数据隐私和匿名化:PIPL与GDPR下,如何确保数据合规?(一)
时间:2024-09-29 阅读:345
自动驾驶技术的快速发展伴随着数据隐私保护的严峻挑战。中国《个人信息保护法》(PIPL)与欧盟《通用数据保护条例》(GDPR)为自动驾驶数据合规设立了高标准。本篇文章将带大家深入探讨PIPL与GDPR的异同点,期望能够帮助车企更好地理解并应对数据隐私保护法规的挑战,推动自动驾驶行业健康发展。
一、自动驾驶数据合规挑战
2021年8月20日,中国发布了一项重要的数据保护法,即《个人信息保护法》(Personal Information Protection Law, PIPL)。围绕数据隐私,将零碎的立法统一并加强为一套完整的规范,包含数据的收集、处理和保护等规则。
与欧盟的通用数据保护条例(General Data Protection Regulation,GDPR)类似,PIPL在众多方面对于数据隐私做出了相应的限制。
图1 部分国家和地区的数据隐私法规
数据隐私保护法规的相关限制对自动驾驶行业无疑是一项重大挑战。这是因为近年来在自动驾驶行业,众多新能源车企已经将眼光从逐渐饱和的中国市场转向欧洲市场,而数据采集作为自动驾驶数据闭环的开始,在中国地区和欧洲地区之间的数据转移必须要符合相应地区的隐私保护法规,否则可能会和Google一样,因侵犯用户的隐私而面临巨额罚款。
目前GDPR相关的罚款总额现已达到近50亿欧元。
图2 累计罚款总额(来源:GDPR Enforcement Tracker )
在中欧地区之间进行自动驾驶行业的数据转移时,为帮助车企避免违规受罚,本文接下来将从多个方面讨论中国和欧盟隐私保护法规的异同之处。
二、PIPL和GDPR的异同点
1、覆盖范围
PIPL的范围:(1)中国境内的个人信息的处理;(2)在海外处理中国境内个人信息:a.必须为中国提供产品或相关服务;b.中国公民的行为或是活动的数据分析处理必须在中国境内进行。
在覆盖范围这一层面上,GDPR(欧盟通用数据保护条例)与PIPL(中国个人信息保护法)呈现出相似性。就PIPL而言,它明确保障了在中国境内居住公民的个人信息安全。而对于在境外处理涉及中国公民个人信息的数据活动,PIPL同样设定了条件,即这种处理必须旨在向中国境内的消费者提供商品或服务,简而言之,其服务对象必须限定为中国公民。
一个可能的差异点在于,PIPL在执行过程中明确指出了可能会援引其他法律或行政法规的情况,这一特点使得PIPL的适用范围相较于GDPR更为广泛。但在处理数据的过程中,企业也需要更加全面地考虑各种可能的法律限制和约束。
2、个人信息定义
PIPL规定了个人信息是指由电子类设备或是其他方式记录,与已识别或可识别的自然人相关的信息,并指出不包括匿名化处理后的数据。
GDPR则在这一基础上进一步细化了可识别自然人的定义,明确了无论是直接还是间接方式能够识别出的个体均属于此范畴,并列举了诸如姓名、居住地址,以及自然人的物理、生理等特征作为具体示例,以更直观地说明其定义。
图3模糊匿名化后的数据
3、敏感数据
在敏感数据处理方面,PIPL与GDPR也存在异同之处。比如,PIPL与CCPA类似,直接使用了“敏感数据”(Sensitive Data)这一术语,而GDPR则称之为“特殊类别信息”(Special Category Information)。这一称呼上的差异也反映了两者在敏感数据定义上的不同。
GDPR通过明确列出一种具体的信息清单,将符合该清单的数据归类为“特殊类别信息”,并为其提供专门的保护。这种方式使得GDPR在敏感数据的识别上更加直接和具体。
相比之下,PIPL在敏感数据的定义上采取了更为宽泛的视角。它不仅包括了生物计量学特征、低于14岁公民个人信息等明确列出的内容,还支持对清单外数据内容提出争议的权利。这意味着,在PIPL的框架下,敏感数据的范围可能更加广泛。
未完待续,我们将分享更多数据隐私和匿名化的相关内容。