跨境數(shù)據(jù)流通合規(guī)與技術應用白皮書

1版權聲明 1 2 1 1 1 1 1 4 4 5 8 8 92.2.1.基于世界貿(mào)易組織（WTO）框架 92.2.2.《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》（RCEP） 122.2.3.《全面與進步跨太平洋伙伴關系協(xié)定》（CPTPP） 142.2.4.《數(shù)字經(jīng)濟伙伴關系協(xié)定》（DEPA） 15 16 18 18 18 19 21 22 22 22 23 243.3.1.臺灣地區(qū)個人資料保護及 24 25 2 27 283.4.2.《東盟個人數(shù)據(jù)保護框架》促各成員國 293.5.1.尋求加強監(jiān)管與數(shù)據(jù)開放 293.5.2.新加坡數(shù)據(jù)保護監(jiān)管框架概 30 33 33 33 33 34 35 35 35 37 37 37 39 41 42 42 42 45 46 46 47 49 49 49 50 513 53 53 54 56 57 58 58 58 59 59 60 60 60 60 62 62 62 62 63 64 65 65 65 65 68 68 69 69 69 71 72 72 72 724 73 73 74 74 74 77 77 78 78 78 80 80 81 81 82 83 84 84 84 85 88 88 88 89 90 91 91 92 92 92 94 94 95 955 96 96 97 98 99 101 102 104 107 107 113 117 131 140 149 150 160 176 1931 59 61 62 64 64 66 67 70 71 73 76 76 77 79 80 82 83 86 86 87 87 89 961第一章背景介紹流通已愈發(fā)成為全球經(jīng)濟增長中的關鍵引擎。一是跨境數(shù)據(jù)推動數(shù)字經(jīng)濟全球跨境數(shù)據(jù)保障數(shù)字貿(mào)易一體化。隨著數(shù)字貿(mào)易規(guī)模不斷擴大,跨境數(shù)據(jù)流通將成護法》《中華人民共和國密碼法》《中華人民共和國外商投資法》《反壟斷法》2護法》等法律的發(fā)布，我國建立了以數(shù)據(jù)保護與跨境數(shù)據(jù)流通積極探索跨境數(shù)據(jù)流通規(guī)則體系多樣性的建設。2022年9月國家互聯(lián)網(wǎng)信息辦的落實；2023年7月國務院印發(fā)《關于進一步優(yōu)化外商投資環(huán)境加大吸引外商3通過數(shù)字技術延伸出來的數(shù)字人、元宇宙、NFT等相關數(shù)字服務和需求也相繼2020年8月，商務部在《全面深化服務貿(mào)易創(chuàng)新發(fā)展試點總體方案》中提加速數(shù)據(jù)要素跨境市場建設。2023年74當前仍面臨數(shù)據(jù)跨境難以同時實現(xiàn)數(shù)據(jù)安全、隱私保護和自由流動三大目標的5體趨向嚴格和出現(xiàn)相關處罰案例，但相關的跨境數(shù)據(jù)流通的政策已愈發(fā)清晰具數(shù)據(jù)侵權等數(shù)據(jù)跨境安全事件頻發(fā)；如用戶在使用ChatGPT的過程中6以評估數(shù)據(jù)跨境風險和控制措施的有效性的情況下，評估周期有可能進一步拉7在使用過程中，境內(nèi)主體通過API接口形式接入境外大模型，還可能會伴隨數(shù)8第二章國際條約中的數(shù)據(jù)跨境規(guī)則數(shù)據(jù)的跨境自由流動是當今世界經(jīng)濟發(fā)展必備的常態(tài)，應當在保障國家安要分析涉及中國出境業(yè)務或?qū)χ袊鴩鴥?nèi)立法具有重要影響或參與國際規(guī)則談判濟合作與發(fā)展組織（OECD）于1980年確立的首部關于全球數(shù)據(jù)跨境流動執(zhí)法9數(shù)據(jù)存儲與處理地點的限制以促進全球化的數(shù)字生2.2.1.基于世界貿(mào)易組織（WTO）框架下的重要多邊條約條件下擴大服務貿(mào)易。GATS規(guī)定國際服務貿(mào)易具體分為四種方式：跨境交付presence）、自然人流動（movementofnaturalpersons其核心是市場準入及個人信息（personaldata）處理與傳播有關的個人隱私及保護個人記錄和賬戶的ITA在2015年完成了擴圍談判，達成了《關于擴大信息礎的技術產(chǎn)品貿(mào)易，但ITA的規(guī)制局限于信息技但近期出現(xiàn)重大的事件卻將改變ICEC后續(xù)談判的走向，2023年10月25查其在數(shù)據(jù)和源代碼等敏感領域的貿(mào)易規(guī)則現(xiàn)行舉措.....事態(tài)最終走向值得進一既往涉及GATS例外條款的爭端來看，無論是美國博彩案還是中國出版物及音國在數(shù)據(jù)出境安全評估的后續(xù)地方法規(guī)和細化的部門規(guī)章出臺和具體執(zhí)法實踐GATS創(chuàng)設的隱私例外和安全例外存在共同的適用條件以及適用限制，即“為遵守國內(nèi)法律法規(guī)所必需的措施”（稱為“必要性測試”）、“實施措施不得構(gòu)成任意或不合理的手段或者構(gòu)成變相限制的前提下”（稱為“非歧視性測試”）。目前，暫不確定主要國家和地區(qū)限制數(shù)據(jù)跨境流動的規(guī)則能夠會應制定國內(nèi)管制紀律，以“保證有關資格要求和程序、技各項措施不致構(gòu)成不必要的服務貿(mào)易壁壘”。這些多邊規(guī)定和紀律要求在我國深入開展數(shù)據(jù)安全和隱私保護立法及其落地實踐中2.2.2.《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》（RCEP）定是基于合法的公共政策目標采取的必要措施，在RCEP序言中即已表明“約方為實現(xiàn)合法的公共福利目標而進行監(jiān)管的權利”，在第十二章第十四條第三數(shù)據(jù)本地化做出了例外規(guī)定，在不作為規(guī)避RCEP項下承諾或義務手段的前提2.2.3.《全面與進步跨太平洋伙伴關系協(xié)定》（CPTPP）AgreementforTrans-PacificPartnership，CPTPP）《跨太平洋伙伴關系協(xié)定》存方新西蘭貿(mào)易與出口增長部長奧康納提交了中國正式申請加入CPTPP的書面與《進步跨太平洋伙伴關系協(xié)定委員會關于CPTP中關于數(shù)據(jù)跨境的規(guī)定集中于第十四章電子商務一章。與RCEP相同，CPTPPCPTPP在個人信息保護方面的規(guī)定與RCEP相似，但較RCEP更進一步的是，考慮到締約方可能采取不同法律方式保護個人信息，CPTPP提出每一締約CPTPP通過不對締約方間的電子傳輸征收關稅，數(shù)字產(chǎn)品的非歧視待遇，較為嚴格,不僅“永久性”免征電子傳輸關稅,還明確要求涵蓋電子傳輸?shù)膬?nèi)容,限制之外規(guī)定了不對信息傳輸施加超出實現(xiàn)目標所需限度的限制。CPTPP并未2.2.4.《數(shù)字經(jīng)濟伙伴關系協(xié)定》（DEPA）但在一定程度上為全球數(shù)字經(jīng)濟制度提供了模板。中國目前正積極推動加入DEPA深度借鑒了CPTPP中的數(shù)字貿(mào)易條款并對其進行細化歸類,將文本其次是不對電子商務用戶違反個人信息保護規(guī)定的行再次，在促進不同個人信息保護體制的兼容和交互方面，及推動使用和開發(fā)通過可在線獲得的以標準化公共許可證為形式的開放數(shù)據(jù)許2.3.對中國數(shù)據(jù)跨境管理的啟示第三章數(shù)據(jù)跨境域外法律環(huán)境分析3.1.1.推動數(shù)字經(jīng)濟發(fā)展，打造亞太地區(qū)數(shù)據(jù)中心設立首選地3.1.2.香港數(shù)據(jù)保護及數(shù)據(jù)跨境的要點簡析《香港人權法案條例》《香港特別行政區(qū)基本法》《個人資料（私隱）條例》（以下簡稱“《私隱條例》”）3.1.3.