因司法執法目的的數據跨境提供
編者按:
11月14日,國家互聯網信息辦公室公布《網絡數據安全管理條例(征求意見稿)》(以下簡稱“數安條例”)【全文見:國家互聯網信息辦公室關于《網絡數據安全管理條例(征求意見稿)》公開征求意見的通知】。鑒于該條例的重要性,公號君新開這個系列,記錄一些想法和建議。此前發表的文章有:
第七篇文章關注數安條例對因執法和司法目的向境外提供數據情況所作的規定。此方面,本公號的文章見:
- 微軟起訴美國司法部:封口令違法!
- 網絡主權的勝利?再評微軟與FBI關于域外數據索取的爭議
- 微軟與FBI關于域外數據索取的爭議暫告一段落
- 美國Cloud Act法案到底說了什么
- Cloud Act可能本周就得以通過!
- 修改版的Cloud Act終成為法律
- 歐盟推出自己的“Cloud Act”
- 美國快速通過Cloud法案 清晰明確數據主權戰略
- 德國最高數據保護官員就美國“云法案”提出警告
- 美國司法部“云法案”白皮書全文翻譯(DPO社群出品)
- TikTok和甲骨文合作中的“可信技術提供商” | 微軟和德國電信合作的模式
- TikTok和甲骨文合作中的“可信技術提供商” | 蘋果和云上貴州合作模式
- 歐洲將立法允許執法跨境直接調取數據
- 數據跨境流動 | “法律戰”漩渦中的執法跨境調取數據:以美歐中為例
- 赴美上市與網絡、數據安全 | 美國SEC針對會計師事務所從域外調取信息的權力和實踐
- 跨境數據調取 | 針對中資銀行的數據調取行為概覽
- 跨境數據調取 | 中美歐的模式沖突(耶魯大學翻譯版)
中國式的封阻立法
不論立法還是實踐,對于執法司法目的的跨境調“取”數據還是“防”范境外的數據跨境調取行為,中國的基本立場均是強調主權不容侵犯,堅持應通過主權國家之間的平等互惠合作來開展。【見:數據跨境流動 | “法律戰”漩渦中的執法跨境調取數據:以美歐中為例】類似的立場可從見于:
《國際刑事司法協助法》第四條 中華人民共和國和外國按照平等互惠原則開展國際刑事司法協助。 國際刑事司法協助不得損害中華人民共和國的主權、安全和社會公共利益,不得違反中華人民共和國法律的基本原則。 非經中華人民共和國主管機關同意,外國機構、組織和個人不得在中華人民共和國境內進行本法規定的刑事訴訟活動,中華人民共和國境內的機構、組織和個人不得向外國提供證據材料和本法規定的協助。 《數據安全法》第三十六條 中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。 《個人信息保護法》 第四十一條 |
中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供存儲于境內個人信息的請求。非經中華人民共和國主管機關批準,個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息。
類似的,數安條例在第三十九條也提出了類似的規定:
第三十九條 數據處理者向境外提供數據應當履行以下義務: (一)不得超出報送網信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數據類型、規模等向境外提供個人信息; (二)不得超出網信部門安全評估時明確的出境目的、范圍、方式和數據類型、規模等向境外提供個人信息和重要數據; (三)采取合同等有效措施監督數據接收方按照雙方約定的目的、范圍、方式使用數據,履行數據安全保護義務,保證數據安全; (四)接受和處理數據出境所涉及的用戶投訴; (五)數據出境對個人、組織合法權益或者公共利益造成損害的,數據處理者應當依法承擔責任; (六)存留相關日志記錄和數據出境審批記錄三年以上; (七)國家網信部門會同國務院有關部門核驗向境外提供個人信息和重要數據的類型、范圍時,數據處理者應當以明文、可讀方式予以展示; (八)國家網信部門認定不得出境的,數據處理者應當停止數據出境,并采取有效措施對已出境數據的安全予以補救; (九)個人信息出境后確需再轉移的,應當事先與個人約定再轉移的條件,并明確數據接收方履行的安全保護義務。 