申军：《个人信息保护法》与GDPR专门用语的对照解读

作者简介:

申军，法国执业律师。主要业务领域为金融、公司、并购、跨境投资和国际商事合同; 熟稔数据保护、数字货币、区块链与数字资产、人工智能与算法、数字市场竞争、数字领域知识产权、碳交易与碳金融、数字劳动平台等新兴法律领域。工作语言为中文、法文和英文。里昂第三大学商事法博士、商事法硕士，墨尔本大学银行与金融法硕士。

2021年8月20 日，《中华人民共和国个人信息保护法》(以下称为“个保法”) 经全国人大常委会通过，并将于同年11月1日起施行。该法与欧盟《通用数据保护规章》(以下称为“GDPR”) 相比，所使用的专门用语有何异同及特色呢？笔者试就此加以对照分析。

鉴于其自2018年5月25日在欧盟全境适用后，GDPR对美国加州、巴西、日本、印度等地的数据立法均提供了灵感，本文也将参照印度《个人数据保护法案》2019年版 (The Personal Data Protection Bill，2019，以下称为“PDPB” ) 的相关内容。需要特别声明的是，本文仅代表笔者的个人看法，不构成法律意见。

众所周知，个保法共计8章74条，GDPR则有11章99条，并包括了长达173项的立法动机阐述(considérant 或recital)。相较于GDPR第4条包含了26个用语的定义，个保法第73条单列了4个用语的含义。以下对此一一对比析明。 

个人信息处理者

依照个保法的规定，此类处理者能够自主决定个人信息处理的目的及方式，可以是组织或个人。该定义对“组织”一词的含义未作阐明，应是包括但不限于法人机构等，可谓言简意赅。

就GDPR而言，与个人信息处理者相对应的用语分别是英文版的controller (控制人)和法文版的responsable du traitement (处理负责人)。前述用语的定义见诸GDPR第4条第7款，同样强调了相关行为人能对个人数据处理的目的与手段加以控制。与个保法的相关定义不同的是，GDPR阐明了控制人或处理负责人包括自然人或法人、公共当局、服务及其它机构等，其可以单独或与他人一起做出相关决定。而个保法的相关定义虽未提及单独或共同行使处理决定，但该法第20条规定了两个以上个人信息处理者做出相关共同决定时应该约定各自的权利义务、以及共同处理个人信息时应该承担的连带责任; 这可被视为是对个人信息处理者含义的实质补充。

值得留意的是，GDPR中与controller或responsable du traitement有关联的用语分别是processor (处理人)或sous-traitant (分包人)，即代表前者进行数据处理活动的人。Processor和sous-traitant在GDPR第4条第8款中被专门定义。不难看出，英文说法的数据“控制人”和“处理人”所表达的字面意思难以让人一目了然，而法文表述的数据“处理负责人”和“分包人”则要清晰很多。基于此，以下笔者将使用数据“处理负责人”和“处理分包人”的说法。

相较而言，个保法中仅赋予了个人信息处理者的定义，在第21条中数次出现的个人信息处理者的受托人的说法，则对应着GDPR所称的数据“处理分包人”。个保法的此类规定见仁见智。实际上，个保法将绝大部分的合规义务施加给个人信息处理者，对后者的受托人的责任规定则明显偏少。考虑到数字经济背景下数据处理分包的频率不容小觑，处理分包人/受托人的角色实际上不容忽视，因此相关规定的实效性可能需要留待未来的实践检验。反之，“处理分包人”的字眼在GDPR出现的次数高达248次，其体现的重要角色不言而喻:  不仅需要履行诸多法定义务，而且需要因此承担相应的法律责任。

值得一提的是，在印度PDPB(共计14章98条)的规定中，与GDPR中的处理负责人相对应的术语是data fiduciairy，直译就是数据托管人，是指单独或与他人共同决定数据处理的目的与方式的任何人，包括国家、公司、司法实体或任何个人。该法案也同样使用了processor一词，与GDPR的英文说法一致。这些称谓及定义也折射出PDPB与GDPR之间的渊源。

自动化决策

该用语在个保法中是指: 通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。

相较而言，与自动化决策非常接近的GDPR用语是profiling或profilage。其见诸GDPR第4条第4款的定义，意指任何形式的自动化处理，即所谓的“侧写”。此种处理旨在运用个人性质的数据来评估一个自然人的某些个人层面，尤其是为了分析或预测该自然人的劳动收益、经济情势、健康、个人偏好、定位或出行等。

可以看出，个保法的自动化决策和GDPR的“侧写”规定颇多相似，均强调藉由自动化程序处理个人数据的方式，对个人一定方面的行为风貌进行评估或预测。此类活动也均受到个保法与GDPR的约束，包括遵守数据处理的法定基础或是数据保护的原则。

值得补充的是，印度PDPB中列有专门的profiling的定义，其指任何形式的、旨在分析或预测涉及一个数据本体的行为、特性或兴趣方面的个人数据之处理。数据本体(data principal) 的表达对应着GDPR英文版的data subject (数据主体)或法文版的personne concernée (相涉个人)，而个保法则将相关人员称为“个人”。 显而易见的是，PDPB的定义并未强调自动化处理的方式，而是突出“侧写”活动的分析或预测功能。