香港與中國大陸個人信息保護法規(guī)之對比情況有關機構(gòu)最高可處違法者以五千萬元以下或者上一年度營業(yè)額百分兩地的數(shù)據(jù)跨境主要有賴于數(shù)據(jù)跨境流動雙方的安全保障能力能力和個人信息3.2.1.完整的個人資料保護規(guī)范，但不完善的跨境規(guī)則的實施。3.2.2.澳門數(shù)據(jù)保護及數(shù)據(jù)跨境的要點解析3.2.3.注意敏感個人信息保護，避免行政處罰3.3.1.臺灣地區(qū)個人資料保護及跨境流通監(jiān)管的法律環(huán)境組織（Asia-PacificEco并遵循“APEC隱私框架”提出的九大個人數(shù)據(jù)保護原則，則個3.3.2.我國臺灣地區(qū)數(shù)據(jù)保護及數(shù)據(jù)跨境的要點簡析應定期認真研究是否有必要制定針對受其監(jiān)督的特定行業(yè)部門的新的數(shù)據(jù)保護數(shù)據(jù)泄露對數(shù)據(jù)主體的潛在影響及跨境數(shù)據(jù)傳輸?shù)念l3.3.3.我國臺灣地區(qū)《個人資料保護法》與大陸《個人信息保護法》的銜接與差異3.4.1.出臺系列指導性政策文件，統(tǒng)籌數(shù)字經(jīng)濟發(fā)展與數(shù)據(jù)保護3.4.2.《東盟個人數(shù)據(jù)保護框架》促各成員國國內(nèi)數(shù)據(jù)保護政策一致化3.4.3.《東盟數(shù)據(jù)管理框架》和《東盟跨境數(shù)據(jù)流動示范合同條款》為企業(yè)提供數(shù)據(jù)管理和跨境數(shù)據(jù)流通的指引2023年5月，東盟和歐盟聯(lián)合發(fā)布了《東盟跨境數(shù)據(jù)流動示范合同條款何更便利的履行MCCs和SCCs合同義f3.5.1.尋求加強監(jiān)管與數(shù)據(jù)開放流動直接平衡的監(jiān)管體系3.5.2.新加坡數(shù)據(jù)保護監(jiān)管框架概覽及數(shù)據(jù)跨境的要點解析于特定合規(guī)話題的PDPA咨詢指南》（AdvisoryGuidelinesonthePersonalData等。采用與接收方簽訂數(shù)據(jù)處理協(xié)議、集團內(nèi)簽訂具有約束力的公司規(guī)則（BindingAPEC）主導的亞太經(jīng)合組織跨境隱私規(guī)則體系（Cross-BorderPrivacyRules通過CBPRs認證的企業(yè)需要通過CBPRs對于企業(yè)所在國當3.5.3.新加坡與中國個人信息保護之比較3.6.1.越南數(shù)據(jù)保護法律體系概況3.6.2.越南數(shù)據(jù)保護和數(shù)據(jù)跨境的要點簡析3.6.3.越南與中國數(shù)據(jù)保護法律之對比3.7.1.沙特阿拉伯數(shù)據(jù)保護法律框架概述3.7.2.沙特《個人數(shù)據(jù)保護法》要點簡析5）根據(jù)與PDPL配套的個人數(shù)據(jù)跨境傳輸法規(guī)的允許的目的進行的數(shù)據(jù)轉(zhuǎn)3.7.3.沙特數(shù)據(jù)保護與中國的對比3.8.1.日本數(shù)據(jù)跨境流通戰(zhàn)略舉措基礎的個人數(shù)據(jù)跨境傳輸充分性框架，實現(xiàn)了日歐之間個人數(shù)據(jù)的雙邊自由傳在多邊貿(mào)易協(xié)定方面，日本參與或加入《亞太經(jīng)合組織跨境隱私規(guī)則體系3.8.2.日本數(shù)據(jù)跨境流通法律規(guī)制要點簡析日本數(shù)據(jù)跨境流通法律規(guī)制主要包括個人信息出境法律法規(guī)體系和多邊貿(mào)義務，事先向個人信息主體提供數(shù)據(jù)接收方所在國家或地區(qū)的個人信息保護的度、數(shù)據(jù)接收方采取的個人信息保護措施以及應供個人信息主體參考的其他信向已經(jīng)建立了符合日本法規(guī)定的保護標準的個人信息保護機制的接收方跨境傳締約方在不構(gòu)成對其他締約方貿(mào)易歧視和變3.8.3.與我國數(shù)據(jù)跨境法律法規(guī)對比分析個人數(shù)據(jù)的經(jīng)營者數(shù)據(jù)跨境轉(zhuǎn)移需要滿足：“事先獲得個人同意的情況下，處理“個人數(shù)據(jù)保護委員會有權對在日本處理個人數(shù)據(jù)的外國經(jīng)營者行使處罰的權提出數(shù)據(jù)保護要求，對于關鍵信息基礎設施運營者，數(shù)據(jù)跨境轉(zhuǎn)移需要滿足“應3.9.1.經(jīng)歷多次曲折，終接近出臺數(shù)據(jù)保護專門立法為廣泛的個人數(shù)據(jù)保護，替換為了更為明確、具體的“數(shù)字個人數(shù)據(jù)”（digital3.9.2.印度數(shù)據(jù)保護及數(shù)據(jù)跨境的要點解析一般而言，亞太地區(qū)的數(shù)據(jù)保護立法皆采用了“視為同意”（deemedtohave一是廣播公司不得將用戶數(shù)據(jù)庫轉(zhuǎn)移到印度法律管轄范圍以外的任何實體或地在現(xiàn)行立法下，印度的數(shù)據(jù)保護機構(gòu)是電子和信息技術部（Ministryof3.9.3.與中國法律的對比3.10.1.俄羅斯聯(lián)邦個人信息及數(shù)據(jù)法律環(huán)境分析），3.10.2.俄羅斯聯(lián)邦數(shù)據(jù)跨境保護及審查要點分析6）被禁網(wǎng)站的登記冊。俄羅斯聯(lián)邦通信、信息技術和大眾傳媒監(jiān)督局7）被封禁網(wǎng)站的所有者可以通過刪除非法信息并將其報告給俄羅斯聯(lián)邦通信、信息技術和大眾傳媒監(jiān)督局(Роскомнадзор)解禁網(wǎng)站。處理人已對數(shù)據(jù)主體進行告知;個人數(shù)據(jù)是由處理人履行法定義務或數(shù)據(jù)主體作為一方當事人的合同而取得;該等個人數(shù)據(jù)是由該數(shù)據(jù)主體自行公開或由處3.10.3.中俄數(shù)據(jù)保護及數(shù)據(jù)跨境合規(guī)對比3.11.1.棱鏡事件推動的數(shù)據(jù)跨境流動立法密集時代2013年美國棱鏡事件加速了歐盟對數(shù)字經(jīng)濟時代數(shù)據(jù)跨境流動規(guī)則的重新3.11.2.歐盟數(shù)據(jù)保護及數(shù)據(jù)跨境的要點簡析歐盟GDPR將個人數(shù)據(jù)作為基本人權進行保護，其規(guī)定覆門在內(nèi)的各行各業(yè)的個人信息處理行為，且家只有在提供與歐盟同等水平保護的情況下，才允許個人數(shù)據(jù)跨境向其進行傳準合同文本。SCC為數(shù)據(jù)跨境流動提供了一個相對寬松且安全的解決方如果歐盟以外國家未達到歐盟數(shù)據(jù)保護水平，且仍未提供適當?shù)谋Ｕ洗胧?.11.3.中國對GDPR的借鑒與發(fā)展3.12.1.美國個人信息及數(shù)據(jù)法律環(huán)境分析護的相關法律條文。案《加州隱私權法案》（CaliforniaPrivacyRightsAct,CPRA）該法案實質(zhì)性修D(zhuǎn)ataProtectionRegulation,GDPR）也一并成為了當前全球最突出的數(shù)據(jù)保護立從行業(yè)自律準則來看，美國數(shù)字隱私行業(yè)自律準則的興起與20世紀末美目前，美國有多個聯(lián)邦機構(gòu)負責數(shù)據(jù)保護執(zhí)法工作，包括聯(lián)邦貿(mào)易委員會（FederalTradeCommission,FTC）、消費者金ProtectionBureau,CFPB）、美國貨幣監(jiān)理署（OffceoftheComptrollerofthe部（DepartmentofHealthandH時亦有權對兒童在線隱私和商業(yè)電子郵件營銷FTC和FCC外的其他機構(gòu)則是根據(jù)具體的法規(guī)或條例，負責相關的隱私3.12.2.