝去的自然人的个人数据权利。

第四、个人数据中的特别类型（敏感数据）

GDPR规定个人数据中的特别类型（中国称之为敏感数据）包括：人种、种族、政治观点、地区、哲学信仰、贸易区域成员信息、基因信息、生物信息、健康、性生活的信息、性取向等，敏感信息只有在特定的条件下才可以处理，即满足一般原则要求之外还要满足特别原则要求。特别指出，在处理下列信息的时候：生物信息、基因信息、健康数据，成员国可以自己增加额外的限制条件。可见生物信息、基因信息和健康数据是敏感数据中比较重要的数据，在欧盟发布的数据战略备忘录中也提到对于这三个领域需要重点管理和规范。

对于刑事犯罪和犯罪信息的处理严格限制只有在国家法规明确授权下才可以处理。

GDPR对未成年人的定义是16周岁以下，但是允许不同成员国有特别的规定，最低的成年年纪不可以低于13岁。

中国的《个人信息保护法》个保法对未成年的定义是14周岁。

值得一提的是GDPR中对于刑事相关信息，包括刑事指控、诉讼、调查、定罪、不起诉、具体的刑事处罚内容。

中国的个保法也采取了列举的方式来说明敏感数据：生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。关于刑事犯罪数据的规定，《公安机关办理犯罪记录查询工作规定》，明显不同于欧盟GDPR。根据2020年3月6日，中华人民共和国国家市场监督管理总局、中国国家标准化管理委员会发布的《信息安全技术 个人信息安全规范-GB/T 35273-2020》的说明，以下数据为敏感数据。

表二：个人敏感信息示范

第五、对个人数据中包括特殊种类数据（敏感数据）可以处理的条件

（一）基本原则，除此之外还有特殊种类数据的处理原则，可以简单地理解为一般和特殊的关系。

GDPR规定了个人数据处理的三大基本原则：1）合法性，2）公平性，3）透明性。再加上4）目的限制，5）数据最小化，6）准确化，7）存储限制化，8）正直和保密性，9）责任性。以上原则合规性证明责任归属于数据控制者(controller)。

中国个保法第五条：处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息，体现的是合法性。

第七条：处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。对应的是透明性。

（二）GDPR基本原则首要点：合法性。

符合下列列出的条件中的一个即满足合法性的原则要求。

1.数据主体明示的的同意(consent)

2.为订立、履行个人作为一方当事人的合同所必需(contract)

3.法律法规的规定(legal obligation)

4.为了保护他人生命的所必需(vital interests)

5.公共任务(public task)

6.正当利益要求(legitimate interests)

其中的3和6其实回答了国内学术派关于对中国个保护法的第十八条个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知。

和第十七条：个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；的争议。

对于明示同意的学术争论，由于GDPR的合法性原则的3和6要求是放在对于同意的说明之后(GDPR Article 6 1 a)，可以确认在满足2或者4的情况下，数据主体的是否同意已经不需要考虑。

GDPR列举了正当利益适用的场景所包括（但不限于）：使用客户或雇员的数据、营销、防止欺诈、集团内部的转移、IT安全。

（三）特殊原则：处理敏感数据

上面的规则是任何数据处理行为都必须符合，此外如果是处理特殊种类还需要满足以下原则（符合一个即为合法）。

1.数据主体明示的同意

2.出于就业、社会保障目的、基于社会保护法授权 、为了维持重大利益之目的

3.公益组织

4.处理是在其合法活动过程中由具有政治、哲学、宗教或工会目的的基金会、协会或任何其他非营利机构在适当的保障下进行的，并且处理仅与成员有关 或向该机构的前成员或就其目的经常与其联系的人，并且未经数据主体的同意，个人数据不会在该机构之外披露

