在上期數據隱私和匿名化系列文章中，我們主要分享了《中國個人信息保護法》（PIPL）和《歐盟通用數據保護條例》（GDPR）在涵蓋范圍、定義、敏感信息等方面的異同點，今天，我們將重點分析PIPL與GDPR在數據處理行為及其基礎合法性方面的異同，旨在幫助車企更準確地把握數據隱私保護法規的要求，有效應對相關挑戰，推動自動駕駛行業健康發展。

一、PIPL和GDPR的異同點

1、數據處理行為定義

兩部法規（PIPL和GDPR）均明確界定了不同的數據處理行為，這些行為將觸發各自法規的管理范疇。此處所提及的信息，已不再局限于敏感信息，而是涵蓋了兩部法規所規定的所有相關信息。

在英文版的PIPL中，數據處理行為被表述為“Handling”，而GDPR則使用“Processing”一詞，兩者在本質上并無區別。然而，在數據處理行為的定義上，兩部法規卻存在些許差異。

PIPL中的“Handling”涵蓋了收集、存儲、使用、加工、傳輸、披露以及刪除個人信息等一系列行為。相較于PIPL，GDPR關于數據處理行為的定義則更為詳盡，除了包含上述相同的行為外，還涉及到了個人數據的檢索、咨詢等多個方面。

但實際上，當我們深入探討PIPL中定義的數據處理行為時，相關法律專家指出：“在中國境內處理個人信息時，GDPR所涵蓋的任何數據行為都需要被納入考慮范圍，即使PIPL并未完全列舉出所有要點。”

由此可見，在各自司法管轄區域內處理相關數據時，任何數據處理行為都將受到該區域法律條例的約束。

2、數據處理基礎合法性

為了進一步對比數據處理行為的異同，我們在此列舉了中國的《個人信息保護法》（PIPL）與歐盟的《通用數據保護條例》（GDPR）在數據處理基礎合法性方面的相關規定。

“同意”（Consent）是指數據主體明確授權或表示同意其個人數據被處理的行為。這種同意必須是建立在充分知情的基礎上，且必須是明確且自愿給出的。除了“同意”這一點外，我們重點關注兩部法律在合法利益（Legitimate Interest）和公共利益（政府任務）（Public Interest/Government Task）方面的差異。實際上，PIPL在這兩點上并未作出明確規定，這主要歸因于中國和歐洲在法律及監管環境上的差異。

首先在合法利益這一點上，GDPR作為歐洲地區的人權保護框架，旨在平衡企業與個人之間的權益，為企業提供一定的靈活性，允許其在沒有明確同意的情況下處理個人數據，從而在一定程度上增強了企業的自主權。相比之下，PIPL更加強調對個人信息的嚴格控制。在處理個人數據時，PIPL要求必須獲得明確的授權或依據法律規定進行，更傾向于通過明確同意或法律規定來實施嚴格監管。

其次在公共利益方面，兩部法律對公共事務和政府職責的界定存在差異。GDPR在確保公共機構履行任務時賦予了更大的靈活性，而PIPL則通過其他法律條款來規范政府的處理權限，更加側重于信息透明性和數據主體的保護。

二、信息跨境處理注意事項

在跨境處理信息的過程中，除了需遵循《個人信息保護法》（PIPL）和《通用數據保護條例》（GDPR）這兩部基礎法律的規定外，還需執行一系列嚴格的安全評估措施。

以中國車企為例，若需將歐盟境內的數據傳輸回中國進行處理，必須確保該跨境數據傳輸完全符合GDPR的嚴格要求。

GDPR對向歐盟外傳輸數據有著明確的規范，要求必須依賴標準合同條款（SCCs）或充分性決定（Adequacy Decision）來確保數據的合法傳輸。特別是當涉及敏感個人信息處理時，如位置數據、行為數據以及測繪數據等，企業可能還需進行數據保護影響評估（DPIA），以全面評估數據處理的合法性、必要性和風險性。

值得注意的是，由于歐盟目前尚未對中國作出充分性決定，因此中國企業在向歐盟外傳輸數據時，可能需要與相關方簽訂標準合同條款（SCCs）來確保數據傳輸的合法性。

總之，在跨境傳輸過程中，為降低數據泄露或不當使用的風險，企業需對敏感數據進行加密或匿名化處理。