美國數(shù)據(jù)保護及數(shù)據(jù)跨境的要點解析具影響力的數(shù)據(jù)隱私立法，即最具代表性的“美國標準”CCPA議院和參議院商務委員會主要成員聯(lián)合發(fā)布《美國數(shù)據(jù)隱私和保護法案》ADPPA草案將保留未受影響的CCPA由于美國對于數(shù)據(jù)的態(tài)度是希望通過數(shù)據(jù)跨境活動維護自身的技術經(jīng)濟優(yōu)管理條例》（ExportAdministrationRegulati的數(shù)據(jù)免受外國監(jiān)視法》（ProtectingAmericans'DataFromForeignSurveillance同時，其他國家若要調(diào)取存儲在美國的數(shù)據(jù)，則必須通過美國“適格外國政府”采取相應的限制，嚴格限制關鍵技術與特定領域的數(shù)據(jù)出口。EAR嚴格限制部3.12.3.美國與中國數(shù)據(jù)保護法律之對比美國與中國數(shù)據(jù)保護法律規(guī)定的不同亦體現(xiàn)兩國對于數(shù)據(jù)保護的不同立法位讀者了解到不同國家和地區(qū)在數(shù)據(jù)保護及數(shù)據(jù)跨境法律環(huán)境方面是存在很大家和地區(qū)關于數(shù)據(jù)保護和數(shù)據(jù)跨境的理念、規(guī)范乃至數(shù)據(jù)的基本定義有很大差第四章跨境數(shù)據(jù)流通技術解決與合規(guī)方案4.1.1.案例背景4.1.2.技術方案4.1.3.方案創(chuàng)新點和亮點基于消費后產(chǎn)生的數(shù)據(jù)字段也剔除了個人屬性而使用會4.1.4.應用效果4.2.1.案例背景4.2.2.技術方案4.2.3.方案創(chuàng)新點和亮點4.2.4.應用效果公司需要第三方中立IT服務商UCloud安全屋數(shù)據(jù)沙箱托管數(shù)據(jù)，并提供隱私4.3.1.案例背景序應用打開，相當于流通的加密數(shù)據(jù)包，EDA算法嵌入對于安全檢測有非常規(guī)4.3.2.技術方案UCloud安全屋以成熟產(chǎn)品為基礎核心輸出第在技術升級上，超長前置調(diào)試MPC嵌入芯片EDA編譯，直接對原算法進4.3.4.應用成效4.4.1.案例背景4.4.2.整體方案一，通過公司在自然語言處理領域的旗艦級新聞標簽解析引擎SmarTag生產(chǎn)。SmarTag主要通過自主研發(fā)的NLP算法將市場中的高頻非結(jié)構(gòu)化新聞資訊轉(zhuǎn)化這一產(chǎn)品主要通過自然語言處理算法對國內(nèi)主流網(wǎng)站的財經(jīng)及行業(yè)新聞資4.4.3.數(shù)據(jù)產(chǎn)品創(chuàng)新點和亮點4.4.4.應用成效數(shù)庫科技的SmarTag可對新聞文本的結(jié)構(gòu)化解析，從而實現(xiàn)對全篇新聞及例如，A股個股情緒因子、A股行業(yè)情緒指數(shù)和A股在首屆應用算法實踐典范BPAA中，數(shù)科身在供應鏈科技方面的領先優(yōu)勢，與國際清算銀行創(chuàng)新中心啟動數(shù)字貿(mào)易資產(chǎn)4.5.1.案例背景付產(chǎn)品的一級供應商又根據(jù)OA或信用證（LetterofCredit,LC）基本運作模式。但由于于缺乏抵押品和/或已建立的信用和運營記錄，且保理和4.5.2.技術方案DTA狀態(tài)轉(zhuǎn)移的條件編碼到智能合約上，當供應鏈上貿(mào)易流程的某一環(huán)節(jié)被確供應鏈上持有DTA的供應商可以通過兌現(xiàn)、轉(zhuǎn)讓或融資等方式3)融資：在條件滿足之前，通過DTA平臺與投資方（機構(gòu)擔的信用風險是來自供應商的履約風險和DTA發(fā)行方的信用風4.5.3.方案創(chuàng)新點和亮點4)科技創(chuàng)新：本項目方案展示了去中心化金融技術在貿(mào)易金融行業(yè)領域的4.5.4.應用成效以前無法獲得傳統(tǒng)融資的中小企業(yè)提供新的融資途徑，從而有助于刺激經(jīng)濟增電子簽署服務。且本項目在大陸和香港兩地電子簽名互認的司法框架下合法開4.6.1.案例背景隨著各行各業(yè)信息化的迅猛發(fā)展，傳統(tǒng)的商業(yè)模式逐漸轉(zhuǎn)變成互聯(lián)網(wǎng)的方CA港股開戶電子認證服務平臺對持身份證件的大4.6.2.技術方案4.6.3.方案創(chuàng)新點和亮點4.6.4.應用效果4.7.1.案例背景4.7.2.技術方案商保理賠數(shù)據(jù)標準體系和數(shù)據(jù)安全保障體系可以提高商保4.7.3.方案創(chuàng)新點和亮點使用和分析過程完全在安全的環(huán)境中進行；平臺采用API安全監(jiān)測與訪問控制4.7.4.應用效果4.8.1.案例背景在國際貿(mào)易中，合作客戶及供應鏈合作伙伴信用風險是一個重要的考慮因型貿(mào)易公司前期希望通過一系列海外報告來監(jiān)控和管理其海外客戶及供應鏈之4.8.2.技術方案在該案例中海外用戶信用風險評估報告,是中誠信征信通過收集和整合來自生成相應的預警信號,方便用戶監(jiān)控海外客戶及供應商信用風險狀況并進行決風險預警模塊和可視化展示模塊等。各個模塊之間通過API進行數(shù)據(jù)交換和通4.8.3.方案創(chuàng)新點和亮點4.8.4.應用效果該案例中海外用戶信用風險評估報告,在該公司正式使用后取得了顯著的應通過對客戶信用風險的定期監(jiān)測和管理，該公司成功降低了違約風險和損多款的可視化圖表和風險評估數(shù)據(jù)，使決策鏈各環(huán)節(jié),能夠更好地了解海外各客4.9.1.案例背景5)與境外接收方擬訂立的數(shù)據(jù)出境相關合同或者其他具有法律效力的文件4.9.2.合規(guī)方案4.9.3.方案創(chuàng)新點和亮點4.9.4.應用效果4.10.1.案例背景4.10.2.技術方案在很大程度上保障了貿(mào)易商品數(shù)據(jù)的安全性和共享時，IPFS分布式存儲基于內(nèi)容的快速尋址和數(shù)據(jù)永久保存等特性，進一步增強兩岸跨境貿(mào)易商品溯源應用基于區(qū)塊鏈、IPFS分布式存儲、去中心驗證器圖20是臺灣某有機茶廠的祈韻紅茶的數(shù)據(jù)采集示例：茶園物聯(lián)網(wǎng)設備實時4.10.3.方案創(chuàng)新點和亮點4.10.4.應用效果4.11.1.案例背景4.11.2.技術方案ESG供應鏈相關評分為目標，采用了統(tǒng)分結(jié)合的靈活部署方式，實現(xiàn)數(shù)據(jù)來源4.11.3.方案創(chuàng)新點和亮點鏈協(xié)作支撐要求，保障在既定時間實現(xiàn)供應鏈ESG可持續(xù)發(fā)展的目標和具體指4.11.4.應用效果跨境電商在供應鏈ESG挑戰(zhàn)中，可通過跨境數(shù)據(jù)快速實現(xiàn)數(shù)據(jù)整合與實時速地響應市場變化，能夠更及時地調(diào)整供應鏈和生產(chǎn)計劃，提高供應鏈效率約交付產(chǎn)品和服務同時通過系統(tǒng)提供A企業(yè)在中國境內(nèi)運營和收集的相關數(shù)據(jù)。廣東卓建律師事務所受委托評估A企業(yè)長期存在的數(shù)據(jù)出境活動是否合規(guī)，以及是否應當立即向網(wǎng)信部門申報數(shù)據(jù)出境安全評估備案需要從法律方面進行評4.12.1.案例背景應履行法律規(guī)定的義務,出境數(shù)量達到法定標準還需通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估,在申報出境安全評估之前應先進行數(shù)4.12.2.合規(guī)評估《個人信息保護法》第三十八條，個人信息處理者因業(yè)務等需要，確需向數(shù)據(jù)安全保障措施有效性以及其他應當遵守數(shù)據(jù)和網(wǎng)絡安全相關法律法規(guī)的有4.12.3.方案創(chuàng)新點和亮點施行后對企業(yè)影響的不確定性，幫助企業(yè)在合規(guī)的情形下繼續(xù)開展數(shù)據(jù)出境活4.12.4.