一、地域管辖方面
GDPR:无论数据控制者或处理者在欧盟境内有没有设立实体,只要其进行的个人数据处理活动涉及欧盟境内的数据主体,就应当受到GDPR规制。
CCPA:当且仅当在个人信息被收集、利用或出售等与数据主体重大利益相关的活动是在加州进行的,CCPA方可管辖。
总的来说,GDPR管辖范围更广,CCPA仅聚焦重点领域和重点人群。GDPR第三条规定了其管辖范围,采属地+属人+保护性主义的管辖原则。从图片中我们可以看到,GDPR的管辖采层层递进模式。首先判断数据处理行为是否涉及欧盟境内主体的个人数据,若不是,则当然不落入GDPR的管辖,若是,则进一步判断数据控制者和数据处理者在欧盟境内是否有营业活动,若有且该营业活动与数据处理行为具有不可分关系,则落入GDPR管辖,若没有,并不当然排除管辖,而是看所实施的数据处理活动是否针对欧盟境内主体,若是,再看该活动是否与提供商品服务或监控有关,只有处理活动带有营利目的或为了更好的保护个人信息安全,此时GDPR才对其进行管辖。若数据处理活动并不针对欧盟境内主体,但是基于国际公法而适用欧盟成员国法律的,则也要遵守GDPR规定。
“营业活动”:指通过稳定的安排而实施地有效实际活动,判断是否有营业活动时无需考虑数据控制者和数据处理者是否在欧盟境内设有法人实体或代表处。
“不可分关系”:需要结合个案具体判断:例如:欧盟境内的营业活动会给数据控制者带来营利,欧盟境内的营业活动是否与数据处理行为有关联等。
“针对”:必须是数据处理者和控制者出于明确意图向欧盟境内主体提供商品和服务,若只是偶然的,则不应认定为满足“针对欧盟境内主体”标准。
“欧盟境内主体”:是指提供商品或服务或实施监控行为时位于欧盟境内的数据主体,无需关注数据主体的国籍或常住地。
二、跨境传输活动的管控
在跨境传输管控方面,GDPR环环相扣,严格限制,而CCPA无明确规定。
GDPR:
数据输入者所在国是否被列为“充分性认定白名单”;
若未进入上述“充分性认定白名单”则判断是否提供适当协议、行为准则为跨境传输提供保障;
若不满足上述两项,则判断企业集团内部是否建立起有约束力的公司规则(BCRs)并被监管机构批准;
若上述三项不满足,那么向第三国或国际组织传输个人数据仅能在满足如下条件下时才能发生:(1)数据主体明知缺少上述保障却仍然同意跨境传输;(2)为履行数据主体和控制者之间的合同的目的而传输;(3)跨境传输对于履行其他人之间的合同是必要的;(4)当数据主体客观上或法律上不能做出同意时,该传输对于保护数据主体或他人的重要利益是必要的;(5)或者向第三国或国际组织的传输不是重复的、仅与少数的数据主体相关、且为了实现控制者追求的令人信服的合法利益、且该利益不与数据主体的权利和自由相互冲突、目的是必要的,等等;
上述第4条判断标准的前提是,必须要通过“必要性测试”和“偶然性判定”
三、针对儿童个人信息处理活动的规制
GDPR采取严格保护,其第8条规定:“直接向儿童提供信息社会服务的,只有对16周岁以上儿童的个人数据处理合法。儿童未满16周岁时,处理在征得监护人同意或授权的范围内合法。成员国可通过法律对上述年龄进行调整,但不得低于13岁。考虑现有技术,控制者应当做出合理努力证明此情况下已取得监护人同意或授权。
CCPA与GDPR不同,并不是一概否定儿童的授权。CCPA认为,若儿童未满13周岁,则只有在其父母或者监护人授权的情况下,企业才能向第三方出售该儿童的个人信息;若儿童满13周岁但未满16周岁,则只要儿童自己明确授权,企业就可向第三方出售该儿童的个人信息。
四、数据主体反对数据处理的权利
GDPR的数据处理以数据主体“同意”为原则,数据主体有权“撤回同意权”,并且对敏感数据的处理及直接营销、用户画像的行为拥有反对权,偏重于保护用户数据。
CCPA的数据处理以“通知数据主体”为原则,数据主体的主动授权和同意时常并非必须,数据主体仅有“选择退出权”,偏重于促进数据的流动和经济价值。
