GDPR与PIPL对比:欧盟与中国数据隐私法比较(2026年)
GDPR与中国的PIPL在结构上较为相似,但在若干具有实际操作意义的关键节点上存在分歧:PIPL第十三条未将合法利益列为合法依据;就向第三方提供信息及跨境传输须取得单独同意;对处理量较大的处理者实行强制数据本地化;并对负有责任的个人施加个人法律责任。
欧盟《通用数据保护条例》(GDPR)与中国自2021年11月1日起施行的《个人信息保护法》(PIPL),代表着两种根本不同的数据保护理念。两部法律均赋予个人对其个人信息的权利,但PIPL体现了中国对国家权力和数据主权的独特强调。对于同时在这两个司法辖区开展业务的组织而言,合法依据、同意要求、跨境传输规则以及监管架构方面的差异,带来了相当程度的合规复杂性。
本文将对这两套框架进行全面对比,并涵盖两套制度在2025至2026年间的监管动态。
信息最后核实于2026年5月19日。本文尚未经执业律师审阅。
管辖范围: 本文涵盖欧盟《通用数据保护条例》(GDPR,适用于欧洲经济区全部30个成员国)与中国《个人信息保护法》(PIPL,自2021年11月1日起施行),以及中国《网络安全法》(修订版,自2026年1月1日起施行)和《数据安全法》(自2021年9月1日起施行)。本文不涉及美国各州隐私法(相关内容请参阅美国数据隐私法)或其他国家的隐私制度。如需在中国更广泛的法律框架下全面了解PIPL,请参阅我们的中国数据隐私法指南。
GDPR与PIPL概览
下表列出了最具参考价值的对比要点,各章节将随后展开详细分析。
| 特征 | GDPR | PIPL |
|---|---|---|
| 管辖范围 | 欧洲经济区30个成员国 | 中国(中华人民共和国) |
| 生效日期 | 2018年5月25日 | 2021年11月1日 |
| 域外适用效力 | 有(第3条) | 有(第3条) |
| 合法依据 | 6项,含合法利益 | 7项,但不含合法利益 |
| 向第三方共享是否须单独同意 | 否 | 是(第23条) |
| 数据本地化 | 不要求 | 关键信息基础设施运营者及处理量较大的处理者须遵守 |
| 跨境传输机制 | 充分性认定、标准合同条款、有约束力的公司规则、认证、豁免情形 | 安全评估、标准合同(向网信办备案)、认证 |
| 最高罚款(机构) | 2000万欧元或全球营业额4% | 人民币5000万元或上一年度营业额5% |
| 个人责任(自然人) | 一般不施加 | 有:最高人民币100万元;可被限制从业 |
| 监管机构 | 各国数据保护机构+EDPB | 网信办(牵头)+工业和信息化部、公安部、国家市场监督管理总局、金融监管部门 |
| 权利请求回应时限 | 1个月(可延长) | “及时”(无固定期限) |
| 已故者近亲属的权利 | 无 | 有(第49条) |
| 强制合规审计 | 不要求 | 有:处理超1000万人信息的处理者须每2年一次(自2025年5月1日起施行) |
背景与立法沿革
GDPR源于欧洲将隐私视为基本权利的传统,这一理念被载入《欧盟基本权利宪章》第8条。GDPR取代了1995年的《数据保护指令》,自2018年5月25日起在欧洲经济区30个国家实现了数据保护规则的统一。
中国的PIPL是规范网络安全、数据安全和个人信息的三大支柱法律之一,另外两部是《网络安全法》(CSL)和《数据安全法》(DSL,自2021年9月1日起施行)。这三部法律共同构成了规范信息进出中国的综合性框架。PIPL由全国人大常委会于2021年8月20日通过,自2021年11月1日起施行。
PIPL在结构上与GDPR存在相似之处,中国监管部门在起草过程中曾研究欧洲模式。不过,PIPL同时也受到中国在数据主权、国家安全以及大型科技平台监管方面独特政策目标的塑造。其结果是:这部法律在结构上看似相近,但在若干实际操作层面最为关键的细节上,却存在显著差异。
适用范围与域外适用
两部法律均具有域外适用效力,但实现机制有所不同。
GDPR第3条适用于设立在欧洲经济区内的组织,以及位于欧洲经济区之外、但向欧洲经济区内个人提供商品或服务,或者监测其行为的组织。落入适用范围的非欧盟组织,须依据第27条指定一名欧盟代表。
PIPL第三条适用于在中国境内开展的一切个人信息处理活动,同时也适用于境外发生的、以下述目的实施的处理活动:向中国境内个人提供产品或服务,分析、评估中国境内个人的行为,或者法律规定的其他情形。落入适用范围的境外组织,须在中国境内设立专门机构或者指定代表,负责个人信息保护相关事宜(PIPL第五十三条)。
两者在实际执法手段上有所不同。欧盟主要依靠制裁、处理禁令,以及针对欧盟向第三国传输的充分性机制。而中国可以直接限制不合规境外组织的市场准入,这使PIPL具备了GDPR所不具备的执法触角。