結(jié)語建議第五章數(shù)據(jù)跨境流通與技術應用發(fā)展建議規(guī)范數(shù)據(jù)跨境處理活動、監(jiān)管單位審查和監(jiān)督數(shù)據(jù)跨境處理活動提供了法律依具“安全評估風險意見”5.2.1.企業(yè)數(shù)據(jù)安全與隱私保護自身業(yè)務發(fā)展情況，制定的安全風險等級和前期制定好的應急預案做通報與處5.2.2.企業(yè)供應鏈風險控制與管理性。到的或數(shù)據(jù)流動過程中需要達到的最低等級要求，實現(xiàn)對供應商的安全要求選企業(yè)應采用信息技術工具和評估系統(tǒng)，加強對供應鏈合規(guī)情況的監(jiān)控和跟制。同推動跨境數(shù)據(jù)流通合規(guī)的國際標準制定和協(xié)作機制建立。明確合作目標和原5.2.3.企業(yè)跨境數(shù)據(jù)流通合規(guī)能力建設家和地區(qū)相關法律法規(guī)。風險,制定合規(guī)政策和操作規(guī)程、開展合規(guī)意識和能力的培訓和教育，必要情況施跨境敏感數(shù)據(jù)傳輸發(fā)現(xiàn)技術是通過流量還原及特征識別技術對互聯(lián)網(wǎng)流量通道關聯(lián)關系，基于敏感數(shù)據(jù)竊取事件發(fā)現(xiàn)技術挖掘攻擊者竊取行為的重要信隨著跨境數(shù)據(jù)流通日益頻繁，企業(yè)對數(shù)據(jù)合規(guī)專業(yè)人才的需求也在加速增人才和實踐案例的選拔和評選等。企業(yè)可內(nèi)部挖掘和培養(yǎng)跨境數(shù)據(jù)流通合規(guī)人規(guī)人才短期出國訪問或?qū)嵙?了解國際最佳實踐（包括參與國際項目和與國際數(shù)國數(shù)據(jù)跨境制度與其他國家或地區(qū)的國際協(xié)際數(shù)字貿(mào)易具體場景中進行試點和推廣。探索建立健全符合數(shù)據(jù)跨境白名單制或者“數(shù)據(jù)可用不出境”的數(shù)據(jù)跨境流通系統(tǒng)等探討，促成相互信任的機制的建參考文獻[1]《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》,中華人民共和國商務部./rcep/rcep_new.shtml[2]陶斌智、蔡彥，中國對接CPTPP數(shù)據(jù)跨境流動規(guī)則的難點及對策，服務外包，2023年[3]王蕊、潘怡辰、袁波、宋云瀟，從CPTPP與RCEP差異看我國應對數(shù)字貿(mào)易規(guī)則競爭[4]石靜霞、陸一戈，DEPA框架下的數(shù)字貿(mào)易核心規(guī)則與我國的加入談判，數(shù)字法治，[5]中方正式提出申請加入《數(shù)字經(jīng)濟伙伴關系協(xié)定》（DEPA/article/jmxw/202111/20211103214091.shtml[6]中國加入《數(shù)字經(jīng)濟伙伴關系協(xié)定》（DEPA）工作組正式成立，/article/jmxw/202208/20220803343570.shtml[7].hk/sc/about_us/facts/doc/Fact_Sheet-HKasICT_Hub-SC.pdf[8].hk/zh-cn/digital_economy_committee/termsofreference/dedc_index.html[9].hk/sc_chi/data_privacy_law/ordinanceataGlance/ordinance.html[10]https://apps.sfc.hk/edistributionWeb/api/circular/openFile?lang=TC&refNo=22EC69[11].hk/-/media/HKEX-Market/Services/Circulars-and-Notices/Participant-and-Members-Circulars/SEHK/2023/CT04423B.pdf[12].hk/tc_chi/news_events/media_statements/press_20141229.html[13]楊曉偉,張譽馨,賈丹.粵港澳大灣區(qū)數(shù)據(jù)跨境流動的挑戰(zhàn)與對策研究[J].工業(yè)信息安全，2023（04）:73-78.[14]/rain/a/20210820A0FSOQ00[15]《澳門民法典》第79條第3款[16]《澳門個人資料保護法》第3條[17]方憲文.我國臺灣地區(qū)個人資料保護法制研究[D].西南政法大學，2014.[18]/s/gPCSWXzxI-fIqjYBkqpb-A[19]/government/[20]/s/NUZaJ1FTbNX-DIHm0R7Rbw[21]/s/_WRhYyt0TYPhTft27PnKzQ[22]/s/6TJyKyEaEZfaABdTYFMunA[23]/s/8OHX5pLsZzbu0aKUShm7OA[24]/s/8OHX5pLsZzbu0aKUShm7OA[25].tw/Download.ashx?u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvMC8xMjA2My9lMzMyMjIzMS1jOTM4LTRmZjUtYmZmNi1kNGI1MGYwMGYzZWMucGRm&n=6KuW6KGhMTYtM180LuWQjeWutuingOm7njAyX0dEUFLoiIfmiJHlnIvlgIvkurros4fmlpnkv53orbfms5XkuYvmr5TovIPliIbmnpAucGRm&icon=..pdf[26]https://law.asia/zh-hans/taiwan-cybersecurity-regulations-2022/[27].tw/Content_List.aspx?n=726A44EA5D724473[28]王秀哲.我國臺灣地區(qū)個人資料立法保護評析[J].理論月刊，2015（12）:96-101+150.[29]/practice-areas/data-protection-laws-and-regulations/taiwan.[30]曾麗凌.兩岸間個人信息跨境提供的規(guī)范省思及其完善[J].臺灣研究集刊，2022[31]朱珊珊,王建學.臺灣地區(qū)特種個人資料的刑法保護及啟示[J].臺灣研究集刊，2020[32]張伯超.數(shù)據(jù)跨境流動的全球標桿城市：新加坡[J].上海信息化，2021（0354-56[33]Vietnam-DLAPiperGlobalDataProtectionLawsoftheWorld/index.html?t=law&c=VN[34]G20發(fā)布《大阪數(shù)字經(jīng)濟宣言》（全文中譯版/a/326519514_500652，2023[35]野村綜合研究所/中國信通院報告書聯(lián)合報告書《中日數(shù)字產(chǎn)業(yè)的合作與展望[36]CAICT互聯(lián)網(wǎng)法律研究中心《印度個人數(shù)據(jù)保護法案為何歷經(jīng)四度更迭附2022版全文翻譯）》，/articles/49609[37]印度《2023年數(shù)字個人數(shù)據(jù)保護法案》（DPDP）的英文文本.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf[38]TheDigitalPersonalDataProtectionBill,2023/billtrack/digital-personal-data-protection-bill-2023[39]ComplianceGeeks合規(guī)小組：《印度公布2023年<數(shù)字個人數(shù)據(jù)保護法>》/p/653305241[40]CAICT互聯(lián)網(wǎng)法律研究中心《印度<2023年數(shù)字個人數(shù)據(jù)保護法案>（DPDP）變動解析》,/articles/58234[41]《數(shù)據(jù)合規(guī)專欄|印度<數(shù)字個人數(shù)據(jù)保護法>和中國<個人信息保護法>異同》，/s/J0y_t9hnzcOVVQFgmr-kTQ[42]Законопроект№340741-4?