去标识化

依照个保法的规定，去标识化是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

去标识化所对应的是GDPR第4条第5款中所定义的假名化 (英文和法文均为pseudonymisation)。假名化在GDPR中被视为是适宜的组织性和技术性措施之一，意在施行数据保护的原则，比如数据的最小化原则。受到假名化处理的个人数据，如果诉诸补充性信息，就可被赋予给一个明确的特定个人，应被视为是涉及一个可被辨识的自然人的信息，故而相关数据处理受制于GDPR的规定。

在印度PDPB的条文中，则有de-identification的专门定义，即去辨别化，意味着数据托管人(data fiduciary)或数据处理人(data processor)可以移除或掩盖个人数据的识别符，或是用其它虚构的名字或代码取而代之，但这些对个人而言独一无二的名字或代码本身不能直接辨识出数据本体。

由此可见，个保法、GDPR与PDPB均强调: 经过此类处理后的相关数据/ 信息不足以直接辨识出某个特定的自然人，但相关自然人依然可被识别。因此该类过程依然受到相关法律的制约。

匿名化

个保法中的匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。该法还明确指出，经过匿名化处理后的信息，不被归类为其所定义的个人信息(以下会做阐明)。个保法的立场可被解读为，在目前的技术背景之下，匿名化的信息可令人们无法据此辨识某个自然人，因此不被视为是与个人有关的信息。

匿名化在GDPR中没有对应的专门定义，但GDPR在立法动机阐述第26项中有匿名信息 (anonymous information或informations anonymes) 的说法。该信息可被解释为不涉及一个被辨识或可被辨识的自然人的信息。该条也规定GDPR对经过匿名化的信息不予适用，其也不适用于因被匿名化而使相涉个人不能或不再能被辨识的个人数据。

反之，印度PDPB设定了anonymisation (匿名化)及anonymised data (匿名化数据)的定义。匿名化数据意味着已受匿名化过程的数据。与个人数据相关的匿名化，意味着一种不可逆转的过程，该过程将个人数据转变为一种不能由此辨识一个数据本体的形式。前述法案还特别指出，这种匿名化需要满足印度数据保护当局所特定的不可逆转性的标准。此点PDPB的规定对于个保法的或有启发是，与匿名化相联的“不能复原”的具体涵义或许应被明确，以便未来该种处理过程能被有效认定，从而有效排除不受个保法约束的信息。

在其4个专列含义之外，个保法的法条中出现的用语含义也值得与GDPR的类似用语进行对比。以下撷取2个用语以作释明。

个人信息

依照个保法第4条的规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

而在GDPR中，个人数据是指与一个被辨识或可被辨识的自然人有关的任何信息。需要阐明的是，个人数据的法文表述实为“个人性质的数据”，强调数据与个人有关，而非个人所有。GDPR的个人数据的定义还列明了可资直接或间接辨识自然人的诸多因素。因此，GDPR对于个人数据认定所赋予的中心标准是辨识; 具体来说，该定义强调的不是辨识某人的方式，而是对一个相关个人进行辨识的能力。据此，如果一项数据虽自身不能得以辨识某个自然人，但若其与一项或几项其它数据相结合而可为之，那么它依然能被视为个人数据。这和个保法的相关规定异曲同工，既然后者同样强调的是此类信息涉及到已被识别或可被识别的自然人。

此外，GDPR虽未直接阐明个人数据不包括匿名化处理后的信息，但在其动机描述第26项中点明了其不适用相关匿名信息的处理。可以思考的是，如果依照目前的技术水准，凭借经过匿名化处理的信息不足以辨认出某个特定自然人，那么未来的新技术突破(比如量子技术)或许会使已被匿名处理的信息无所遁形，从而得以辨识具体的个人。倘若如此，这会不会因此会反促个人信息定义的修改呢？此点值得关注。

最后，基于技术中立的原则，GDPR中个人数据的定性与包含数据的载体性质并不相关，因此数据载体是类比(模拟) 形式或是数字形式并不重要。这在个保法对个人信息的定义中也能找到相近的内涵，即信息可由电子或其它方式记录。

需要指出的是，个保法所定义的是个人信息而非个人数据。从广义角度而言，数据的本质就是信息，但数据所代表的信息通常被理解为代码化、凝固化和可传递的信息，因此并非所有的信息都是数字时代背景下的数据。个保法对个人信息的定义，无疑彰显了其独特性。同样可以思考的是，个保法、民法、数据安全法是否对信息或数据做出了相互协调的规定，是否相互补充、相得益彰。

就印度PDPB而言，个人数据被定义为与一个可经直接或间接辨识的自然人有关的数据，考虑到此人的任何特征、属性或任何其它的身份特质等; 此种数据还应包括出于“侧写”目的从这样的数据中得出的任何推论。