5.法律或者司法行为

6.重大公共利益

7.健康或者社会保障

8.公共健康

9.归档、科学研究、统计

10.已经公开的个人数据的处理和使用

 第六、数据主体的个人同意

（对第四点和第五点的（一）的详细分析）

从以上原则要求可以看出，除了法定的情况，同意已经成为处理数据的首要合法原则。

（一）一般数据的同意

数据处理首要合法原则就是数据主体的同意。对于同意，GDPR详细的说明了个人的同意应该具备什么形式要件。数据控制者(controller)负有证明“同意的取得”义务。同意需具备以下要件：

1.不可有预先勾好的选项，即不可以有默认选项；

2.明示要清楚明了，明确表示同意；

3.不要和其他条款混在一起；

4.清楚明了并且简单，如果有多个许可分项，每个许可项要单独分开；（同一个数据主体的不同信息用于处理的不同目的）

5.简洁的语言；

6.必须列出会需要这个同意来处理数据的第三方；

7.明示可以撤回并且明示怎么撤回；

8.存储证件能证明数据主体的明示过程，以及处理方是如何处理的；

9.含许可条件的明示不允许：不可以设置为合同的前置条件；

10.如果有需要，许可必须及时更新；

11.同意同时意味着数据控制者必须在采集的同时就告知数据主体：数据处理者的主体信息，数据处理的方式，数据主体可以随时撤回同意；

12.同意可以书面也可以口头；

在实践中，对于明示的表达有很多问题。比如不同意就不给提供服务，同意的条款隐藏在应用或者网站不明显的地方，或者同意的条款陈述的过于晦涩，或者字体比较小，对视力不好的人极端不友好，或者隐藏在三级甚至四级菜单之下。      

中国个保护法对于第十四条基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。重点就是充分知情下的单独同意或者书面同意。再精确点就是“充分知情”、“单独同意”、“书面同意”。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

（二）特殊（敏感数据）的同意

中国个保法第二十九条：处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。第三十条：个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

中国的要求是强调的是个人的单独同意，并且要求书面。同时要告知对个人权益的影响。具体要求可以从《信息安全技术 个人信息安全规范- GB/T 35273-2020》的5.4《收集个人信息时的授权同意》中获得。从欧盟GDPR单纯的条文来看是没有要求书面的。《GDPR Guidelines on consent under Regulation》中建议书面的同意是最有力的同意证明证据。

中国个保法对单独同意的要求罗列在第二十三条（处理者向其他处理者提供个人信息）、第二十五条（处理者公开个人信息）、第二十六条（图像采集）、第二十九条（个人敏感信息）、第三十九条（向境外提供个人信息）。

第七、合法性原则之外的6个原则

除了合法性之外，GDPR还有6个原则要求：（1）目的限制，2）数据最小化，3）准确化，4）存储限制化，5）正直和保密性，6）责任性。如果根据6个原则细化规则，具体的企业数据合规的框架就出来了。从框架上和从流程上双重控制。

表三：网络示意图

1）目的限制：

1）数据处理的开始就要明白阐述收集者的目的

2）记录好数据处理目的并且将其作为对用户数据隐私保护的一部分工作做好流程记录和管理工作

3）如果处理数据目的和最初的不一样，需要重新获得数据主体的同意，或者有法律法规的授权

企业在开始收集数据之前一定要从流程上先把使用数据的目的，数据的字段，类型，可以访问的人群定义好。中国相关之规定可以参照《常见类型移动互联网应用程序必要个人信息范围规定》。