非經中華人民共和國主管機關批準,境內的個人、組織不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。 |
強制要求提供 vs. 自愿提供
對于上述規定的第一個事項是:上述條文中要求“主管機關批準”,僅針對外國司法執法機關明確提出的數據調取要求,還是同時覆蓋境內個人、組織主動向外國司法執法機關提供數據的行為。
首先,2018年10月通過的《國際刑事司法協助法》的相關審議情況中可以看到,該條款專門針對外國司法執法機關針對中國境內的機構、組織和個人直接發出數據和信息調取命令的情況,并不包含中國境內的機構、組織和個人在海外應訴時主動且自愿向外國司法執法機關提供數據和信息的行為。
在全國人民代表大會憲法和法律委員會關于《中華人民共和國國際刑事司法協助法(草案)》審議結果的報告中,有這么一段話——“有的部門提出,實踐中有外國司法執法機關未經我國主管機關準許要求我境內的機構、組織和個人提供相關協助,損害我國司法主權和有關機構、組織和個人的合法權益。為有效應對這種情況,抵制外國的“長臂管轄”要求,建議在草案中增加相關的規定。憲法和法律委員會經研究,建議采納這一意見,增加規定,非經中華人民共和國主管機關同意,中華人民共和國領域內的機構、組織和個人不得向外國提供證據材料和本法規定的協助”。【http://www.npc.gov.cn/zgrdw/npc/xinwen/2018-10/26/content_2064519.htm】
其次,看《數據安全法》和《個人信息保護法》的行文邏輯。《數據安全法》第36條——“中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等互惠原則,處理外國司法或者執法機構關于提供數據的請求。非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據”。應當特別注意到第36條兩句話并為一段,而非并未分立為兩款。因此兩句話內容是承接關系。
第一句話內容是中國主管機關處理“外國司法或者執法機構關于提供數據的請求”時應當秉持的原則和立場。第二句話順承地表述了和《國際刑事司法協助法》一樣的語句,即面對外國司法執法機關直接調取數據和信息的強制命令時,境內機構、組織和個人應當事先申請并獲得中國主管機關的批準。
《個人信息保護法》采取了與《數據安全法》幾乎一致的行文邏輯。
因此綜上可以確認,從立法意圖上來說,中國法律中的相關條款,主要是為了應對外國政府和司法機構在數據方面的“長臂管轄”——直接且具有強制力地調取存儲于中國境內的數據和信息。對于中國境內機構、組織和個人,應對海外訴訟和海外調查時,主動、自愿、不受任何壓力地向外國司法執法機關提供數據和信息的行為,似乎并不要求批準。
主管機關批準 vs. 數據出境安全管理
第二個事項是:主管機關批準和數據出境安全管理的競合關系。這里面有兩個方面的問題:第一個問題,對于境外的強制調取,是否要同時履行數據出境安全義務(無論是安全評估、合同等)和主管機關批準程序,或者后者即可?第二個問題,對于向境外主動提供,如果按照前文分析無需主管機關批準的話,是否要履行數據出境安全義務?