广州互联网法院于2024年秋季作出了首例关于PIPL域外适用的公开判决。一名中国酒店住客起诉一家未具名的法国酒店集团,原因是该集团在未取得PIPL第二十三条所要求的单独同意的情况下,即将其个人信息提供给第三方。法院认定该酒店集团须承担责任。该案确认,中国法院将对境外组织处理中国居民数据的行为适用PIPL标准。
定义与受保护数据
| 术语 | GDPR | PIPL |
|---|---|---|
| 受保护的个人 | 数据主体 | 个人(个人信息主体) |
| 受保护数据 | 个人数据 | 个人信息 |
| 敏感数据 | 特殊类别(第9条) | 敏感个人信息(第28条) |
| 数据收集方 | 控制者 | 个人信息处理者 |
| 处理代理方 | 处理者 | 受托方 |
| 隐私负责人 | 数据保护官(DPO) | 个人信息保护负责人 |
PIPL将个人信息界定为以电子或者其他方式记录的、与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。GDPR对个人数据的定义在实质内容上与此相当。
PIPL的敏感个人信息类别(第二十八条)涵盖生物识别信息、宗教信仰、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息,以及不满14周岁未成年人的个人信息。GDPR的特殊类别(第9条)涵盖种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份、基因数据、生物识别数据、健康数据、性生活和性取向数据。PIPL将未成年人数据和金融账户数据纳入敏感类别;GDPR则额外纳入了政治观点、工会成员身份和性取向。
处理的合法依据
GDPR第6条提供六项合法依据:同意、合同履行、法定义务、切身利益、公共任务,以及合法利益。
PIPL第十三条规定了个人信息处理者可以处理个人信息的七种情形。其中最关键的缺失,是不包含合法利益这一依据。
| 合法依据 | GDPR | PIPL |
|---|---|---|
| 同意 | 有(第6(1)(a)条) | 有(第十三条第1项) |
| 合同履行 | 有(第6(1)(b)条) | 有(第十三条第2项) |
| 法定义务 | 有(第6(1)(c)条) | 有(第十三条第3项:法定职责或法定义务) |
| 切身利益 | 有(第6(1)(d)条) | 部分涵盖,通过突发事件相关条款体现 |
| 公共利益 | 有(第6(1)(e)条) | 有(第十三条第5项:新闻报道、舆论监督等) |
| 合法利益 | 有(第6(1)(f)条) | 不适用 |
| 突发公共卫生事件 | 由切身利益依据涵盖 | 有(第十三条第4项) |
| 已公开数据 | 仍须具备合法依据 | 有(第十三条第6项:在合理范围内) |
| 其他法律规定情形 | 不适用 | 有(第十三条第7项) |
PIPL不设合法利益依据,是跨国组织所面临的最重大实际差异之一。在GDPR之下,合法利益是直接营销、反欺诈、网络与信息安全、集团内部数据共享以及数据分析等活动最常援引的合法依据。而在PIPL之下,组织通常须为这些活动取得同意,或者对其加以调整,使其落入另一项列举依据的范围之内。
同意要求:单独且细化
PIPL的同意要求比GDPR更为细化。两部法律均要求同意须自愿给予、具体、知情,并且撤回的便利程度须与作出时相当。
PIPL的要求更进一步,在以下五种特定情形下要求取得单独同意(这是高于一般同意的标准):
- 向第三方提供个人信息(第二十三条)
- 公开披露个人信息(第二十五条)
- 处理敏感个人信息(第二十九条)
- 向中国境外传输个人信息(第三十九条)
- 将公共场所监控设备采集的图像或个人身份识别信息用于非公共安全目的(第二十六条)
GDPR仅就第9条项下的特殊类别个人数据,以及作为第49条项下国际传输豁免情形,要求取得明确同意。PIPL就第三方共享和公开披露所设定的单独同意要求,超出了GDPR的相应规定。
| 同意特征 | GDPR | PIPL |
|---|---|---|
| 一般同意 | 自由给予、具体、知情、明确(第7条) | 自愿、明确、充分知情(第十四条) |
| 敏感数据/特殊类别 | 须取得明确同意(第9条) | 须取得单独同意(第二十九条) |
| 跨境传输 | 若采用其他机制则无需同意(第46条) | 无论采用何种机制均须取得单独同意(第三十九条) |
| 第三方共享 | 一般同意即可 | 须取得单独同意(第二十三条) |
| 公开披露 | 一般同意即可 | 须取得单独同意(第二十五条) |
| 儿童数据 | 16岁以下须经父母同意(成员国可将年龄降至13岁) | 不满14周岁须经父母或其他监护人同意(第三十一条) |
| 撤回同意 | 须与作出同意一样便利(第7(3)条) | 遵循相同原则(第十五条) |
| 捆绑同意 | 须具体明确;就不相关目的进行捆绑属于无效 | 禁止捆绑同意(第十七条) |
个人权利:PIPL第44条至第50条对比GDPR第三章
两部法律均赋予个人对其个人信息的实质性权利,PIPL在结构上大体遵循GDPR第三章的框架,但在时限和适用范围上有所不同。
