康谋分享 | 数据隐私和匿名化：PIPL与GDPR下，如何确保数据合规？（二）

在上期数据隐私和匿名化系列文章中，我们主要分享了《中国个人信息保护法》（PIPL）和《欧盟通用数据保护条例》（GDPR）在涵盖范围、定义、敏感信息等方面的异同点，今天，我们将重点分析PIPL与GDPR在数据处理行为及其基础合法性方面的异同，旨在帮助车企更准确地把握数据隐私保护法规的要求，有效应对相关挑战，推动自动驾驶行业健康发展。

一、PIPL和GDPR的异同点

1、数据处理行为定义

两部法规（PIPL和GDPR）均明确界定了不同的数据处理行为，这些行为将触发各自法规的管理范畴。此处所提及的信息，已不再局限于敏感信息，而是涵盖了两部法规所规定的所有相关信息。

在英文版的PIPL中，数据处理行为被表述为“Handling”，而GDPR则使用“Processing”一词，两者在本质上并无区别。然而，在数据处理行为的定义上，两部法规却存在些许差异。

PIPL中的“Handling”涵盖了收集、存储、使用、加工、传输、披露以及删除个人信息等一系列行为。相较于PIPL，GDPR关于数据处理行为的定义则更为详尽，除了包含上述相同的行为外，还涉及到了个人数据的检索、咨询等多个方面。

但实际上，当我们深入探讨PIPL中定义的数据处理行为时，相关法律专家指出：“在中国境内处理个人信息时，GDPR所涵盖的任何数据行为都需要被纳入考虑范围，即使PIPL并未完全列举出所有要点。”

由此可见，在各自司法管辖区域内处理相关数据时，任何数据处理行为都将受到该区域法律条例的约束。

2、数据处理基础合法性

为了进一步对比数据处理行为的异同，我们在此列举了中国的《个人信息保护法》（PIPL）与欧盟的《通用数据保护条例》（GDPR）在数据处理基础合法性方面的相关规定。

“同意”（Consent）是指数据主体明确授权或表示同意其个人数据被处理的行为。这种同意必须是建立在充分知情的基础上，且必须是明确且自愿给出的。除了“同意”这一点外，我们重点关注两部法律在合法利益（Legitimate Interest）和公共利益（政府任务）（Public Interest/Government Task）方面的差异。实际上，PIPL在这两点上并未作出明确规定，这主要归因于中国和欧洲在法律及监管环境上的差异。

首先在合法利益这一点上，GDPR作为欧洲地区的人权保护框架，旨在平衡企业与个人之间的权益，为企业提供一定的灵活性，允许其在没有明确同意的情况下处理个人数据，从而在一定程度上增强了企业的自主权。相比之下，PIPL更加强调对个人信息的严格控制。在处理个人数据时，PIPL要求必须获得明确的授权或依据法律规定进行，更倾向于通过明确同意或法律规定来实施严格监管。

其次在公共利益方面，两部法律对公共事务和政府职责的界定存在差异。GDPR在确保公共机构履行任务时赋予了更大的灵活性，而PIPL则通过其他法律条款来规范政府的处理权限，更加侧重于信息透明性和数据主体的保护。

二、信息跨境处理注意事项

在跨境处理信息的过程中，除了需遵循《个人信息保护法》（PIPL）和《通用数据保护条例》（GDPR）这两部基础法律的规定外，还需执行一系列严格的安全评估措施。

以中国车企为例，若需将欧盟境内的数据传输回中国进行处理，必须确保该跨境数据传输完全符合GDPR的严格要求。

GDPR对向欧盟外传输数据有着明确的规范，要求必须依赖标准合同条款（SCCs）或充分性决定（Adequacy Decision）来确保数据的合法传输。特别是当涉及敏感个人信息处理时，如位置数据、行为数据以及测绘数据等，企业可能还需进行数据保护影响评估（DPIA），以全面评估数据处理的合法性、必要性和风险性。

值得注意的是，由于欧盟目前尚未对中国作出充分性决定，因此中国企业在向欧盟外传输数据时，可能需要与相关方签订标准合同条款（SCCs）来确保数据传输的合法性。

总之，在跨境传输过程中，为降低数据泄露或不当使用的风险，企业需对敏感数据进行加密或匿名化处理。