首先,從《數據安全法》和《個人信息保護法》中,似乎讀不出對于境外的強制調取,需要同時履行數據出境安全義務(無論是安全評估、合同等)和主管機關批準程序的要求。
《數據安全法》中,第三十六條出現在“第四章 數據安全保護義務”之中,第三十六條和第三十一條【“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定”。】是個并列的關系。因此,可以理解為針對不同情形的不同規定。
在《個人信息保護法》中,第四十一條出現在“第三章 個人信息跨境提供的規則”之中。但第三十八條有個前置條件——“因業務等需要”。一般來說,境外執法和司法機構的強制調取,不是業務需要的一部分。因此,也可以理解為第三十八條和第四十一條是不同情形的不同規定。
第三十八條 個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一: (一)依照本法第四十條的規定通過國家網信部門組織的安全評估; (二)按照國家網信部門的規定經專業機構進行個人信息保護認證; (三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務; (四)法律、行政法規或者國家網信部門規定的其他條件。 中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。 個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。 |
但在數安條例中,很有意思的是,“非經中華人民共和國主管機關批準,境內的個人、組織不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據”的規定不是獨立成條(而且這是否意味著自愿提供也要求批準?)而是放在第三十九條的第二款。而第三十九條第一款是“數據處理者向境外提供數據應當履行以下義務”。
應該來說,不是同一個事項的內容,不放在同一個條款之中。因此,似乎可以認為數安條例的立法原意是——對于境外的強制調取,數據處理者需要同時履行數據出境安全義務(無論是安全評估、合同等)和主管機關批準程序的要求。如果是這樣的要求,那么就要明確網信部門的數據出境安全評估和主管機關批準程序之間的關系。相信現在已經有組織或個人已經有著厘清上述關系的要求。
而對于中國境內機構、組織和個人,應對海外訴訟和海外調查時,主動、自愿、不受任何壓力地外國司法、執法機關提供數據和信息,公號君始終認為應當遵守數據出境安全方面的要求。具體來說,應當主動過濾、刪減掉明文禁止出境的數據和信息;對于為明文禁止出境的數據和信息,進行數據出境安全評估。數據出境安全評估主要考慮:數據出境的目的、類型、量級、使用目的,數據接收方的安全能力,所在地政治法律環境情況是否會導致數據(非自愿的)二次共享等情況。也就是數安條例和數據出境安全評估辦法中規定的評估事項。(完)
數據保護官(DPO)社群主要成員是個人信息保護和數據安全一線工作者。他們主要來自于國內頭部的互聯網公司、安全公司、律所、會計師事務所、高校、研究機構等。在從事本職工作的同時,DPO社群成員還放眼全球思考數據安全和隱私保護的最新動態、進展、趨勢。2018年5月,DPO社群舉行了第一次線下沙龍。沙龍每月一期,集中討論不同的議題。目前DPO社群已超過300人。關于DPO社群和沙龍更多的情況如下:
域外數據安全和個人信息保護領域的權威文件,DPO社群的全文翻譯:
- 印度《2018個人數據保護法(草案)》全文翻譯(中英對照版)(DPO沙龍出品)
- 巴西《通用數據保護法》全文中文翻譯(DPO沙龍出品)
- “美國華盛頓哥倫比亞特區訴Facebook“起訴書全文翻譯(DPO沙龍出品)
- 法國數據保護局發布針對與商業伙伴或數據代理共享數據的指南
- 德國聯邦反壟斷局對Facebook數據收集和融合行為提出嚴格限制(DPO沙龍出品)
- 德國聯邦反壟斷局審查Facebook數據收集融合行為的背景情況(DPO沙龍出品)
- “108號公約”全文翻譯(DPO沙龍出品)
- 美國司法部“云法案”白皮書全文翻譯(DPO社群出品)
- 新加坡《防止網絡虛假信息和網絡操縱法案》中文翻譯(DPO沙龍出品)
- 英國ICO《廣告技術和實時競價的更新報告》中譯文(DPO社群出品)
- “FTC與Facebook達成和解令的新聞通告”全文翻譯(DPO社群出品)
- CJEU認定網站和嵌入的第三方代碼成為共同數據控制者(DPO沙龍出品)
- FTC與Facebook“2019和解令”全文翻譯(DPO社群出品)
- 英國ICO《數據共享行為守則》中譯文(DPO社群出品)
- “hiQ Labs訴LinkedIn案上訴判決”中譯文(DPO社群出品)
- 法國數據保護監管機構(CNIL)有關cookies和其他追蹤方式的指引(全文翻譯)
- 美加州消費者隱私法案(CCPA) 修正案匯總中譯文(DPO沙龍出品)
- FTC“首次針對追蹤類App提起訴訟”的官方聲明中文翻譯(DPO社群出品)
- ICDPPC關于隱私和消費者保護、競爭維護交叉問題決議的中文翻譯(DPO社群出品)
- 德國關于確定企業GDPR相關罰款數額官方指南的中文翻譯(DPO社群出品)
- 亞洲十四個國家和地區數據跨境制度報告中譯本(DPO社群出品)
- 印度《個人數據保護法》(2019年草案)全文翻譯(DPO社群出品)
- 法國數據保護局(CNIL)關于人臉識別報告的中譯文(DPO社群出品)
- AEPD和EDPS | “哈希函數簡介——用于個人數據假名化技術”中譯文(DPO社群出品)
- 歐盟基本權利局“人臉識別技術”報告中文翻譯(DPO社群出品)
- 聯合發布 |《2020數字醫療:疫情防控新技術安全應用分析報告》
- 技術主權視野下的歐盟數字化轉型戰略探析(DPO社群出品)
- 意大利數據保護機關就新冠疫情聯防聯控中個人信息問題的意見(DPO社群出品)
- 新版《個人信息安全規范》(35273-2020)正式發布
- 英國ICO | 《兒童適齡設計準則:在線服務實業準則》全文翻譯之一
- 英國ICO | 《兒童適齡設計準則:在線服務實業準則》全文翻譯之二
- 《個人信息安全影響評估指南》(GB/T 39335-2020)正式發布
- 《英國ICO人工智能與數據保護指引》選譯 | 如何保護人工智能系統中的個人權利?
