m o h t i g 1 b u c . 5 引 言 2021 年 8 月 20 日， 《个人信息保护法》颁布，并将于 2021 年 11 月 1 日起正式实施。 《个人信息保护法》是我国迈入数字化社会，彰显“以人 m o 为本”的法律制度里程碑，也是我国为全球数字治理贡献的中国方案。 c . 5 近年来，个人信息保护立法在世界范围内如火如荼地展开，目前已经有 128 个国家通过立法保护个人信息和隐私。1其中，结合市场规模，规制 范围等因素，以欧盟《通用数据保护条例》（以下简称 GDPR），美国加利福尼亚州隐私保护法（CCPA&CPRA）2，以及中国刚刚出台的《个人信息 b u 保护法》为最具有影响力的法律文本。以这四部法律文本为基础，开展条款比较工作，能够系统展现当今世界个人信息保护立法在最为主要的区域 及国家的共性与差异，为企业合规工作及学者研究带来积极价值。 h t i g 腾讯研究院依托对个人信息保护领域法律制度的长期积累和专业洞察，完成了《中美欧个人信息保护法比较——以中国<个人信息保护法>、欧 盟 GDPR，美国加州 CCPA&CPRA 为样本》的专题报告，以飨读者。其中有不完善甚至谬误之处，欢迎指出！ See: https://unctad.org/page/data-protection-and-privacy-legislation-worldwide, 最后访问日期：2021 年 8 月 17 日。 2018 年 6 月 28 日签署的 CCPA 是一项旨在增强美国加利福尼亚州居民隐私权和消费者保护的州法规。在其基础上，2020 年 11 月 3 日加州选民投票通过了 CPRA，对 CCPA 的 一些重要条款进行了修正，扩展了 CCPA 的范围并制定了新的执行机制。CCPA 和 CPRA 共同构建了加州隐私保护法的主要制度框架，两者均是对《加利福尼亚民法典》 （California Civil Code）第三章第四部分进行的修改，因此下文加州隐私法（CCPA&CRPA）引用条文的均是《加利福尼亚民法典》 （以下简称《加州民法典》 ）的相关条款。 1 2 2 报告目录 图标说明 .............................................. 1 一、立法模式与适用范围 ................................................................. 2 适用的地域范围.......................................................................... 5 受规制的对象类型...................................................................... 7 规制的数据活动.......................................................................... 9 排除适用的范围........................................................................ 10 二、个人信息的定义与分类 ........................................................... 12 个人信息的定义........................................................................ 12 敏感个人信息............................................................................ 14 未成年人个人信息.................................................................... 18 死者个人信息............................................................................ 20 匿名化、去标识化信息............................................................ 22 三、合法性基础 ............................................................................... 25 合法性基础的范围.................................................................... 26 同意规则.................................................................................... 27 四、个人信息的跨境提供 ............................................................... 29 数据本地化和出境安全评估.................................................... 31 跨境证据调取............................................................................ 32 五、信息主体的权利 ....................................................................... 33 知情权........................................................................................ 33 访问权........................................................................................ 35 反对权/撤回权........................................................................... 37 删除权 ........................................................................................ 38 复制权/可携权........................................................................... 40 六、信息处理者的义务.................................................................... 43 采取安全保障措施的义务 ........................................................ 43 保存（储存期限） .................................................................... 45 发生数据安全事件时的通知义务 ............................................ 47 个人信息保护影响评估 ............................................................ 51 DPO/个人信息保护责任人制度............................................... 52 守门人条款 ................................................................................ 54 七、其他特别条款............................................................................ 57 自动化决策条款（算法规制） ................................................ 58 采集图像信息和身份识别信息 ................................................ 60 八、法律责任.................................................................................... 62 民事诉讼 .................................................................................... 63 行政监管 .................................................................................... 65 刑事责任 .................................................................................... 68 比较概览............................................................................................ 69 结语 .................................................................................................... 71 m o h t i g 3 b u c . 5 图标说明 每个二级标题均有一个矢量图说明比较结论。指针代表中国《个人信 息保护法》 ，左侧（即橙红色区域）代表 GDPR 模式，右侧（即绿色区域） 代表加州隐私法（CCPA&CPRA）模式。  指针方向：指针指向左侧说明就此部分规则而言《个人信息保护法》 更接近 GDPR 模式，指向右侧则说明《个人信息保护法》更接近加州 m o 隐私法（CCPA&CPRA）模式。  图一 图二 c . 5 指针指向的颜色： ⚫ 橙