Обособенностяхобеспеченияинформационнойбезопасностикритическиважныхобъектовинформационнойителекоммуникационнойинфраструктуры?。[43]N152-ФЗ"Оперсональныхданных"[44]Закон"Оперсональныхданных"Статья14.Правосубъектаперсональныхданныхнадоступкегоперсональнымданным[45]沈浩藍，《歐盟數(shù)據(jù)治理的新發(fā)展》，/article/detail/2022/11/id/6994275.shtml[46]Orrick美國奧睿律師事務所.《修訂后的<美國數(shù)據(jù)隱私和保護法>:十大要點》./s/MuYsf_wFEM1ajQQQBcUYkA[47]賽智時代.《中歐美數(shù)據(jù)跨境流動研究》，/s/fJlwn-Efum-_l7OWGDnOBA附錄A:數(shù)據(jù)跨境流通域外法律解析資料當事人的訂明同意”。下條件：否則資料使用者不得將個人資料轉(zhuǎn)移至香港以外的地方：??（f3.hk/tc_chi/resources_centre/publications/files/guidance_model_contractual_clauses.pdf1)只為與資料轉(zhuǎn)移者協(xié)議的轉(zhuǎn)移目的（或直接有關的目的）及資料轉(zhuǎn)3)采取協(xié)議并載列于資料使用者轉(zhuǎn)移資料予資料使用者的建議合約條4)保留個人資料的時間只會是達致轉(zhuǎn)移目的所需的時間或雙方協(xié)議的5)采取所有切實可行的步驟，在保留時期屆滿或不再需要保留轉(zhuǎn)移的6)采取所有切實可行的步驟，以確保在顧及與資料轉(zhuǎn)移者協(xié)議的轉(zhuǎn)移8)采取所有切實可行的步驟，以確保資料當事人能查閱其有關個人資9)不會繼續(xù)轉(zhuǎn)移個人資料予任何第三方，但雙方在資料轉(zhuǎn)移一覽表作10)確保繼續(xù)轉(zhuǎn)移個人資料是符合資料使用者轉(zhuǎn)移資料予資料使用者的建議合約條文范本或資料使用者轉(zhuǎn)移資料予資料處理者的建議合約條文范11)不會繼續(xù)轉(zhuǎn)移個人資料至任何其他司法管轄區(qū)，但雙方有協(xié)議則除12)就資料當事人的查閱及改正資料權利，履行作為資料使用者的責任13)在收到資料轉(zhuǎn)移者有關停止使用個人資料作直接促銷的書面通知1)只為資料轉(zhuǎn)移者指示的目的（或直接有關的目的）及資料轉(zhuǎn)移者原2)確保就資料轉(zhuǎn)移者指示的目的（或直接有關的目的）而言，個人資3)采取協(xié)議的保安措施處理個人資料，正如資料使用者轉(zhuǎn)移資料予資）；4)保留個人資料的時間只會是達致資料轉(zhuǎn)移者指示的目的（或直接有5)采取所有切實可行的步驟，在保留時期屆滿或不再需要保留個人資8)不會繼續(xù)轉(zhuǎn)移個人資料予任何第三方，但雙方在資料轉(zhuǎn)移一覽表作9)確保若繼續(xù)轉(zhuǎn)移個人資料予任何第三方，會符合資料使用者轉(zhuǎn)移資10)不會繼續(xù)轉(zhuǎn)移個人資料至任何其他司法管轄區(qū)，但有資料轉(zhuǎn)移者事《個人資料（私隱）條例》《個人信息保護法》對比分析1個人信息個人資料（personaldata）指符合以下說明的任何資料——（a）直接或間接與一名在世的個人有關的b）從該資料直接或間接地確定有關的個人的身分是切實可行的；及（c）該資料的存在形式令予以查閱及處理均是切實可行的。第四條個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。香港并未使用中國大陸常用的“個人信息”“個人數(shù)據(jù)”概念，而是采用“個人資料”一詞來指代“PersonalData”。根據(jù)《私隱條例》的定義，“個人資料”需要具有“確定”性，即可以確定個人身份的資料才算作“個人資料”，而中國大陸的“個人信息”定義則遵循“可識別性”的思路，涵蓋具體個人身份信息和個人關聯(lián)信息，較香港地區(qū)的定義更為寬4此外，香港未對匿名化處理后的信息作出規(guī)定。2個人信息處理者1.資料使用者（datauser就個人資料而言，指獨自或聯(lián)同其他人或與有、處理或使用的人；2.如某人純粹代另一人持有、處理或使用的任何個人資料，而該首述的人并非為其任何本身目的而持有、處理或使用（視屬何情況而定）該資料，則（但亦只有在此情況下）該首述的人就該個人資料而言不算是資料使用者。3.資料處理者（dataprocessor）指符合以下兩項說明的人——（a）代另一人處理個人資料；及（b）并不為該人本身目的而處理該資料。第七十三條本法下列用語的含義：（一）個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。第二十一條個人信息處理者委托處理個人信息的，應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，并對受托人的個人信息處理活動進行監(jiān)督。第五十九條接受委托處理個人信息的受托人，應當依照本法和有關法律、行政法規(guī)的規(guī)定，采取必要措施保障所處理的個人信息的安全，并協(xié)助個人信息處理者履行本法規(guī)定的義務。中國大陸“個人信息處理者”的含義與香港“資料處理者”的含義有明顯區(qū)別，在香港《私隱條例》語境下，與大陸“個人信息處理者”相似的概念為“資料使用者”，而《私隱條例》中的“資料處理者”更偏向于大陸《個保法》中受托處理個人信息的“受托人”角色。3敏感個人信息未作明確規(guī)定第二十八條敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。低于中國大陸保護水平，大陸對敏感個人信息做出了特別規(guī)定，對敏感個人信息需要有更高的保護水平，香港未做出明確規(guī)定。4同意根據(jù)第30條、第35條、第64條、附表1第一原則、第三原則等的規(guī)定，香港只在核對程序、直接促銷、披露、將個人資料用于新目的等少數(shù)情況下才需要征得個人同意。根據(jù)第十三條、第十四條等的規(guī)定，在無十三條第一款（二）至（七）的情形下，處理個人信息前均需取得個人同意。低于中國大陸保護水平，大陸處理個人信息以告知同意為基礎，特殊情況下需要單獨同意或書面同意。5本地化存儲未作明確規(guī)定第三十六條及第四十條規(guī)定，國家機關、關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應當將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。香港的保護水平低于中國大陸，大陸對特殊主體所收集和產(chǎn)生的數(shù)據(jù)進行本地化存儲有明確要求，香港未有明確規(guī)定。2.澳門2.1.《澳門特別行政區(qū)個人資料保護法》與《個人信息保護法》對比項目/內(nèi)容《澳門特別行政區(qū)個人資料保護法》《個人信息保護法》1敏感個人信息范圍第七條敏感資料的處理一、禁止處理與世界觀或政治信仰、政治社團或工會關系、宗教信仰、私人生活、種族和民族本源以及與健康和性生活有關的個人資料，包括遺傳資料。二、在保障非歧視原則以及第十六條所規(guī)定的安全措施的前提下，得對上款所指的資料在下列任一情況下進行處理：（一）法律規(guī)定或具組織性質(zhì)的規(guī)章性規(guī)定明確許可處理上款所指的資料；（二）當基于重大公共利益且資料的處理對負責處理的實體行使職責及權限所必需時，經(jīng)公共當局許可；（三）資料當事人對處理給予明確許可。三、當出現(xiàn)下列任一情況時，亦得處理第一款所第二十八條敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。低于中國境內(nèi)保護水平，澳門特別行政區(qū)法律與中國境內(nèi)法律對比，中國大陸法律規(guī)定的敏感個人信息更廣，更嚴格，特別是增加了對未成年人的保護。