- 《英國ICO人工智能與數據保護指引》選譯 | 如何評估AI的安全性和數據最小化?
- 西班牙數據保護局《默認數據保護指南》全文翻譯(DPO社群出品)
DPO線下沙龍的實錄見:
- 數據保護官(DPO)沙龍第一期紀實
- 第二期數據保護官沙龍紀實:個人信息安全影響評估指南
- 第三期數據保護官沙龍紀實:數據出境安全評估
- 第四期數據保護官沙龍紀實:網絡爬蟲的法律規制
- 第四期數據保護官沙龍紀實之二:當爬蟲遇上法律會有什么風險
- 第五期數據保護官沙龍紀實:美國聯邦隱私立法重要文件討論
- 數據保護官(DPO)沙龍走進燕園系列活動第一期
- 第六期數據保護官沙龍紀實:2018年隱私條款評審工作
- 第八期數據保護官沙龍紀實:重點行業數據、隱私及網絡安全
- 第九期數據保護官沙龍紀實:《個人信息安全規范》修訂研討
- 第十期數據保護官沙龍紀實:數據融合可給企業賦能,但不能不問西東
- 第十一期數據保護官沙龍紀實:企業如何看住自家的數據資產?這里有份權威的安全指南
- 第十二期數據保護官紀實:金融數據保護,須平衡個人隱私與公共利益
- 第十三期DPO沙龍紀實:厘清《數據安全管理辦法》中的重點條款
- 第十四期DPO沙龍紀實:梳理《個人信息出境安全評估辦法(征求意見稿)》的評估流程
- 第十五期DPO沙龍紀實:SDK非洪水猛獸,但如果“作惡”亂收集信息,誰來管?
- 第十六期DPO沙龍紀實:查詢App收集個人信息類型、禁止收集IMEI號是未來監管趨勢
- 與歐美一流數據保護專家面對面(DPO沙龍特別活動)
- 第十七期DPO沙龍紀實:數據統一確權恐難實現 部門立法或是有效途徑
- 第十八期DPO沙龍紀實:生物識別信息的安全保護
- 第十九期DPO沙龍紀實:《個人信息保護法(草案)》專題研討會之一
- 第二十期DPO沙龍紀實:《個人信息保護法(草案)》專題研討會之二
個人數據與域外國家安全審查系列文章
- 個人數據與域外國家安全審查初探(一):美歐概覽
- 個人數據與域外國家安全審查初探(二):CFIUS實施條例詳解
- 個人數據與域外國家安全審查初探(三):從美國《確保ICT技術與服務供應鏈安全》
- 個人數據與域外國家安全審查初探(四):從美國《2019年安全與可信通信網絡法案》看
- 個人數據與域外國家安全審查初探(五):禁止中國公司對StayNTouch的收購
- 個人數據與域外國家安全審查初探(六):《2019國家安全和個人數據保護法案》
- 個人數據與域外國家安全審查初探(七):美國眾議院荒唐的決議草案
- 個人數據與域外國家安全審查初探(八):《2020安全的5G和未來通信》法案
- 個人數據與域外國家安全審查初探(九):澳大利亞《協助和訪問法》
- 美國司法部狙擊中國內幕(Inside DOJ's nationwide effort to take on China)
- 美國司法部“中國計劃”的概況介紹
- 突發 | 特朗普簽署關于TIKTOK和WECHAT的行政令
- 理解特朗普禁令中的Transactions
- 白宮決策內幕 | TIKTOK的命運是由一場"擊倒、拖出"的橢圓形辦公室爭斗所形塑
- 《國際緊急經濟權力法》(IEEPA)的起源、演變和應用
- 個人數據與域外國家安全審查 | 美國安局對地理位置信息的建議(全文翻譯)
- 外媒編譯 | 詭秘的美國外國投資委員會如何成為貿易戰的有力武器?
