1、1 2 引引 言言 2021 年 8 月 20 日， 个人信息保护法颁布，并将于 2021 年 11 月 1 日起正式实施。 个人信息保护法是我国迈入数字化社会，彰显“以人为本”的法律制度里程碑，也是我国为全球数字治理贡献的中国方案。 近年来，个人信息保护立法在世界范围内如火如荼地展开，目前已经有 128 个国家通过立法保护个人信息和隐私。1其中，结合市场规模，规制范围等因素，以欧盟通用数据保护条例 （以下简称 GDPR） ，美国加利福尼亚州隐私保护法（CCPA&CPRA）2，以及中国刚刚出台的个人信息保护法为最具有影响力的法律文本。以这四部法律文本为基础，开展条款比较工作，能够系统展现当今世

2、界个人信息保护立法在最为主要的区域及国家的共性与差异，为企业合规工作及学者研究带来积极价值。 腾讯研究院依托对个人信息保护领域法律制度的长期积累和专业洞察，完成了中美欧个人信息保护法比较以中国、欧盟 GDPR，美国加州 CCPA&CPRA 为样本的专题报告，以飨读者。其中有不完善甚至谬误之处，欢迎指出！ 1 See: https:/unctad.org/page/data-protection-and-privacy-legislation-worldwide, 最后访问日期：2021 年 8 月 17 日。 2 2018 年 6 月 28 日签署的 CCPA 是一项旨在增强美国加利福尼亚州居

3、民隐私权和消费者保护的州法规。在其基础上，2020 年 11 月 3 日加州选民投票通过了 CPRA，对 CCPA 的一些重要条款进行了修正， 扩展了 CCPA 的范围并制定了新的执行机制。 CCPA 和 CPRA 共同构建了加州隐私保护法的主要制度框架， 两者均是对 加利福尼亚民法典 （California Civil Code）第三章第四部分进行的修改，因此下文加州隐私法（CCPA&CRPA）引用条文的均是加利福尼亚民法典 （以下简称加州民法典 ）的相关条款。 3 报告报告目录目录 图标图标说明说明 . 1 1 一、立法模式与适用范围一、立法模式与适用范围 . 2 适用的地域范围. 5 受

4、规制的对象类型. 7 规制的数据活动. 9 排除适用的范围. 10 二、个人信息的定义与分类二、个人信息的定义与分类 . 12 个人信息的定义. 12 敏感个人信息. 14 未成年人个人信息. 18 死者个人信息. 20 匿名化、去标识化信息. 22 三、合法性基础三、合法性基础 . 25 合法性基础的范围. 26 同意规则. 27 四、个人信息的跨境提供四、个人信息的跨境提供 . 29 数据本地化和出境安全评估. 31 跨境证据调取. 32 五、信息主体的权利五、信息主体的权利 . 33 知情权. 33 访问权. 35 反对权/撤回权 . 37 删除权 . 38 复制权/可携权 . 40 六

5、、信息处理者的义务六、信息处理者的义务. 43 采取安全保障措施的义务 . 43 保存（储存期限） . 45 发生数据安全事件时的通知义务 . 47 个人信息保护影响评估 . 51 DPO/个人信息保护责任人制度 . 52 守门人条款 . 54 七、其他特别条款七、其他特别条款 . 57 自动化决策条款（算法规制） . 58 采集图像信息和身份识别信息 . 60 八、法律责任八、法律责任 . 62 民事诉讼 . 63 行政监管 . 65 刑事责任 . 68 比较概览比较概览 . 69 结语结语 . 71 1 图标说明图标说明 图一 图二 图三 图四 图五 每个二级标题均有一个矢量图说明比较结论

6、。指针代表中国个人信息保护法 ，左侧（即橙红色区域）代表 GDPR 模式，右侧（即绿色区域）代表加州隐私法（CCPA&CPRA）模式。 ? 指针方向指针方向：指针指向左侧说明就此部分规则而言个人信息保护法更接近 GDPR 模式，指向右侧则说明个人信息保护法更接近加州隐私法（CCPA&CPRA）模式。 ? 指针指向的指针指向的颜色颜色： 橙色向红色渐变说明法律的严厉程度递增，白色虚线内的红色区域表示严厉程度超过 GDPR； 深绿向浅绿渐变说明法律的宽松程度递增，白色虚线内的深绿色部分表示严厉程度超过 CCPA&CPRA。 ? 五种矢量图具体说明如下 图一： 个人信息保护法模式和 GDPR 相似，