指的資料：（一）保護資料當事人或其他人重大利益所必需，且資料當事人在身體上或法律上無能力作出同意；（二）經(jīng)資料當事人同意，由具有政治、哲學、宗教或工會性質(zhì)的非牟利法人或機構(gòu)在其正當活動范圍內(nèi)處理資料，只要該處理僅涉及這些機構(gòu)的成員或基于有關實體的宗旨與他們有定期接觸的人士，且有關資料未經(jīng)資料當事人同意不得告知第三人；（三）要處理的資料明顯已被資料當事人公開，只要從其聲明可依法推斷出資料當事人同意處理有關資料；（四）處理資料是在司法訴訟中宣告、行使或維護一權利所必需的，且只為該目的而處理資料。四、如處理與健康、性生活和遺傳有關的資料是醫(yī)學上的預防、診斷、醫(yī)療護理、治療或衛(wèi)生部門管理所必需的，只要由負有保密義務的醫(yī)務專業(yè)人員或其他同樣受職業(yè)保密義務約束的人進行，并根據(jù)第二十一條規(guī)定通知公共當局和采取適當措施確保信息安全，得處理有關資料。2對企業(yè)的行政處罰第三十二條履行義務的不作為或有瑕疵的履行一、基于過失，實體未履行第二十一條第一款和第五款規(guī)定的將個人資料的處理通知公共當局的義務、提供虛假信息或履行通知義務時未遵守第二十三條的規(guī)定，或者經(jīng)公共當局通知之后，負責處理個人資料的實體繼續(xù)讓沒有遵守本法規(guī)定者查閱其傳送資料的公開網(wǎng)絡，屬行政違法行為并處以如下罰款：（一）對自然人科處澳門幣2,000至20,000元罰款；（二）對法人或無法律人格的實體，科處澳門幣10,000至100,000元罰款。二、當處理的資料根據(jù)第二十二條規(guī)定受預先監(jiān)控約束時，罰款的上下限各加重一倍第六十六條違反本法規(guī)定處理個人信息，或者處理個人信息未履行本法規(guī)定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。有前款規(guī)定的違法行為，情節(jié)嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔任相關低于中國境內(nèi)的保護水平中國境內(nèi)法律對違反個人信息保護義務的企業(yè)處罰力度更大、處罰額度更重。3對直接負責的主管人員和其他直接責任人員的行政處罰未做規(guī)定低于中國境內(nèi)的保護水平中國境內(nèi)的個人信息保護法規(guī)定了對企業(yè)直接負責任等的行政處罰，但澳門并未做規(guī)定企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。我國臺灣地區(qū)于2010年頒布《個人資料保護法》作為個人信息保護的基本立法院于2023年5月通過了《個資法3.2.《個人資料保護法》與《個人信息保護法》部分要點對比分析序號對比項目/內(nèi)容《個人資料保護法》《個人信息保護法》對比分析1調(diào)整范圍第51條自然人為單純個人或家庭活動的目的而收集、處理或利用個人資料，于公開場所或公開活動中所搜集、處理或利用之未與其他個人數(shù)據(jù)結(jié)合之影?數(shù)據(jù)，以及公務機關及非公務機關，在臺灣域外對臺灣民眾個人數(shù)據(jù)搜集、處理或利用的，均不適用該法。第9條個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。第59條接受委托處理個人信息的受托人，應當依照本法和有關法律、行政法規(guī)的規(guī)定，采取必要措施保障所處理的個人信息的安全，并協(xié)助個人信息處理者履行本法規(guī)定的義務。低于中國境內(nèi)保護水平。臺灣的《個人資料》對于不適用法律的情況作了更詳細的規(guī)定。2法域管轄在臺灣發(fā)生的所有數(shù)據(jù)收集及處理活動均適用該法，不論信息當事人是否為臺灣籍。根據(jù)監(jiān)管部門解讀，該法不具有GDPR那樣的域外效力5。第3條在中華人民共和國境內(nèi)處理自然人個人信息的活動，適用本法。在中華人民共和國境外處理中華人民共和國境內(nèi)自然人個人信息的活動，有下列情形之一的，也適用本法：（一）以向境內(nèi)自然人提供產(chǎn)品或者服務為目的；（二）分析、評估境內(nèi)自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形。低于中國境內(nèi)保護水平。中國境內(nèi)法律除了屬地管轄原則，還有屬人管轄和普遍管轄。3個人信息的定義第2條第4條《個資法》采取列舉5/practice-areas/data-protection-laws-and-regulations/taiwan個人資料：指自然人之姓名、出生年月日、國民身份證統(tǒng)一編號、護照號碼、特征、指紋、婚姻、家庭、教育、職業(yè)、病歷、醫(yī)療、基因、性生活、健康檢查、犯罪前科、聯(lián)絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之數(shù)據(jù)。個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。的方式，更細致地對個人信息進行了界《個保法》的界定相對籠統(tǒng)，并排除了匿名化處理后的信息。4敏感個人信息的劃分第6條有關病歷、醫(yī)療、基因、性生活、健康檢查及犯罪前科之個人數(shù)據(jù)，不得搜集、處理或利用。但有下列情形之一者，不在此限：1.法律明文規(guī)定。2.公務機關執(zhí)行法定職務或非公務機關履行法定義務必要范圍內(nèi)，且事前或事后有適當安全維護措施。3.當事人自行公開或其他已合法公開之個人數(shù)據(jù)。4.公務機關或?qū)W術研究機構(gòu)基于醫(yī)療、衛(wèi)生或犯罪預防之目的，為統(tǒng)計或?qū)W術研究而有必要，且資料經(jīng)過提供者處理后或經(jīng)搜集者依其揭露方式無從識別特定之當事人。5.為協(xié)助公務機關執(zhí)行法定職務或非公務機關履行法定義務必要范圍內(nèi)，且事前或事后有適當安全維護措施。6.經(jīng)當事人書面同意。但逾越特定目的之必要第28條敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。高于中國境內(nèi)保護水平。《個保法》中敏感個人信息的范圍更廣泛，但《個資法》對敏感個人信息規(guī)定了特別的保護。范圍或其他法律另有限制不得僅依當事人書面同意搜集、處理或利用，或其同意違反其意愿者，不在此依前項規(guī)定搜集、處理或利用個人數(shù)據(jù)，準用第八條、第九條規(guī)定；其中前項第六款之書面同意，準用第七條第一項、第二項及第四項規(guī)定，并以書面為之。5信息處理活動第2條（四）處理：指為建立或利用個人數(shù)據(jù)文件所為數(shù)據(jù)除、輸出、連結(jié)或內(nèi)部傳送。第4條個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。與中國境內(nèi)保護水平持平。6信息處理者該法沒有特別界定“信息處理者”的概念，有類似的寬泛規(guī)定但對這類信息處理者的限制較少6。第73條個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。第21條個人信息處理者委托處理個人信息的，應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等，并對受托人的個人信息處理活動進行監(jiān)督。低于中國境內(nèi)保護水平7信息處理者基本義務第8條告知義務第17條公開義務第11條資料正確性確保義務第51條個人信息處理者應當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權與中國境內(nèi)保護水平持平6/practice-areas/data-protection-laws-and-regulations/taiwan資料在特定目的利用范圍內(nèi)力求確實、完整及新第18、27條資料安全保障義務資料管控者有防止個人資料被侵害的義務。