圍繞著TIKTOK和WECHAT的總統令,本公號發表了以下文章:
- 突發 | 特朗普簽署關于TIKTOK和WECHAT的行政令
- 理解特朗普禁令中的Transactions
- 白宮決策內幕 | TIKTOK的命運是由一場"擊倒、拖出"的橢圓形辦公室爭斗所形塑
- TikTok和甲骨文合作中的“可信技術提供商” | 微軟和德國電信合作的模式
- TikTok和甲骨文合作中的“可信技術提供商” | 蘋果和云上貴州合作模式
- 外媒編譯 | TikTok 零點時間:最后一刻的交易
- TikTok和甲骨文合作中的“可信技術提供商” | 來自EPIC的質疑和兩家公司的回復
第29條工作組/EDPB關于GDPR的指導意見的翻譯:
- 第29條工作組《對第2016/679號條例(GDPR)下同意的解釋指南》中文翻譯(DPO沙龍出品)
- 第29條工作組“關于減輕對處理活動進行記錄義務的立場文件”(DPO沙龍出品)
- 第29條工作組《第2/2017號關于工作中數據處理的意見》(DPO沙龍出品)
- 第29條工作組《關于自動化個人決策目的和識別分析目的準則》(DPO沙龍出品)
- 第29條工作組《數據可攜權指南》全文翻譯(DPO沙龍出品)
- 第29條工作組關于GDPR《透明度準則的指引》全文翻譯(DPO沙龍出品)
- EDPB《關于GDPR適用地域范圍(第3條)的解釋指南》全文翻譯(DPO沙龍出品)
- EDPB“關于《臨床試驗條例》與GDPR間相互關系”意見的全文翻譯(DPO沙龍出品)
- EDPB《車聯網個人數據保護指南》全文翻譯(DPO社群出品)
- EDPB關于GDPR中合同必要性指引的中文翻譯(DPO沙龍出品)
- EDPB關于“疫情場景中使用位置數據和接觸追蹤工具”指南:全文翻譯(DPO沙龍出品)
- EDPB | 《對第2016/679號條例(GDPR)下同意的解釋指南v1》中文翻譯(DPO社群出品)
- 第29條工作組 | 《關于匿名化技術的意見》中文全文翻譯(DPO社群出品)
- 歐盟委員會關于GDPR實施兩周年評估報告中文翻譯(DPO社群出品)
- EDPB | 《GDPR下數據控制者及數據處理者概念的指南(07/2020)》全文翻譯
- EDPB | 《針對向社交媒體用戶定向服務的指南(第8/2020號)》全文翻譯
- 數據安全的法律要求 | DPB關于數據泄露通知示例的01/2021號指引
關于美國出口管制制度,本公號發表過系列文章:
- 美國出口管制制度系列文章之一:對“外國生產的產品”的相關規則
- 美國出口管制制度系列文章之二:適用EAR的步驟
- 美國出口管制制度系列文章之三:蘇聯油氣管道的“華為”事件
- 美國出口管制制度 | 允許華為和美國公司共同制定5G標準
- 美國出口管制 | BIS發布針對“基礎性技術”出口管制的“擬議制定規則預先通知”
- 《華盛頓郵報》披露《美國對中國的戰略路徑》背后的決策博弈
- 美國出口管制 | ARM+美國公司收購=更強的出口管制?
供應鏈安全文章:
數據跨境流動政策、法律、實踐的系列文章:
- 構建數據跨境流動安全評估框架:實現發展與安全的平衡
- 構建數據跨境流動安全評估框架:實現發展與安全的平衡(二)
- 構建數據跨境流動安全評估框架:實現發展與安全的平衡(三)
- 構建數據跨境流動安全評估框架:實現發展與安全的平衡(四)
- TPP對跨境金融數據“另眼相看”?