PIPL第四十四条至第五十条规定的权利包括:
- 知情权与决定权(第四十四条):个人可以限制或者拒绝他人对其个人信息进行处理。这对应于GDPR的反对权(第21条)和限制处理权(第18条)。
- 查阅权(第四十五条):个人可以查阅某组织所持有的其个人信息副本。GDPR中的对应规定为第15条。
- 更正权(第四十六条):个人可以请求更正不准确的个人信息。GDPR中的对应规定为第16条。
- 删除权(第四十七条):当处理目的已实现、保存期限已届满、同意已被撤回、处理行为违法,或者存在其他情形时,组织须删除相应个人信息。GDPR中的对应规定为第17条。
- 可携带权(第四十五条):个人可以请求将其个人信息转移至另一处理者,但仅限于符合网信办规定条件的情形。GDPR第20条的可携权则更广泛地适用于以同意或合同为依据的处理活动。
- 关于自动化决策的权利(第二十四条):当自动化决策对个人权益有重大影响时,个人可以请求说明,并可以拒绝仅通过自动化方式作出的决定。GDPR第22条针对自动化个人决策规定了适用范围相近的权利。
- 已故者近亲属的权利(第四十九条):已故个人的近亲属可以为了自身的合法、正当利益,行使查阅、复制、更正、删除等权利。GDPR对此并无对应规定。
| 权利 | GDPR | PIPL |
|---|---|---|
| 知情权 | 第13条至第14条(收集时) | 第十七条(收集时须履行告知义务) |
| 访问权 | 第15条(1个月内回应) | 第四十五条(“及时”回应) |
| 更正权 | 第16条 | 第四十六条 |
| 删除权 | 第17条 | 第四十七条 |
| 限制处理权 | 第18条 | 第四十四条(限制或拒绝) |
| 数据可携权 | 第20条(适用范围较广) | 第四十五条(须符合网信办规定条件) |
| 反对处理权 | 第21条 | 第四十四条 |
| 自动化决策 | 第22条 | 第二十四条 |
| 回应时限 | 1个月,可延长至3个月(第12条) | “及时”,无法定期限 |
| 已故者近亲属 | 无相关规定 | 第四十九条 |
PIPL未设定固定回应期限,导致执法层面出现不对称性。在中国境内运营的组织无法围绕某一具体的法定期限规划其请求回应机制,而行使权利的个人对何时能够收到回应,也缺乏明确的预期。
监管架构:EDPB/数据保护机构对比网信办多部门监管模式
两套框架采用的监管架构存在根本性差异。
在GDPR之下,每个欧盟成员国均须指定一个或多个国家级监管机构(数据保护机构)。这些数据保护机构须保持完全独立,并公正行使职权(第52条)。对于在多个欧盟成员国开展业务的组织,“一站式”机制(第56条)允许由该组织主要设立地所在成员国的数据保护机构,就跨境处理活动担任牵头监管机构。欧洲数据保护委员会(EDPB)负责协调各国数据保护机构之间的一致性、就跨境争议作出具有约束力的裁决,并发布指南、建议和意见,从而影响各数据保护机构在整个欧洲经济区执行GDPR的具体方式。
中国PIPL采用第六十条所规定的多部门监管模式。不存在与一国数据保护机构地位相当的单一机构。国家互联网信息办公室(网信办,CAC)发挥牵头协调作用。其他监管部门则在各自指定领域内行使职权:
- 工业和信息化部(MIIT):负责应用程序、电信、互联网服务和软件相关事务
- 公安部:负责与安全相关的个人信息处理、监控及人脸识别相关事务
- 国家市场监督管理总局(SAMR):负责面向消费者的产品和服务及电子商务相关事务
- 金融监管部门(中国人民银行、国家金融监督管理总局、中国证监会):负责其监管机构所处理的金融数据
- 卫生主管部门:负责健康和医疗数据
- 各部门的地方对口机构:负责省级和市级层面的执法工作
2025年,网信办牵头,联合工业和信息化部及公安机关开展了多部门协同执法行动,针对六大高发领域:移动应用和小程序、软件开发工具包(SDK)、智能终端、公共场所人脸识别、线下消费场景,以及涉数据犯罪活动。
对于同时受两套框架约束的组织而言,这一实际差异颇为显著。在GDPR之下,企业可以根据其在欧盟的主要设立地确定牵头数据保护机构,并主要与该机构对接。在PIPL之下,监管职责分散于各行业监管部门之间,多个部门可能对同一组织的活动拥有并行管辖权。
政府获取个人数据
这是两套框架之间理念分歧最大的领域。
GDPR通过必要性和相称性原则(第23条)限制政府获取个人数据。欧盟法律要求政府监控须接受司法或独立机构的监督。欧盟法院(CJEU)曾以境外政府数据访问未受到充分限制为由,撤销国际传输机制,其中包括2020年撤销的欧美“隐私盾”框架(“施雷姆斯二案”)。
中国的框架要求各方与政府机构开展广泛合作。《国家情报法》(2017年)第七条要求一切组织和公民“支持、协助、配合国家情报工作”。2023年经实质性修订的《反间谍法》,扩大了不得向境外传输的信息类别。PIPL第三十五条规定,国家机关为履行法定职责处理个人信息,须遵守PIPL的相关要求,但《国家情报法》、《数据安全法》(规范涉及国家利益的“重要数据”),以及修订后的CSL共同构成了广泛的国家数据访问义务。