益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權的訪問以及個人信息泄露、篡改、丟失：（一）制定內(nèi)部管理制度和操作規(guī)程；（二）對個人信息實行分類管理；（三）采取相應的加密、去標識化等安全技術措施；（四）合理確定個人信息處理的操作權對從業(yè)人員進行安全教育和培訓；（五）制定并組織實施個人信息安全事件應急預案；（六）法律、行政法規(guī)規(guī)定的其他措施。8信息處理的合法性基礎對于公務機關：公務機關對個人數(shù)據(jù)之搜集或處理，除第六條第一項所規(guī)定數(shù)據(jù)外，應有特定目的，并符合下列情形之一者：1.執(zhí)行法定職務必要范圍內(nèi)。2.經(jīng)當事人同意。3.對當事人權益無侵害。符合下列情形之一的，個人信息處理者方可處理個人信息：（一）取得個人的同意；（二）為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需；（三）為履行法定職責或者法定義務所必《個資法》區(qū)分了兩大主體分別進行規(guī)《個保法》沒有對信息處理者進行區(qū)分，采取統(tǒng)一標準。公務機關對個人資料之利用，除第六條第一項所規(guī)定數(shù)據(jù)外，應于執(zhí)行法定職務必要范圍內(nèi)為之，并與搜集之特定目的相符。但有下列情形之一者，得為特定目的外之利用：1.法律明文規(guī)定。2.為維護國家安全或增進公共利益所必要。3.為免除當事人之生命、身體、自由或財產(chǎn)上之危險。4.為防止他人權益之重大危害。5.公務機關或?qū)W術研究機構(gòu)基于公共利益為統(tǒng)計或?qū)W術研究而有必要，且資料經(jīng)過提供者處理后或經(jīng)搜集者依其揭露方式無從識別特定之當事人。6.有利于當事人權益。7.經(jīng)當事人同意。對于非公務機關：非公務機關對個人數(shù)據(jù)之搜集或處理，除第六條第一項所規(guī)定數(shù)據(jù)外，應有特定目的，并符合下列情形之一者：1.法律明文規(guī)定。2.與當事人有契約或類似契約之關系，且已采取適當之安全措施。3.當事人自行公開或其他已合法公開之個人數(shù)急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；督等行為，在合理的范圍內(nèi)處理個人信息；（六）依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；（七）法律、行政法規(guī)規(guī)定的其他情形。依照本法其他有關規(guī)定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規(guī)定情形的，不需取得個人同意。據(jù)。4.學術研究機構(gòu)基于公共利益為統(tǒng)計或?qū)W術研究而有必要，且資料經(jīng)過提供者處理后或經(jīng)搜集者依其揭露方式無從識別特定之當事人。5.經(jīng)當事人同意。6.為增進公共利益所必要。7.個人資料取自于?般可得之來源。但當事人對該數(shù)據(jù)之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。8.對當事人權益無侵害。非公務機關對個人資料之利用，除第六條第一項所規(guī)定資料外，應于搜集之特定目的必要范圍內(nèi)為之。但有下列情形之?者，得為特定目的外之利用：1.法律明文規(guī)定。2.為增進公共利益所必要。3.為免除當事人之生命、身體、自由或財產(chǎn)上之危險。4.為防止他人權益之重大危害。5.公務機關或?qū)W術研究機構(gòu)基于公共利益為統(tǒng)計或?qū)W術研究而有必要，且資料經(jīng)過提供者處理后或經(jīng)搜集者依其揭露方式無從識別特定之當事人。6.經(jīng)當事人同意。7.有利于當事人權益。非公務機關依前項規(guī)定利用個人資料行銷者，當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷。非公務機關于首次行銷時，應提供當事人表示拒絕接受行銷之方式，并支付所需費用。9主體權利第3條數(shù)據(jù)當事人的權利當事人就其個人資料依本法規(guī)定行使之下列權利，不得預先拋棄或以特約限制之：1.查詢或請求閱覽。2.請求制給復制本。3.請求補充或更正。4.請求停止搜集、處理或利用。5.請求刪除。第15-20條當事人同意是個人資料收集利用的程序性條件。第44-50條（一）知情權與決定權；（二）查閱復制權與可攜帶權；（三）更正補充權；（五）解釋說明權；（六）死者個人信息保護權；（七）權利行使請求權。低于中國境內(nèi)保護水平。《個保法》對死者個人信息也賦予了法律保護。當事人同意的要件第7條（一）第十五條第二款及第十九條第一項第五款所稱同意，指當事人經(jīng)搜集者告知本法所定應告知事項后，所為允許之意思表示。（二）第十六條第七款、第二十條第一項第六款所稱同意，指當事人經(jīng)搜集者明確告知特定目的外之其他利用目的、范圍及同意與否對其權益之影響后，基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個人信息應當取得個人單獨同意或者書面同意的，從其規(guī)定。個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應當重新取得個人同低于中國境內(nèi)保護水平。中國境內(nèi)的“同意”必須由當事人明確作出，沒有推定同意。單獨所為之意思表示。（三）公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時，當事人如未表示拒絕，并已提供其個人數(shù)據(jù)者，推定當事人已依第十五條第二款、第十九條第一項第五款之規(guī)定表示同意。（四）搜集者就本法所稱經(jīng)當事人同意之事實，應負舉證責任。意。信息最小化原則該法沒有明確規(guī)定最小化原則，但第5條有類似規(guī)第5條依誠實及信用方法為之，不得逾越特定目的之必要范圍，并應與搜集之目的具有正當合理之關聯(lián)。第6條處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。低于中國境內(nèi)保護水平。重要平臺的特殊義務未作明確規(guī)定。第58條提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者，應當履行下列義務：（一）按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督；（二）遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務提供者低于中國境內(nèi)保護水平。處理個人信息的規(guī)范和保護個人信息的義務；（三）對嚴重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務提供者，停止提供服務；（四）定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督。國際司法協(xié)助未作明確規(guī)定。第41條中華人民共和國主管機關根據(jù)有關法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構(gòu)關于提供存儲于境內(nèi)個人信息的請求。非經(jīng)中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的個人信息。低于中國境內(nèi)保護水平。個人信息跨境的要求第21條非公務機關為國際傳輸個人資料，而有下列情形之一者，中央目的事業(yè)主管機關得限制之：1.涉及國家重大利益;2.國際條約或協(xié)議有特別規(guī)定;3.接受國對于個人數(shù)據(jù)之保護未有完善之法規(guī)，致有損當事人權益之虞;4.以迂回方法向第三國（地區(qū)）傳輸個人數(shù)據(jù)規(guī)避本法。