- 馬來西亞擬將我國認定為個人數據跨境流動“白名單”地區
- 美國ITIF關于數據跨境流動的研究報告簡介
- Chatham House舉辦Cyber 2017大會,關注中國數據跨境流動
- 俄羅斯個人信息保護機構對隱私政策和數據跨境流動的新舉措
- 看清APEC“跨境隱私保護規則”體系背后的政治和經濟
- 敬請關注“閉門會-數據跨境流通”
- “閉門會:數據跨境流動政策分析” 總結
- 歐盟個人數據跨境流動機制進展更新(截止201810)
- 俄羅斯數據本地化和跨境流動條款解析
- 亞洲十四個國家和地區數據跨境制度報告中譯本(DPO社群出品)
- 《個人信息和重要數據出境安全評估辦法》實現了安全與發展的平衡
- 數據出境安全評估:保護我國基礎性戰略資源的重要一環
- 個人信息和重要數據出境安全評估之“境內運營”
- 《數據出境安全評估:保護我國基礎性戰略資源的重要一環》英文版
- 個人信息和重要數據出境安全評估之“向境外提供”
- 數據出境安全評估基本框架的構建
- 銀行業金融數據出境的監管框架與脈絡(DPO社群成員觀點)
- 《網絡安全法》中數據出境安全評估真的那么“另類”嗎
- 解析《個人信息出境安全評估辦法(征求意見稿)》實體保護規則背后的主要思路
- 《個人信息出境安全評估辦法(征求意見稿)》解讀:從中外比較的角度
- 數據跨境流動 | 澳大利亞政府提出新的數據本地化要求
- 數據跨境流動 | 美歐“隱私盾協議”被判無效背后的邏輯
- 數據跨境流動 | 歐盟EDPB對歐盟隱私盾協議被判無效的相關問答(全文翻譯)
- “清潔網絡計劃”下的APEC跨境隱私保護(CBPR)體系
- 數據跨境流動 | 愛爾蘭DPA即將禁止FACEBOOK的數據跨境傳輸
- 數據跨境流動 | 最新判決將顯著影響英國與歐洲大陸之間的數據自由流動
- 數據跨境流動 | 愛爾蘭高等法院暫時允許Facebook繼續個人數據跨大西洋傳輸
- 數據跨境流動 | 中國公司基于SCCs開展數據跨境流動的基本策略
- 數據跨境流動 | 美國三位高官就Schrems II判決公開向歐盟喊話
- 數據跨境流動 | 歐盟EDPS官員敦促美國強化個人救濟以達到“實質等同”
- 數據跨境流動 | 美國政府白皮書正式回應歐盟Schrems II判決
- 數據跨境流動 | EDPB關于標準合同條款之外的“補充措施”的指南終于問世
- 數據跨境流動 | EDPB提出“評估目的國法律環境”的指南(全文翻譯)
- 數據跨境流動 | 微軟率先提出對歐盟數據的專屬“保護措施”
- 數據跨境流動 | 歐盟新版標準合同條款全文翻譯
- 數據跨境流動 | EDPB和EDPS通過了關于新的SCCs的聯合意見
- 數據跨境流動 | 東盟跨境數據流動示范合同條款(全文翻譯)
- 數據跨境流動 | 東盟數據管理框架(全文翻譯)
- 數據跨境流動 | 推進“一帶一路”數據跨境流動的中國方案(專論)
- 數據跨境流動 | 歐盟新版標準合同條款(最終版)全文翻譯
- 數據跨境流動 | 歐盟關于歐盟境內的控制者和處理者間標準合同條款(全文翻譯 )
- 數據跨境流動 | EDPB關于標準合同條款之外的“補充措施”指南2.0版(全文翻譯)
- 數據跨境流動 | 兩張圖解讀EDBP“數據跨境轉移補充措施的最終建議”
- 數據跨境流動 | 推進“一帶一路”數據跨境流動的中國方案(英文本)
- 數據出境安全保障的中國路徑
- 歐盟關于域外適用和數據跨境流動條款適用問題的指南(全文翻譯)
