​2021年8月 20 日，《个人信息保护法》颁布，并将于2021 年11月1日起正式实施。 《个人信息保护法》是我国迈入数字化社会，彰显“以人为本”的法律制度里程碑，也是我国为全球数字治理贡献的中国方案。

详细完整报告请在“腾讯研究院”微信公众号中回复关键词： 个人信息保护 ，即可获得。

从四部法律严厉程度比较的概览图可以看出，中国《个人信息保护法》在规则的严厉程度上基本对标欧盟GDPR，美国加州隐私立法（CCPA&CPRA）相较更为宽松：

适用范围 ： 在地域范围上GDPR最宽泛，《个人信息保护法》更为克制，CCPA&CPRA最有限； 而在排除适用的范围上，CCPA&CPRA排除范围最广，GDPR次之，《个人信息保护法》最有限； 在规制的数据活动方面，《个人信息保护法》和GDPR调整范围更宽泛，CCPA&CPRA更为限缩。

在个人信息处理的合法性基础 、同意规则、死者个人信息保护、数据本地化要求、数据出境安全评估、跨境证据调取、信息主体的知情权、行政监管方面，中国《个人信息保护法》比GDPR更严格，CCPA&CPRA最宽松。

在个人信息的定义 、敏感信息的处理规则、未成年人个人信息的处理规则、匿名化、去识别化信息的处理规则、采取安全保障措施的义务、保存（储存）期限、个人信息保护影响评估、DPO/个人信息保护责任人制度等方面，《个人信息保护法》和GDPR严格程度基本一致，CCPA&CPRA最宽松。

在受规制的对象类型 、信息主体的反对权、删除权、发生数据安全事件时的通知义务等方面，GDPR最严格，《个人信息保护法》次之，CCPA&CPRA最宽松。

下图为对比概览图。 通过雷达坐标图方式对中美欧个人信息保护法律的29个方面的严格程度进行了直观比较。

（点击图片可放大显示，或在微信后台回复“ 个人信息保护 ”提取完整报告）

五种矢量图具体说明如下：

• 图一： 《个人信息保护法》模式和GDPR相似，但比GDPR更宽松。

• 图二： 《个人信息保护法》模式和严厉程度上与GDPR基本一致。

• 图三： 《个人信息保护法》模式上与GDPR相似，但是比GDPR更严格。

• 图四： 《个人信息保护法》模式上与加州隐私法（CCPA&CPRA）相似，但是比加州隐私法（CCPA&CPRA）更严格。

• 图五： 《个人信息保护法》模式上与加州隐私法（CCPA&CPRA）相似，宽松程度与其基本一致。

一、立法模式和适用范围比较

中国《个人信息保护法》采取了类似于GDPR的综合立法模式，而加州隐私法（CCPA&CPRA）是在消费者保护领域的个人信息保护专门立法。 两种立法模式下，法律的适用范围有显著的不同，总体而言《个人信息保护法》适用范围和GDPR基本一致，加州隐私法则在地域范围、规制实体类型、规制数据活动的类型等方面更为克制。

（点击图片可放大显示，或在微信后台回复“个人信息保护”提取完整报告）

关于个人信息的定义，各部法律在具体的界定方式、概念的内涵和外延上均存在区别。 中国《个人信息保护法》与 GDPR在定义方法上更接近，将所有可识别与已识别的自然人有关的个人信息纳入了调整范围，保护范围更广。 而CCPA&CPRA则通过定义+列举+排除的方式界定个人信息，范围更加限定和明确。 在各类个人信息的处理规则上，整体而言《个人信息保护法》的要求更为严格。

（点击图片可放大显示，或在微信后台回复“个人信息保护”提取完整报告）

由于适用范围的不同，各部法律在确立数据处理合法性基础方面存在重要差别。

1.GDPR和中国《个人信息保护法》作为通用性法律，更为全面的列出了合法性基础，但同时，前者给出的合法理由似乎更为周延，中国《个人信息保护法》并未笼统的借鉴GDPR中关于“控制者的正当利益”作为合法性基础，而仅是认可了一种正当性——人力资源管理的需要。 CCPA&CPRA由于仅适用于企业收集、出售和披露个人信息的场景，因此其合法性基础更为简单明确，且符合美国法一直以来贴合实践的传统，在同意机制方面，也主要仍采取了选择退出模式（opt-out）。

2. 在同意规则方面，依照规则愈加严苛的程度排序，依次为加州隐私保护法（CCPA&CPRA），欧盟GDPR，中国《个人信息保护法》。

（点击图片可放大显示，或在微信后台回复“个人信息保护”提取完整报告）

GDPR和《个人信息保护法》均构建了个人信息跨境提供制度框架： 欧盟GDPR从保障基本权利的角度出发，规定了允许个人数据转移的两种基本场景和八种例外情况； 而中国《个人信息保护法》则主要从网络安全和数据主权出发，规定了可以向境外提供个人信息的四种条件，以及特定情况下的数据本地化要求。 总体而言，《个人信息保护法》对个人信息跨境传输设置了更多的限制，提出了更高的要求。

（点击图片可放大显示，或在微信后台回复“个人信息保护”提取完整报告）

在信息主体权利方面，《个人信息保护法》与GDPR类似，赋予了信息主体全面、细致的权利，同时对企业施加了更高的合规义务。 而 CCPA&CPRA下消费者的权利更为有限，但是在实践中更具可操作性。  

（点击图片可放大显示，或在微信后台回复“个人信息保护”提取完整报告）

对于信息处理者的义务设定，中欧立法更为详尽，体现了合规清单（check list）思路。 GDPR和中国《个人信息保护法》均通过独立的章节规定了信息处理者（或数据控制者、处理者）的义务，主要包括： 采取安全保障措施的义务、发生数据安全事件时的通知义务、隐私保护影响评估、任命数据保护官等的义务，而加州隐私法（CCPA&CPRA）则仅在1798.100条笼统提出采取安全措施的要求。

（点击图片可放大显示，或在微信后台回复“个人信息保护”提取完整报告）

对于社会公众普遍关注的热点话题，各部法律均予以了制度回应，特别是关于数据处理的 “算法规制”，以及“人脸识别”问题。 在规则的严厉程度上，《个人信息保护法》基本上达到了与GDPR一致的水平。

（点击图片可放大显示，或在后台回复“个人信息保护”提取完整报告）

1.中国关于个人信息保护违法行为的责任追究体系十分完整，涵盖了民事、行政与刑事领域，且十分严厉；

2.在民事诉讼方面，加州隐私法特点突出，其从实体上和程序上，大大限制了个人信息违法行为的可诉性，由此更倾向于由检察长行使监管职权。 在具有行为规模性、事前可规范性的个人信息保护领域，行政规制的确彰显了更高的执法效率。

3.行政监管方面，中欧都可以以违法主体的营收总额为基准作出处罚，区别在于欧盟各国均采取了独立的专门的数据保护监管机构机制（DPAs）,而中国仍维持多部门执法机制。

4.刑事领域，中国较为严厉。 个人信息违法犯罪相关罪名适用主体广泛，入罪门槛极低。

（点击图片可放大显示，或在微信后台回复“个人信息保护”提取完整报告）

报告作者 ：

相关阅读：

《个人信息保护法》——五个划时代意义