欧洲数据保护委员会已将第三国的政府数据访问制度列为组织在开展传输影响评估时须予以权衡的因素之一。欧盟至今未对中国作出充分性认定,部分原因即在于对上述条款的担忧。截至2026年5月,欧盟与中国之间并未开展任何充分性谈判。
跨境数据传输
跨境传输规则是两套框架之间在实际操作层面差异最为悬殊的领域之一。
GDPR允许通过以下方式进行传输:充分性认定(第45条)、标准合同条款(SCC,第46条)、有约束力的公司规则(BCR,第47条)、行为准则与认证(第40条至第42条),或者针对特定情形的豁免(第49条)。组织可以采用多种途径,具有相当大的灵活性,且没有任何一种传输机制要求事先向政府监管机构备案。
PIPL第三十八条确立了三种传输机制,其中两种须强制接受政府参与:
| 传输机制 | GDPR | PIPL |
|---|---|---|
| 充分性认定 | 有(第45条) | 不适用 |
| 标准合同条款 | 有(第46条);无需政府备案 | 有(第三十八条第3项);须向网信办备案 |
| 网信办安全评估 | 不要求 | 关键信息基础设施运营者及处理量较大的处理者须适用 |
| 机构认证 | 有(第42条) | 有(第三十八条第2项);由网信办认可机构实施;网信办与国家市场监督管理总局联合办法自2026年起施行 |
| 有约束力的公司规则 | 有(第47条) | 未明确规定 |
| 数据主体同意 | 仅作为豁免情形(第49条) | 所有传输均须单独取得(第三十九条) |
网信办安全评估对关键信息基础设施运营者强制适用,对于非关键信息基础设施运营者,如果其在上一年度处理超过10万人个人信息、处理超过1万人敏感个人信息,或者累计向境外传输超过100万人个人信息,同样须强制适用。未达到上述门槛的组织,可以选择标准合同路径(须向网信办备案)或认证路径。
网信办与国家市场监督管理总局于2025至2026年间联合发布《个人信息出境认证办法》,正式确立了认证路径。认证机构须在获得国家市场监督管理总局批准后10个工作日内向网信办完成登记。这一举措完善了PIPL自颁布以来一直设想的三条传输路径框架。
无论采用哪种机制,PIPL第三十九条均要求组织在每次跨境传输前,单独告知个人信息主体并取得其单独同意。这一要求在GDPR中并无对应规定。
数据本地化
PIPL与CSL、DSL共同施加了数据本地化要求,这在GDPR中并无对应规定。
关键信息基础设施运营者须将其在中国境内收集和产生的个人信息存储在中国境内(PIPL第四十条;CSL第三十七条)。达到安全评估门槛的非关键信息基础设施个人信息处理者,同样须在境内存储数据,且仅可在通过网信办安全评估后方可向境外传输数据。修订后的CSL(自2026年1月1日起施行)扩大了承担本地化相关义务的网络运营者范围,并使违规处罚结构与PIPL的分级罚款保持一致。
GDPR不包含任何数据本地化要求。数据可以在欧洲经济区内自由流动,向欧洲经济区以外的跨境传输则可通过上述机制进行。GDPR并不要求在欧盟境内保留个人数据的副本。
这一分歧给运营欧盟与中国一体化数据系统的组织带来了结构性合规难题。为中国和欧洲业务分别维护独立的数据孤岛,是最常见的解决方案,但这需要持续投入基础设施成本,并限制了数据集中化所带来的运营效益。
执法与处罚
两套框架均设有严厉的处罚措施,但PIPL的个人责任条款,使其对个人高管而言具有独特的严厉性。
| 执法维度 | GDPR | PIPL |
|---|---|---|
| 主要执法机构 | 30多个国家级数据保护机构,由EDPB协调 | 网信办(牵头)+工业和信息化部、公安部、国家市场监督管理总局、金融监管部门 |
| 一般行政罚款 | 最高1000万欧元或全球年营业额2%(第83(4)条) | 对机构最高人民币100万元 |
| 严重情节行政罚款 | 最高2000万欧元或全球年营业额4%(第83(5)条) | 最高人民币5000万元或上一年度营业额5% |
| 个人责任 | 一般不施加 | 对负有责任的个人处以人民币10万元至100万元罚款 |
| 从业禁止 | 一般不施加 | 可禁止担任董事、监事或高级管理人员 |
| 服务暂停 | 可能实施处理禁令 | 主管部门可责令停止服务或吊销许可证 |
| 纳入信用记录 | 不适用 | 违法行为记入组织及责任人员的信用档案(第六十七条) |
| 数据泄露通知 | 72小时内通知监管机构(第33条) | “立即”通知主管部门(第五十七条) |
GDPR执法力度持续加大:自2018年5月以来,累计开出罚款截至2025年初已超过56.5亿欧元。2024年具有代表性的执法行动包括:爱尔兰LinkedIn(爱尔兰数据保护委员会处以3.1亿欧元罚款,涉及行为定向广告)、Uber(荷兰数据保护机构处以2.9亿欧元罚款,涉及欧美传输保障措施不足),以及Meta(爱尔兰数据保护委员会处以2.51亿欧元罚款,涉及2018年数据泄露事件)。自2018年以来,爱尔兰数据保护委员会累计开出罚款已超过35亿欧元,主要针对在爱尔兰设有欧盟主要设立地的大型美国科技公司。