傳染病疫情防控與個人信息保護系列文章
- 傳染病疫情防控與個人信息保護初探之一:個人信息的性質
- 傳染病疫情防控與個人信息保護初探之二:同意的例外
- 傳染病疫情防控與個人信息保護初探之三:數據技術的應用路徑
- 傳染病疫情防控與個人信息保護初探之四:接觸追蹤的數據共享安全規范
- 傳染病疫情防控與個人信息保護初探之五:電信數據的安全規范
- 傳染病疫情防控與個人信息保護初探之六:GDPR框架下的公共衛生數據共享
- 傳染病疫情防控與個人信息保護初探之七:美國公共衛生機構的數據調取權力
- 傳染病疫情防控與個人信息保護初探之完結篇:解讀中央網信辦通知
- 歐盟國家和英國的數據保護部門對疫情防控的官方意見匯總(DPO社群出品)
- 美國疫情防控中的關鍵基礎設施的識別和認定(DPO社群出品)
- 意大利數據保護機關就新冠疫情聯防聯控中個人信息問題的意見(DPO社群出品)
- 歐委會關于新冠疫情中利用移動數據和應用官方建議的全文翻譯(DPO沙龍出品)
- 漫畫圖解蘋果和谷歌聯手開發的接觸追蹤應用的基本原理
- 澳門關于疫情防控中進出場所人員個人資料保護的通告
- 疫情防控常態化中的接觸追蹤:中國方案
- 歐委會“支持抗擊新冠疫情的APP的數據保護指引”全文翻譯(DPO社群出品)
- 來自歐洲的接觸追蹤協議(ROBERT Protocol)的基本原理:漫畫圖解
- 英國信息專員對蘋果谷歌接觸追蹤項目的官方意見:全文翻譯(DPO社群出品)
- 三百名學者關于接觸追蹤APP的聯合聲明
- EDPB關于“疫情場景中使用位置數據和接觸追蹤工具”指南:全文翻譯(DPO沙龍出品)
- 新冠疫情防控常態化下的個人信息保護工作的思考和建議
- 韓國利用ICT抗疫經驗總結:接觸追蹤部分(中文翻譯)
- 全文翻譯 | 歐盟新冠肺炎“接觸追蹤”APP 共同工具箱(DPO沙龍出品)
- EDPB | 關于在COVID-19疫情背景下為科研目的處理健康數據指南(全文翻譯)
關于數據與競爭政策的翻譯和分析:
- "法國競爭管理局對蘋果iOS限制APP追蹤措施的初步決定"全文翻譯(上篇)
- "法國競爭管理局對蘋果iOS限制APP追蹤措施的初步決定"全文翻譯(下篇)
- 歐盟與谷歌在反壟斷方面的大事記(競爭法研究筆記一)
- Facebook時代的合并政策(競爭法研究筆記二)
- “在隱私辯論中關注競爭水平的維護”(競爭法研究筆記三)
- 歐盟委員會針對亞馬遜開展調查(競爭法研究筆記四)
- 德國聯邦反壟斷局對Facebook數據收集和融合行為提出嚴格限制(DPO沙龍出品)
- 德國聯邦反壟斷局審查Facebook數據收集融合行為的背景情況(DPO沙龍出品)
- 案件摘要:德國反壟斷監管機構對Facebook數據收集融合行為裁決
- 日本擬效仿德國:對IT巨頭非法收集個人信息適用“反壟斷法”
健康醫療大數據系列文章:
- 健康醫療大數據系列文章之一:英國健康醫療大數據平臺care.data之殤
- 健康醫療大數據系列文章之二:安全是健康醫療大數據應用的核心基礎
- 健康醫療大數據系列文章之三:棘手的健康醫療大數據共享、開放、利用
- 英美健康醫療大數據安全現狀和合規研究
- 健康醫療數據 | NHS計劃與第三方共享病人記錄
- 健康醫療數據 | NHS數據共享計劃的“隱私政策”
- 健康醫療數據 | NHS數據共享計劃所引發的公眾擔憂
網聯汽車數據和自動駕駛的系列文章:
- 自動駕駛數據共享:效用與障礙
