企业出海数据合规:GDPR和CCPA差异知多少

简介: GDPR和CCPA在地域管辖、跨境传输活动的管控、针对儿童个人信息处理活动的规制以及数据主体反对数据处理的权利等方面存在差异。GDPR管辖范围更广,更注重保护用户数据,而CCPA更侧重于促进数据的流动和经济价值。在跨境传输方面,GDPR有严格的限制,而CCPA没有明确规定。

一、地域管辖方面

GDPR:无论数据控制者或处理者在欧盟境内有没有设立实体,只要其进行的个人数据处理活动涉及欧盟境内的数据主体,就应当受到GDPR规制。

CCPA:当且仅当在个人信息被收集、利用或出售等与数据主体重大利益相关的活动是在加州进行的,CCPA方可管辖。
截屏2023-11-30 15.50.20.png

总的来说,GDPR管辖范围更广,CCPA仅聚焦重点领域和重点人群。GDPR第三条规定了其管辖范围,采属地+属人+保护性主义的管辖原则。从图片中我们可以看到,GDPR的管辖采层层递进模式。首先判断数据处理行为是否涉及欧盟境内主体的个人数据,若不是,则当然不落入GDPR的管辖,若是,则进一步判断数据控制者和数据处理者在欧盟境内是否有营业活动,若有且该营业活动与数据处理行为具有不可分关系,则落入GDPR管辖,若没有,并不当然排除管辖,而是看所实施的数据处理活动是否针对欧盟境内主体,若是,再看该活动是否与提供商品服务或监控有关,只有处理活动带有营利目的或为了更好的保护个人信息安全,此时GDPR才对其进行管辖。若数据处理活动并不针对欧盟境内主体,但是基于国际公法而适用欧盟成员国法律的,则也要遵守GDPR规定。

“营业活动”:指通过稳定的安排而实施地有效实际活动,判断是否有营业活动时无需考虑数据控制者和数据处理者是否在欧盟境内设有法人实体或代表处。

“不可分关系”:需要结合个案具体判断:例如:欧盟境内的营业活动会给数据控制者带来营利,欧盟境内的营业活动是否与数据处理行为有关联等。

“针对”:必须是数据处理者和控制者出于明确意图向欧盟境内主体提供商品和服务,若只是偶然的,则不应认定为满足“针对欧盟境内主体”标准。

“欧盟境内主体”:是指提供商品或服务或实施监控行为时位于欧盟境内的数据主体,无需关注数据主体的国籍或常住地。

二、跨境传输活动的管控

在跨境传输管控方面,GDPR环环相扣,严格限制,而CCPA无明确规定。

GDPR:

数据输入者所在国是否被列为“充分性认定白名单”;
若未进入上述“充分性认定白名单”则判断是否提供适当协议、行为准则为跨境传输提供保障;
若不满足上述两项,则判断企业集团内部是否建立起有约束力的公司规则(BCRs)并被监管机构批准;
若上述三项不满足,那么向第三国或国际组织传输个人数据仅能在满足如下条件下时才能发生:(1)数据主体明知缺少上述保障却仍然同意跨境传输;(2)为履行数据主体和控制者之间的合同的目的而传输;(3)跨境传输对于履行其他人之间的合同是必要的;(4)当数据主体客观上或法律上不能做出同意时,该传输对于保护数据主体或他人的重要利益是必要的;(5)或者向第三国或国际组织的传输不是重复的、仅与少数的数据主体相关、且为了实现控制者追求的令人信服的合法利益、且该利益不与数据主体的权利和自由相互冲突、目的是必要的,等等;
上述第4条判断标准的前提是,必须要通过“必要性测试”和“偶然性判定”
三、针对儿童个人信息处理活动的规制

GDPR采取严格保护,其第8条规定:“直接向儿童提供信息社会服务的,只有对16周岁以上儿童的个人数据处理合法。儿童未满16周岁时,处理在征得监护人同意或授权的范围内合法。成员国可通过法律对上述年龄进行调整,但不得低于13岁。考虑现有技术,控制者应当做出合理努力证明此情况下已取得监护人同意或授权。

CCPA与GDPR不同,并不是一概否定儿童的授权。CCPA认为,若儿童未满13周岁,则只有在其父母或者监护人授权的情况下,企业才能向第三方出售该儿童的个人信息;若儿童满13周岁但未满16周岁,则只要儿童自己明确授权,企业就可向第三方出售该儿童的个人信息。

四、数据主体反对数据处理的权利

GDPR的数据处理以数据主体“同意”为原则,数据主体有权“撤回同意权”,并且对敏感数据的处理及直接营销、用户画像的行为拥有反对权,偏重于保护用户数据。

CCPA的数据处理以“通知数据主体”为原则,数据主体的主动授权和同意时常并非必须,数据主体仅有“选择退出权”,偏重于促进数据的流动和经济价值。

相关文章
|
2月前
|
云安全 监控 安全
出海合规云安全,AWS Landing Zone解决方案建立安全着陆区
出海合规云安全,AWS Landing Zone解决方案建立安全着陆区
|
26天前
|
人工智能 搜索推荐
阿里云亮相白鲸出海全球流量大会,为出海企业提供一站式通信解决方案
阿里云亮相白鲸出海全球流量大会,为出海企业提供一站式通信解决方案
|
1月前
|
编解码 人工智能 自然语言处理
|
2月前
|
人工智能 数据安全/隐私保护
|
2月前
|
数据采集 SQL 运维
企业出海WAS安全自动化解决方案
企业出海WAS安全自动化解决方案
|
2月前
|
弹性计算 安全 测试技术
阿里云国际服务器与游戏出海业务结合,九河云助推企业快速运营
阿里云国际服务器与游戏出海业务结合,九河云助推企业快速运营
|
2月前
|
存储 安全 数据安全/隐私保护
简化企业出海跨境支付,提升业务安全性
简化企业出海跨境支付,提升业务安全性
|
2月前
|
人工智能 自然语言处理 搜索推荐
AWS的云端电话呼叫中心服务对企业出海有用吗?
AWS的云端电话呼叫中心服务对企业出海有用吗?
|
7月前
|
安全 数据处理 数据安全/隐私保护
企业出海数据合规:何为数据脱敏
数据脱敏并非简单技术手段,其涵盖法律与技术双重维度。法律上,脱敏是保护个人隐私的一种效果,技术上则是采用不可逆或难以还原的方法,降低数据泄露风险。GDPR下,个人身份、账户和健康信息等应脱敏处理,程度可根据数据敏感性确定。脱敏常见方法包括随机化、掩码、加密等,旨在保护数据安全与隐私。
204 0
|
7月前
|
存储 搜索推荐 安全
企业出海如何做好网站Cookie合规
确保企业出海网站合规,理解Cookie在用户登录和个性化体验中的关键作用。通过Cookie携带用户信息,实现免登录和个性化服务。GDPR对Cookie使用提出限制,要求用户同意原则。第三方Cookie用于广告追踪,涉及用户画像。GDPR规定了同意条件和操作方法,企业需采用合规的交互设计。九智汇提供的Cookie自动化同意管理系统帮助企业统一管理多地网站Cookie,满足监管合规。
164 0
下一篇
DataWorks