PIPL执法力度同样在不断扩大。2024年,网信办约谈了11,159个平台,对4,046个平台处以罚款或警告,并关闭了10,946个网站。具有代表性的案例包括迪奥上海子公司(2025年9月,因未经授权的跨境数据传输、同意不充分及安全措施不足而受到处罚)以及广州互联网法院作出的首例PIPL域外适用判决(2024年秋,认定一家法国酒店集团因未取得单独同意即传输客人数据而须承担责任)。
中国更广泛的数据法律体系:CSL、DSL与PIPL
在中国境内开展业务的组织,须面对与PIPL相互衔接的三部法律。
《网络安全法》(CSL,修订版自2026年1月1日起施行)。 CSL最初于2017年颁布,规范网络运营者和关键信息基础设施运营者。全国人大常委会于2025年10月28日通过了对该法的修订,修订后的CSL自2026年1月1日起施行。修订后CSL的主要变化包括:
- 分级处罚结构:对特别严重的违法行为,企业最高罚款可达人民币1000万元,个人最高罚款可达人民币100万元(此前的上限较低)
- 首次纳入AI治理条款:第二十条在促进AI研发和训练数据发展的同时,要求建立AI伦理标准、风险监测以及针对AI相关威胁的安全措施
- 扩大域外适用范围:修订后的法律涵盖任何“危害中国网络安全”的境外组织或个人的活动,适用范围比此前仅聚焦于危害关键信息基础设施的活动更为宽泛
- 供应链义务:关键信息基础设施运营者若使用未经授权的网络产品,将面临采购金额1至10倍的罚款;采购方与供应方如今均须承担直接的法律义务
- 从轻情节:新增第七十三条,对及时改正、主动披露,或者情节轻微且全力配合的违法行为,允许从轻处罚
《数据安全法》(DSL,自2021年9月1日起施行)。 DSL规范个人信息以外的数据,具体包括涉及国家利益的“重要数据”和“核心数据”。该法要求组织按重要程度对数据进行分类分级,实施与分级相适应的安全措施,并在向境外传输重要数据或核心数据前取得政府批准。DSL适用于中国境内的数据处理活动,依据第二条,也适用于境外损害中国国家安全、公共利益,或者公民、组织合法权益的活动。
PIPL。 专门规范个人信息,其义务叠加于DSL的数据安全要求之上。同一项数据(例如一个中国消费者数据库)可能同时触发这三部法律项下的义务。
对于境外组织而言,修订后CSL扩大的域外适用范围意味着,如今不仅个人信息处理活动,任何影响中国网络的网络安全相关活动,均可能使境外组织直接置于中国监管管辖之下。
近期动态(2025至2026年)
《个人信息保护合规审计管理办法》(自2025年5月1日起施行)。 网信办于2025年2月14日发布该办法。处理超过1000万人个人信息的组织,须至少每两年主动开展一次合规审计。当处理活动涉及重大风险、对个人权益造成广泛影响,或者发生影响100万人以上的重大安全事件时,监管部门也可以责令任何组织开展强制审计。审计内容涵盖:合法依据、告知与同意、跨境传输合规情况、自动化决策、敏感数据处理、保存与删除、数据主体请求处理程序,以及事件响应机制。同一家第三方审计机构不得对同一组织开展超过三次审计。
跨境认证办法(自2026年起施行)。 网信办与国家市场监督管理总局联合发布《个人信息出境认证办法》,完善了PIPL第三十八条所设想的三条传输路径框架。认证路径适用于每年传输10万至100万条个人信息记录(或低于1万条敏感信息记录)的非关键信息基础设施运营者。认证机构须在获得国家市场监督管理总局批准后10个工作日内向网信办完成登记。
修订后《网络安全法》(自2026年1月1日起施行)。 如前文所述,修订后的CSL引入了分级处罚、AI治理、扩大的域外适用范围,以及新的供应链义务。对于已受PIPL约束的组织而言,修订后的CSL在网络和网络安全义务方面增加了一个额外的合规层次。
GDPR执法走向(2024至2025年)。 仅2024年一年,GDPR罚款总额即超过12亿欧元,执法范围已从大型科技公司扩展至金融服务和能源行业。欧洲数据保护委员会更多地运用第65条紧急程序,加快了跨境案件的处理速度。
双重合规指引
同时受GDPR和PIPL约束的组织,在若干关键领域面临冲突。以下清单列出了最可能需要作出结构性合规抉择的分歧点。
| 问题 | GDPR要求 | PIPL要求 | 合规策略 |
|---|---|---|---|
| 营销活动的合法依据 | 合法利益或同意 | 同意(不含合法利益) | 针对中国须取得同意;针对欧盟,若通过权衡测试,可采用合法利益 |
| 第三方数据共享 | 一般同意或其他合法依据 | 单独同意 | 建立细化的同意交互流程,专门就共享行为取得单独同意 |