中国个保护体现在第六条：处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

2）数据最小化

1）确保处理的数据已经足够满足处理的目的

2）数据和处理目的有足够合理的需求

3）超过数据处理目的的数据不收集

企业往往会忘记数据的组合后其实也是数据的一种类型，需要对组合后的数据定义和评估对隐私的影响。

中国个保法参见上面一点。

3）准确化

1）采取适当的步骤来确保持有的数据不是错误的并且不会错误的指向任何事实

2）保持个人信息的及时跟新，即使可能会影响使用

3）如果发现个人信息错误，应该尽快及时更正或者去除

4）对于数据准确性的挑战要有合理的估计

中国个保法体现在第八条：处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

4）存储限制化

1）存储的期限不能超过实际需要的期限

2）结合数据处理目的设立目标，建立数据存储时长的合理评估

3）建立数据分类从而决定数据的持有期，同时建立符合的文档机制

4）定期检查数据，当不再需要时去除或者匿名化数据

5）记住数据主体个人有权要求在不在需要的时候，去除数据

5）正直和保密性

1）有合理的安保措施 

这个话题比较复杂，小到用户的密码设置规则，大到VPN的管理。数据的备份也属于此话题。

中国个保法体现在第五条：处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。

6）责任性

1）建立措施和记录来展示合规性

有了原则性的指导，实际实践中也有一些惯例可以遵循。帮助一个公司做到合规规划，需要对公司的IT框架有全面的理解和流程梳理。比如梳理数据输入的业务点：通常会有员工面试填写的信息，无论来源是书面还是电子系统。公司网站的ICP备案信息管理，客户收货信息，客户的支付信息等等。在比较大型的企业，通常是有ERP系统和内部的内部同时进行管理。需要结合业务和公司的管理对数据进行分类，然后制定原则。

中国个保法体现在第九条：个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

 第八、数据主体的权利

（如果说以上的规定是从处理者的角度来说，那么为了详细介绍数据主体的权利，从数据主体的角度说明了其享有的权利）

GDPR规定数据主体有1）获得通知的权利，2）获得数据的权利，3）修正数据的权利，4）移除数据的权利，5）限制处理的权利，6）可移植的权利（数据的可携带性），7）反对的权利，8）针对自动决策和画像的权利。

分析如下：

1.获得通知的权利

1.1采集的时候要提供controller的身份和联系方式，如果可能提供cotroller的代表

1.2如果可能提供数据保护官员的联系方式

1.3数据处理的法律基础和目的

1.4合法性需求(legitimate interests assessment (LIA))

1.5数据的接受者或者接受者的类别

1.6数据传送给第三国下controller和processor提供足够的安全措施、保障权利人的利益，救济的手段；有约束力的公司规则

以上是在还没有获得个人信息的情况下需要尽到的通知义务。此外，除此之谓，还要符合上面提到的目的限制，数据最小化，准确化，存储限制化，正直和保密性，责任性的原则。可见GDPR细化数据处理的过程到了规定在收集数据的时候，在还没能获得数据的时候，在隐私条款里面必须通知到数据主体上述信息。

实践中最佳的实践方式是采集和制定过程的人把自己放在被采集信息的人角度来设计和考虑问题。GDPR同时也规定了例外特殊的情况下，数据主体是不需要被通知到的：个人已经有了信息，没有办法对个人提供以上信息，提供信息会需要不恰当的努力或者合适的努力，被法律授权获得。

2.获得数据的权利

2.1数据主体可以要求能获得自己的数据和自己数据的备份和其他相关的数据

2.2实践中一般简称“SAR”(subject access request)

2.3可以书面或者口头甚至通过社交媒体表达

2.4可以授权代表

2.5一般情况下，对上列情况是不可以收费的

2.6一般情况下要立即回复这样的要求，或者收到请求的一个月内，最长延期不能超过2个月

2.7尽力提供需要的信息

2.8提供的信息需要时简洁和明了易懂的格式

2.9信息的递交应该是保密的

2.10只有在明确是没有根据的或者过度要求的情况下可以拒绝

2.11数据保持期，或者根据数据的类别来决定存储期限

2.12权利的告知：处理的目的，数据的种类，会对谁披露他特别是如果有第三国或者组织，根据数据分类来决定存储的期限，修正或者去掉数据，限制处理数据，反对处理数据，并且要求数据可导出性