不容忽视的是，GDPR在2016年4月27日被颁布之时，与之同时问世的还有欧盟警察司法指令(police - justice directive)，后者关乎警察与刑事司法领域的个人数据之处理。实际上，这两项欧盟法律构成了欧盟自然人数据保护方面的一整套法律。相比来说，个保法并未特别提及有关刑事方面的个人数据，可以合理推断的是，此类信息应该属于敏感个人信息(以下会有说明)。

值得一提的是，数据在《中华人民共和国数据安全法》中被定义为任何以电子或非电子形式对信息的记录，这或可被解读为: 数据并不必然是信息，可以只是对信息的某种形式的记录。而截至目前，虽然在法国法中未被赋予法定定义，但在1981年12月22日发布的有关部令中，数据被定义为以一种旨在便于处理的协定形式进行的信息表达。考虑到此定义的年代局限性，若将之放置在当今的数字经济背景下加以阐释，相关协定形式大抵会指电子化或自动化的方式。

印度PDPB则正式赋予了数据的法定定义: 数据包括了以适于由人类或自动化手段交流、诠释或处理的方式、对信息、事实、概念、观点或指示做出的表达。笔者以为，此定义似乎突破了惯常地将数据与信息叠加表述的窠臼，凸显的是数据在技术上所具备的便于传达及易于处理的特性。这无疑会扩大相对应的个人数据定义的广度和深度，也因此拓展了相应的保护范围，针对数据处理的责任适用也是如此。

敏感个人信息

根据个保法第28条的规定，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

相较而言，GDPR对敏感个人数据并无规定。反之，在其立法动机第10项中提到了“敏感数据”(sensitive data或données sensibles)，该类数据所指的是特殊种类的个人性质数据。前述动机第51项则进一步指出，个人性质数据的敏感性，是从基本权利和自由的角度而言的，因此值得特殊的保护。事实上，GDPR对敏感数据的数个相关术语，比如基因数据、生物识别数据、有关健康的数据均赋予了明确的定义。其第9条第1款更是以列举的形式阐明了所谓的特殊种类的数据，包括但不限于政治观点、宗教或哲学信仰、性取向等方面。

由此可以推断的是，和个保法区分普通个人信息与敏感个人信息的方法一样，GDPR也对数据加以区分，即普通的个人数据及敏感的个人数据。此种区分体现了不同的GDPR合规制度: 如果普通数据的处理只是应该遵守一定的合法条件，那么敏感数据的处理原则上是禁止的，即便存在一些不予适用的情形。而个保法也彰显了类似的思路，即只有符合一定的法定条件，相关敏感个人信息的处理才能得以进行(个保法第28条)。

印度PDPB则列明了何为“敏感个人数据”(sensitive personal data)，后者包括了至少11种可被归类的敏感数据。除了广为论及的健康、生物识别、基因数据、宗教或政治信仰等类型的数据之外，金融数据、种姓或部落、变性人身份、双性人身份等数据在PDPB中亦被列出。个人的官方识别符(official identifier) 也被归为此类，因此国民身份文件的号码也或将会被划为印度法中的敏感个人数据。

显而易见，个保法、GDPR与PDPB对于敏感信息/数据的归类基本上大同小异。而个保法的可圈可点之处在于，不满十四周岁未成年人的个人信息被直接列明为敏感个人信息，这无疑强调了该法对于未成年人在相关领域的保护。

可资参照的是，正如在制定处理敏感数据的规则方面，其赋予各成员国相应的操作空间一样，GDPR对儿童赋予网络同意的相关保护也反映了相同的思路。按照其第8条的表述，GDPR并未直接规定儿童的网络同意年龄，而是设定了一个13-16岁的区间，具体年龄的设置交由各国决定。法国将之设定为不低于15周岁。

印度PDPB则通过第4章“个人数据与儿童的敏感个人数据”来规范儿童相关数据的处理规则。儿童(child)在该法案中被定义为未满18周岁的人。鉴于18周岁是大多数国家所规定的法定成人年龄，PDPB的相关规定无疑是将儿童的网络同意年龄与常规的法定成人年龄统一口径，这可被视为是对有涉儿童的数据保护的另一种加强方式。

综上所述，中国《个人信息保护法》、欧盟《通用数据保护规章》以及印度《个人数据保护法案》在专门用语的使用上各有特色、互有呼应。对这些关键用语的对比了解，将会有助于我们更好地进行国际视角下的个保法解读。

备注: 本文的初稿发布在微信公众号《数字经济与社会》，现稿经作者修改审定。

中国法律评论

我刊由中华人民共和国司法部主管、法律出版社有限公司主办。国家A类学术期刊，中文社科引文索引（CSSCI）来源期刊，人大复印报刊资料重要转载来源期刊。我刊秉持“思想之库府，策略之机枢”之理念，立足于大中华，聚焦中国社会的法治问题，检视法治缺失与冲突，阐释法律思想，弘扬法律精神，凝聚法律智慧，研拟治理策略，为建设法治中国服务，为提升法治效能服务，为繁荣法学服务。

《中国法律评论》唯一投稿邮箱：

chinalawreview@lawpress.com.cn

中法评微信公众号投稿邮箱：

stonetung@qq.com

刊号：CN10-1210/D.

订刊电话：010-83938198

订刊传真：010-83938216