第38條個人信息處理者因業(yè)務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：（一）依照通過國家網(wǎng)信部門組織的安全評估；（二）按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；（三）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義低于中國境內(nèi)保護水平。中國境內(nèi)對數(shù)據(jù)跨境流動的要求更高。務；（四）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行。境內(nèi)存儲的要求未作明確規(guī)定。第36、40條國家機關、關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應當將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)。低于中國境內(nèi)保護水平?！秱€保法》有信息本地化的要求。黑名單制度未作明確規(guī)定。第42條境外的組織、個人從事侵害中華人民共和國公民的個人信息權益，或者危害中華人民共和國國家安全、公共利益的個人信息處理活動的，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單，予以公告，并采取限制或者禁止向其提供個人信息等措施。低于中國境內(nèi)保護水平。《個資法》未明確設定黑名單。對等原則未作明確規(guī)定。第43條任何國家或者地區(qū)在個人信息保護方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實際情況對該國家或者地區(qū)對等采取措施。低于中國境內(nèi)保護水平。過錯歸責及損害公務機關：依法歸責第69條過錯推定原則高于中國境內(nèi)保護水賠償?shù)?8條違反該法有關規(guī)定的賠償責任免責事由僅限于天災、事變及其他不可抗力。非公務機關：依過錯歸責第29條違反該法有關規(guī)定的賠償責任免責事由為無故意或過失者。損害賠償該法統(tǒng)一規(guī)定有財產(chǎn)損害賠償、精神損害賠償和名譽損害賠償三種，并對具體賠償數(shù)額標準劃定范圍。處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑巍Ｇ翱钜?guī)定的損害賠償責任按照個人因此受到的損失或者個人信息處理者因此獲得的利益確定；個人因此受到的損失和個人信息處理者因此獲得的利益難以確定的，根據(jù)實際情況確定賠償數(shù)額。平?！秱€資法》除了財產(chǎn)損害賠償之外，還明確規(guī)定了精神損害賠償與名譽損害賠償，更全面。公益訴訟該法鼓勵公益訴訟。第34條對于同一原因事實造成多數(shù)當事人二十人以上以面授予訴訟實施權者，得以自己之名義，提起損害賠償訴訟。第39條財團法人或公益社團法人依當事人聯(lián)合授權發(fā)起的公益訴訟，不得請求報酬。第34條標的額超過新臺幣六十萬元的公益訴訟，超過部分暫免征裁判費。第70條個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權益的，人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。高于中國境內(nèi)保護水平?！秱€資法》明確鼓勵公益訴訟，并規(guī)定了免訴訟費等具體措施。20行政處罰行政處罰主要針對非公務機關。針對非公務機關的違法收集、處理、利用個人資料的第66條違反本法規(guī)定處理個人信息，或者處理個人信息未履行本法規(guī)定的個人信息保護義務的，由低于中國境內(nèi)保護水平。境內(nèi)處罰力度更重，行為，不履行告知、通知等義務，拒絕目的事業(yè)主管機關進入、檢查或處分，情節(jié)輕微的，由目的事業(yè)主管機關進行行政處罰，非公務機關的代表人、管理人或其他有代表權人的失職行為也應該接受行政處罰。行政處罰的方式是罰款，分為2萬元以上20萬元以下，以及5萬元以上50萬元以下兩個檔次。第50條非公務機關代表人、管理人或其他有代表權人，除能證明已盡防止義務外，應并受同一額度罰款處罰。履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫?；蛘呓K止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。有前款規(guī)定的違法行為，情節(jié)嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款，并可以責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內(nèi)擔任相關企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人。最高可處以五千萬元以下或者上一年度營業(yè)額百分之五以下罰款。21刑事責任該法區(qū)別行為主體是否具有“意圖盈利”這一主觀要件來劃分不同程度的刑事責任。第41條公務機關或非公務機關違法收集、處理或利用（包括目的內(nèi)或目的外利用）個人資料、損害他人權益的，處兩年以下有期徒刑、拘役或科處新臺幣20萬元以下罰款。意圖盈利犯前項之罪者，刑罰則提高到5年以下有期徒刑，得并科新臺幣壹佰萬元以下罰金。第45條意圖盈利侵犯個人資料犯罪不以告訴論處。第44條：特別規(guī)定了公務員犯罪的特殊量刑。公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二分之一。第71條違反本法規(guī)定，構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責任。高于中國境內(nèi)保護水平。《個資法》統(tǒng)一規(guī)定了具體的刑事量刑標準，并對特殊情況進行了特殊規(guī)定。4.新加坡4.1.新加坡《個人數(shù)據(jù)保護法》與中國《個人信息保護法》部分要點對新加坡《個人數(shù)據(jù)保護法》（PDPA）對比分析1適用范圍4.-（1）第3、4、5、6、6A和6B部分不加任何義務（a）以個人或家庭身份行事的任何個人；（b）受雇為某機構(gòu)工作的任何雇員；（d）為本規(guī)定的目的而規(guī)定的任何其他組織或個人數(shù)據(jù)，或其他任何類別的組織或個人數(shù)據(jù)。6A部分（第26C（3）（a）和26E條除外）和6B部分并不就數(shù)據(jù)中介根據(jù)以書面證明或訂立的合同代表另一組織和為該組織目的處理個人數(shù)據(jù)而對其施加任何義務。（3）在本法項下，對于由數(shù)據(jù)中介代表其處理的個人數(shù)據(jù)和為其目的處理的個人數(shù)據(jù)，視同該組織處理的個人數(shù)據(jù)，組織對此負有相同的義務。（4）本法不適用于下列數(shù)據(jù)a）包含在存在至少100年的記錄中的有關個人的個人數(shù)據(jù)；或（b）關于死亡個人的個人數(shù)據(jù)，但有關死亡10年或10年以下者的個人數(shù)據(jù)應適用個人數(shù)據(jù)披露規(guī)定和第24條（個人數(shù)據(jù)保護）的除外。第三十三條國家機關處理個人信息的活動，適用本法；本節(jié)有特別規(guī)定的，適用本節(jié)規(guī)定。第七十二條自然人因個人或者家庭事務處理個人信息的，不適用本法。法律對各級人民政府及其有關部門組織實施的統(tǒng)計、檔案管理活動中的個人信息處理有規(guī)定的，適用其規(guī)定。低于中國境內(nèi)的保護水平。關于不適用個人信息保護法的范圍，PDPA做了更廣的規(guī)定，特別是公共機構(gòu)、保存100年以上的個人信息或者死亡超過10年個人的個人信息。（5）除明確規(guī)定適用于業(yè)務聯(lián)系信息外，第3、4、5、6和6A部分不適用于業(yè)務聯(lián)系信息。6A和6B部分的任何內(nèi)容都不影響法律授予的任何權力、權利、特權或豁免，或法定的義務或限制，包括法律特權，但履行合同義務不構(gòu)成違反本法的免責事由；和（b）第3、4、5、6、6A和6B部分的任何規(guī)定與該其他成文法的規(guī)定不一致的情況下，以其他成文法的規(guī)