2.13对同意的随时撤回权利

2.14 如果不是从自然人处获得数据，关于获得主体的任何信息

2.15有权对管理机构发起投诉

2.16数据提供是不是合同执行的先决条件，数据主体是不是必须提供数据，没有提供数据的结果

2.17如果有画像、自动化决策的存在，其中的逻辑特别是数据处理的后果

2.18 如果有对第三国家或者机构的传送，要特别符合Article 46相关的安全保障法规

实践中此类处理原则分布在《App违法违规收集使用个人信息行为认定方法》、《网络数据安全管理条例》、《信息安全技术 个人信息安全规范》、《移动互联网应用程序(App)收集使用个人信息自评估指南》《未成年人保护法》、《中华人民共和国数据安全法》等。对于数据存储的期限，中国在不同的法条法规中做了规定数据保留期限，分散在《电子商务法》，《网络安全法》《网络交易管理办法》《反洗钱法》《电子签名法》《互联网信息服务管理办法》等。企业需要建立规章和制度记录好自己收到的请求，在收到请求之内有确定的流程可以开展调查、记录和反馈结果。

3.修正的权利 （1个月）

3.1数据主体可以要求不正确的数据修正，不完整的数据完整化的权利

3.2 修正的情形：数据是被不合法的处理，数据不再和处理的目的有关联等

3.3个人主体可以口头也可以书面提出这个要求

3.4 Pprocessor 或者controller必须在一个月内回复这个要求

3.5明确是没有根据的或者过度要求的情况下可以拒绝

3.6 符合GDPR Article (5)(1)(d)的要求

实践中可能的案例：当一个病人患有某种疾病，经过一段时间的治疗之后，病患被治愈。如果出现了关于这个病例介绍引用了病人的话，是需要特别指出这个病患已经被治愈。或者要对这个案例加上时间的限制。

4.移除数据的权利

4.1 通常是叫做“the right to be forgotten”

4.2 适用在特定的情形下：数据不再需要，不再具有合法的基础

4.3可以书面或者口头提出要求

4.4 controller或者processor 有一个月的时间来回复

这里应该包含一个是个人的数据在具体的处理工作已经不需要，个人撤回了他之前的同意，或者当初获得法律法规的授权基础已经不存在。在特定的2种情况下，需要将“数据已经清除“这个事件通知给第三方：1）被披露的一方，2）数据在网络中已经被公开。第三方包括个人和机构。

去除的方式需要比较彻底，包括需要去除备份里面的数据。

5.限制处理的权利

5.1个人可以要求限制或者暂停数据的处理

5.2 适用在特定的情况下

5.3可以书面或者口头提出要求

5.4 Controller或者processor 有一个月的时间来回复

实践中的做法：可以在收到合法的要求之后把数据从一个系统迁移到另外一个系统，或者关闭对用户访问的渠道和途径，或者从公共的网址上移除。

6.数据导出的权利

6.1 目的是为了让个人可以获得自己的数据

6.2可以从一个IT环境用安全，保密的方式移动，复制，传输个人数据同时不影响其的使用，包括获得备份或者从一个服务商传输到另外一个服务商

6.3 只有提供过数据的个人可以使用这个权利

导出的目的是为了消费者更好的理解自己的消费习惯或者其他商业行为的习惯，包括到处到个体自己的媒介和从一个IT环境导出到另外一个环境。要使用大众通用的格式，目前主要CSV， XML和JSON格式。

7.反对的权利

7.1 针对自动决策或者画像，包括画像是自动决策的一部分利用自己的数据来决定营销

7.2 有权反对任何针对自己的销售决策，或者和销售相关可以口头提出也可以书面

以上权利对应在中国的个保法是知情权、决定权、查阅、复制权、可携带权、更正、补充权、删除权、解释说明权。

《个人信息保护法》第十四条、第十七条、第四十五条、第四十七条、第四十九条、第五十七条。同时，《App违法违规收集使用个人信息行为认定方法》、《网络数据安全管理条例》、《信息安全技术个人信息安全规范》也有细化的规定。