| 从中国的跨境传输 | 不适用(数据进入欧盟仅须具备GDPR依据) | 安全评估、标准合同或认证;须取得单独同意 | 未达门槛者采用标准合同+网信办备案;关键信息基础设施运营者及处理量较大者须进行安全评估;任何情形下均须取得单独同意 |
| 数据本地化(中国) | 不要求 | 关键信息基础设施运营者及超过门槛的处理者须遵守 | 维护独立的中国境内数据基础设施;尽量减少跨境传输 |
| 政府数据访问请求的应对 | 须评估必要性和相称性;欧盟代表应及时上报 | 须配合情报和安全机关 | 在中国境内的法律实体承担直接义务;欧盟实体如收到来自中国的数据访问请求,应咨询欧盟法律意见 |
| DPO/隐私负责人 | 公共机构、大规模监控、敏感数据处理须任命DPO | 超过网信办门槛(目前为处理超过100万人信息)须任命个人信息保护负责人 | 在欧盟任命DPO;在中国任命个人信息保护负责人;两者职能可能有所重叠,但职责各自独立 |
| 权利请求回应时限 | 须于1个月内回应 | 须“及时”回应 | 为满足GDPR要求,对所有请求争取30天内回应;同时记录PIPL项下的实际回应时间 |
| 数据泄露通知 | 72小时内通知数据保护机构;高风险情形须及时通知个人 | “立即”通知主管部门;及时通知个人 | 事件响应预案应以当日通知监管部门为目标以满足PIPL要求;72小时期限可覆盖GDPR要求 |
| 合规审计 | GDPR未强制要求;作为问责措施予以建议 | 处理超1000万人信息者须每2年强制审计一次 | 将审计周期纳入合规日程;与GDPR问责文档保持衔接 |
许多跨国组织通过以下方式应对GDPR与PIPL之间的冲突:为中国和欧洲业务分别运营独立的数据处理环境、尽量减少两个司法辖区之间的跨境传输需求,并针对每套制度分别维护独立的同意记录。
如需深入了解GDPR框架,请参阅我们的欧盟数据隐私法完整指南。如需全面了解中国的隐私框架,请参阅我们的中国数据隐私法指南。
免责声明
本文就欧盟《通用数据保护条例》与中国《个人信息保护法》提供一般性法律信息,不构成法律意见。文中信息反映截至2026年5月19日的法律状况。这两套框架均仍在通过实施细则、监管指南和执法行动不断演变。受GDPR或PIPL约束的组织,应就其具体情况咨询相关司法辖区具有执业资格的律师。
引用权威资料
- 《中华人民共和国个人信息保护法》(PIPL),2021年8月20日通过,2021年11月1日起施行。http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
- 《(欧盟)2016/679号条例》(《通用数据保护条例》),第3、6、7、9、12至22、27、33至34、37至39、45至49、52、56、83条。https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- 《中华人民共和国网络安全法》(CSL),原始版本自2017年6月1日起施行;修订版自2026年1月1日起施行。http://www.npc.gov.cn/npc/c12435/201611/9b4396b62c9e4b16b3b42d109e41c02e.shtml
- 《中华人民共和国数据安全法》(DSL),自2021年9月1日起施行。http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
- 《中华人民共和国国家情报法》第七条(2017年)。可通过China Law Translate查阅:https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-peoples-republic-of-china-2017/
- 国家互联网信息办公室(网信办)。《个人信息保护合规审计管理办法》,2025年2月14日发布,2025年5月1日起施行。https://www.cac.gov.cn/
- 欧洲数据保护委员会(EDPB)。指南、建议及意见文件。https://edpb.europa.eu/edpb_en
- 欧盟委员会。充分性认定。https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
- DLA Piper Privacy Matters。中国:自2025年5月1日起施行的强制性数据保护合规审计(2025年2月)。https://privacymatters.dlapiper.com/2025/02/china-mandatory-data-protection-compliance-audits-from-1-may-2025/
- DLA Piper Privacy Matters。中国:跨境数据传输认证规定草案公布(2025年1月)。https://privacymatters.dlapiper.com/2025/01/7523/