8.针对自动决策和画像的权利

8.1 数据主体有权拒绝成为单一的自动决策主体，包括画像，此画像会产生法律效果或者有相似的显著效果

8.2 以上不包括需要自动决策和画像是实施合同的先决条件

8.3有数据主体的明示

8.4有欧盟或者成员国的授权

在实施自动化决策和画像的时候一定要清楚地告诉个人处理的过程并且明示救济的途径：怎么请入人工干预或者质疑决策。处理数据的人要定期检查系统确保自动决策和画像的结果是符合最初设计的目的。

实践经验告诉我们给客户展示公司的道德原则是开展自动化决策和画像的最佳起点。

接下来，GDPR详细规定了几个具体的数据管理员的指责和对应的责任。具体负责数据的处理的就是processor，processor对controller进行侵权事件的汇报给controller。Controller 从原则上，框架上负责个人数据保护。

每个成员国应该成立一个或者多个独立的supervisory authority配合欧盟工作。Controller和supervisory authority紧密工作和合作。

GDPR推荐了使用Data protection impact assessment数据保护影响评估来总体上控制数据保护体系，并且在做评估之前先向supervisory authority做咨询。

在某些情形下，controller 和processor可以指定一个数据保护官data protection officer 1）公共机构开展的数据处理 2）处理数据的事件性质要求日常的监控，处理数据属于超大规模。3）处理大量的特殊类型的数据（犯罪类）。

中国目前是国家网信部门负责个人信息保护工作和相关监督管理工作。并且实际上把欧盟的processor和controller视为一个角色了。涉及数据出境，《中华人民共和国数据安全法》和《数据出境安全评估办法》具体规定为：数据安全法第四条：数据处理者向境外提供数据，符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。数据出境安全评估办法：（三）处理个人信息达到一百万人的个人信息处理者向境外提供个人信息; （四）累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息。

中国个保法第三十八条：个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

在提交国家机构进行评估前，企业最好开展自我数据评估。

目前主要是律师事务所和各种机构开展评估。实践中推荐先开展自我评估再向国家申请评估。

第九、认证机制

GDPR指出一系列的规范可以通过制订行为规则来实现《code of conduct》，包括体现要求的几大原则，侵权事件的和数据主体的沟通，侵权事件的及时上报和汇报，数据对第三国或者第三个组织的传输。数据主体被侵权之后的救济途径。

在欧盟的理事会层面，会建立数据保护证书机制和数据保护认证和标志以上认证有效期为3年，当然也是自愿的。

第十、对第三国或者国际组织的传输

1.委员会可以确认第三国或者国际组织已经有了足够的保护机制

2.欧盟会在其网站上公布其认为不合格的第三国家或者国际组织

中国在《中华人民共和国数据安全法》和个保法里面可以归纳总结为一，在向境外司法与执法机构提供境内存储数据的，均须经过主管机关批准。二，主管机关根据有关法律和国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求。如果境外法律对于中国执法机关、司法机关获取数据存在限制的，我国主管机关将基于平等互惠原则处理。

科技改变了生活，网络扩大了全球化。法律天然的具有滞后性，于是挑战和机遇并存。

参考文献：

1.信息安全技术 个人信息安全规范- GB/T 35273-2020

https://openstd.samr.gov.cn/bzgk/gb/newGbInfo?hcno=4568F276E0F8346EB0FBA097AA0CE05E

2.欧盟《GDPR Guidelines on consent under Regulation》2016/679https://gdpr-text.com/guidelines/consent/

3.《常见类型移动互联网应用程序必要个人信息范围规定》

http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm

4.Guide to the UK General Data Protection Regulation (UK GDPR)

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/

5.何渊《亚太数据合规手》

6.《数据出境安全评估办法》

7.《中华人民共和国数据安全法》

8.《Guide to the General Data Protection Regulation (GDPR)》from ICO