- Linklaters Tech Insights。中国2025年《网络安全法》修订:处罚力度加强、域外适用范围扩大及AI治理。https://techinsights.linklaters.com/post/102lrz5/chinas-2025-cybersecurity-law-amendments-enhanced-penalties-expanded-extraterr
- IAPP。解析中国PIPL及其与欧盟GDPR的比较。https://iapp.org/news/a/analyzing-chinas-pipl-and-how-it-compares-to-the-eus-gdpr
- IAPP。PIPL域外适用首案凸显关键合规重点。https://iapp.org/news/a/first-case-on-pipl-s-extraterritorial-scope-highlights-key-compliance-priorities
- IAPP。中国隐私合规实践案例研究:迪奥事件的警示。https://iapp.org/news/a/a-case-study-in-china-privacy-operations-the-dior-wake-up-call
- Baker McKenzie Resource Hub。中国:监管机构、执法重点与处罚。https://resourcehub.bakermckenzie.com/en/resources/global-data-and-cyber-handbook/asia-pacific/china/topics/regulators-enforcement-priorities-and-penalties
- DLA Piper GDPR罚款与数据泄露调查报告:2025年1月。https://www.dlapiper.com/en-us/insights/publications/2025/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2025
最后更新:2026年5月19日。文中引用的法律均反映截至2026年5月19日的现行有效版本。
Frequently Asked Questions
PIPL是否比GDPR更为严格?
在若干方面确实如此。PIPL规定的最高罚款比例更高(营业额5%对4%)、对负有责任的个人施加个人责任(最高人民币100万元,并可限制从业)、对关键信息基础设施运营者及处理量较大者强制要求数据本地化、跨境传输须经政府安全评估,且就第三方共享和公开披露设有单独同意要求。而GDPR在其他方面则更为严格:其对DPO独立性的规定更为详尽、要求在固定的1个月期限内回应权利请求(相比之下PIPL仅要求“及时”回应),并且通过更强的司法监督要求,对政府获取个人数据施加了更多限制。
PIPL是否适用于中国境外的公司?
适用。PIPL第三条具有域外适用效力,适用于境外组织为向中国境内个人提供产品或服务,或者分析、评估中国境内个人的行为而处理个人信息的情形。此类组织须依据第五十三条在中国境内设立专门机构或者指定代表。广州互联网法院2024年秋作出的判决确认,中国法院将对境外组织处理中国居民数据的行为适用PIPL标准,这是关于PIPL域外适用的首例公开判决。
中国PIPL下的三条跨境传输路径分别是什么?
PIPL第三十八条规定了三条路径:(1)网信办安全评估,对关键信息基础设施运营者,以及上一年度处理超过10万人个人信息、处理超过1万人敏感个人信息,或者累计向境外传输超过100万人数据的组织强制适用;(2)向网信办备案的标准合同;以及(3)由网信办认可机构实施的认证,该路径已通过网信办与国家市场监督管理总局联合发布的认证办法(自2026年起施行)正式确立。无论采用哪种路径,所有跨境传输均须取得数据主体的单独同意(第三十九条)。
为什么PIPL不将合法利益列为合法依据?
PIPL不设合法利益依据,体现了一项政策选择,即限制组织在无需取得同意的情况下自行判断处理是否合法的裁量空间。在GDPR之下,合法利益允许组织基于自身对其利益与个人权利之间的权衡评估来处理数据。中国的做法则体现于PIPL第十三条,要求处理活动必须落入七项列举依据之一,从而使监管部门对何种处理活动属于允许范围拥有更具可预测性的权限。企业若在GDPR下就营销、数据分析或反欺诈活动依赖合法利益,在中国就相同活动须取得同意,或者另行寻找第十三条项下的其他依据。
中国是否获得了欧盟的充分性认定?
尚未获得。截至2026年5月,欧盟委员会尚未对中国作出充分性认定,也没有正在进行的充分性谈判。相关担忧主要集中于中国的政府数据访问制度,尤其是《国家情报法》第七条要求组织配合情报工作的规定,以及《反间谍法》对数据出境的限制。这些条款使欧盟委员会难以认定中国提供的保护水平与GDPR“实质等同”。从欧盟向中国的传输,须采用标准合同条款或第46条项下的其他机制,并辅以传输影响评估。
PIPL合规审计办法有哪些要求?
网信办颁布的《个人信息保护合规审计管理办法》自2025年5月1日起施行,要求在中国境内处理超过1000万人个人信息的组织,至少每两年主动开展一次合规审计。审计须涵盖处理的合法依据、同意程序、跨境传输合规情况、自动化决策、敏感数据处理、保存与删除、数据主体请求处理流程,以及事件响应机制。监管部门也可以对被认定存在重大风险或发生重大事件的任何组织责令进行强制审计。同一家第三方审计机构不得对同一组织开展超过三次审计。
2026年中国《网络安全法》发生了哪些变化?
全国人大常委会于2025年10月28日通过了对《网络安全法》的修订,修订版自2026年1月1日起施行。主要变化包括:分级处罚(对特别严重的违法行为,企业最高罚款人民币1000万元,个人最高罚款人民币100万元);首次纳入法定AI治理条款(在支持AI发展的同时要求建立伦理标准和风险监测机制);扩大域外适用范围(如今涵盖任何危害中国网络安全的境外组织的活动,而不仅限于与关键基础设施相关的活动);强化供应链安全义务;以及新增及时改正的从轻情节。修订后的CSL与DSL、PIPL相互衔接,共同构成中国数据治理的三法框架。
与GDPR相比,PIPL赋予了个人哪些权利?
PIPL第四十四条至第五十条所规定的权利,大体与GDPR第三章相对应:知情权与决定权(类似于GDPR的反对权和限制处理权)、查阅权、更正权、删除权、数据可携权(须符合网信办规定条件),以及对自动化决策要求说明的权利。PIPL的一项独特规定是第四十九条,允许已故个人的近亲属为了自身的合法、正当利益行使查阅、更正和删除权,这在GDPR中并无对应规定。一项关键差异在于回应时限:GDPR要求在1个月内回应(第12条);PIPL则仅要求“及时”回应,没有固定的法定期限。
中国的多部门监管模式与欧盟的数据保护机构体系有何不同?
在GDPR之下,每个欧盟成员国均设有一个或多个独立的数据保护机构,并由欧洲数据保护委员会(EDPB)通过“一站式”机制加以协调。一家在爱尔兰设有欧盟主要设立地的公司,就跨境案件主要与爱尔兰数据保护委员会对接。中国PIPL则在第六十条项下采用多部门监管模式:网信办发挥牵头作用,但工业和信息化部、公安部、国家市场监督管理总局及金融监管部门,均在各自领域内执行PIPL。地方对口机构同样拥有执法权限。多个部门可能对同一组织的活动拥有并行管辖权,不存在与“一站式”机制相当的安排。
中国PIPL下的“单独同意”是什么?
PIPL就以下五类特定活动要求取得“单独同意”:向第三方提供个人信息(第二十三条)、公开披露个人信息(第二十五条)、处理敏感个人信息(第二十九条)、向中国境外传输个人信息(第三十九条),以及将公共监控设备采集的图像用于非安全目的(第二十六条)。单独同意是高于一般同意的标准,不得与一般性条款条件或其他处理活动的同意进行捆绑。即便个人已就该组织的处理活动作出过一般性同意,组织仍须就上述每项活动分别取得明确、具体的同意。
Sources and References
- PIPL全文(中华人民共和国个人信息保护法)(npc.gov.cn).gov
- GDPR全文(《(欧盟)2016/679号条例》)(eur-lex.europa.eu).gov
- 中国《网络安全法》(2017年颁布,修订版自2026年1月1日起施行)(npc.gov.cn).gov
- 中国《数据安全法》(DSL,自2021年9月1日起施行)(npc.gov.cn).gov
- 《中华人民共和国国家情报法》第七条(China Law Translate译本)(chinalawtranslate.com)
- 国家互联网信息办公室(网信办)(cac.gov.cn).gov
- 欧洲数据保护委员会(EDPB)(edpb.europa.eu).gov
- 欧盟委员会充分性认定(commission.europa.eu).gov
- DLA Piper:中国自2025年5月1日起施行的强制性数据保护合规审计(privacymatters.dlapiper.com)
- DLA Piper:中国跨境数据传输认证规定草案(2025年1月)(privacymatters.dlapiper.com)
- Linklaters:中国2025年《网络安全法》修订(techinsights.linklaters.com)
- IAPP:解析中国PIPL及其与欧盟GDPR的比较(iapp.org)
- IAPP:PIPL域外适用首案(iapp.org)
- IAPP:中国隐私合规实践案例研究(迪奥事件警示)(iapp.org)
- Baker McKenzie:中国监管机构、执法重点与处罚(resourcehub.bakermckenzie.com)
- DLA Piper GDPR罚款与数据泄露调查报告:2025年1月(dlapiper.com)