- 自動駕駛數據共享:效用與障礙(附文字實錄)
- 北京市關于自動駕駛車輛道路測試的立法綜述及動態(DPO社群成員觀點)
- 自動駕駛的基建工程 — 高精地圖產業促進與國家管控的平衡(DPO社群成員觀點)
- 《汽車數據安全管理若干規定(征求意見稿)》 | 規范對象和基本原則
- 《汽車數據安全管理若干規定(征求意見稿)》 | 個人信息和重要數據的細化規范
- 《汽車數據安全管理若干規定(征求意見稿)》 | 數據出境和監管手段
- 《汽車數據安全管理若干規定(征求意見稿)》 | 配套制度
- 《汽車數據安全管理若干規定(征求意見稿)》 | “汽車數據”與EDPB指南中的聯網車輛
- 《汽車數據安全管理若干規定(征求意見稿)》 | “車內處理”與EDPB指南中“終端設備”
- 《汽車數據安全管理若干規定(征求意見稿)》 | 個人信息的分類分級規則
- 《汽車數據安全管理若干規定(征求意見稿)》 | 向車外提供數據的規則
- EDPB《車聯網個人數據保護指南》全文翻譯(DPO社群出品)
- EDPB《車聯網個人數據保護指南2.0》比較翻譯(DPO社群出品)
- 網聯車輛 | 網聯車輛采集和產生的數據類型概覽
- 網聯車輛 | 美國聯邦貿易委員會(FTC)對數據隱私的原則性觀點
- 網聯車輛 | 德國官方和行業協會在數據保護方面的聯合聲明
- 網聯車輛 | 英國信息專員辦公室(ICO)就個人數據保護的立場和意見
- 網聯車輛 | 法國數據保護局(CNIL)的一攬子合規方案
- 網聯車輛 | 電信領域國際數據保護工作組的工作文件(全文翻譯)
- 《汽車數據安全管理若干規定(征求意見稿)》 | 運營者概念
關于中美與國家安全相關的審查機制的系列文章:
美國電信行業涉及外國參與的安全審查(一):基本制度介紹
美國電信行業涉及外國參與的安全審查(二):國際性的第214節授權
美國電信行業涉及外國參與的安全審查(三):建立外國參與安全審查的行政令
美國電信行業涉及外國參與的安全審查(四):FCC對中國企業的陳述理由令
- 網絡安全審查制度利刃出鞘
- 對《網絡安全審查辦法(征求意見稿)》的幾點觀察
- 網絡安全審查制度吹響了向網絡安全強國邁進的號角
- 我國網絡安全審查制度走向前臺
- 網絡安全審查的中歐比較:以5G為例
- 網絡安全審查 | 中國《網絡安全審查辦法》的邏輯和要旨:以5G安全為例
- ICTS安全審查 | 美國針對“信息和通信技術及服務”和“聯網應用”安全審查的兩個行政令
- ICTS安全審查 | 美國智庫學者的分析和呼吁
- ICTS安全審查 | 美國商務部確保ICTS供應鏈安全實施規則(全文翻譯)
網絡空間的國際法適用問題系列文章:
赴美上市網絡、數據安全風險系列文章如下:
- 赴美上市與網絡、數據安全 | 美國SEC對赴美上市公司披露義務的指導意見
- 赴美上市與網絡、數據安全 | 時任美國SEC的領導層對上市公司網絡安全披露的觀點
- 赴美上市與網絡、數據安全 | 美國SEC強制或自愿性要求信息提供的權力
- 赴美上市與網絡、數據安全 | 美國SEC針對會計師事務所從域外調取信息的權力和實踐
- 赴美上市與網絡、數據安全 | 美國SEC關于網絡安全事項披露的2018指南(全文翻譯)
- 赴美上市與網絡、數據安全 | 美國《外國公司問責法案》(全文翻譯)
- 赴美上市與網絡、數據安全 | 美國SEC關于非財務報告要求的概覽
- 赴美上市與網絡、數據安全 | 美國SEC關于“重大合同”的披露要求
- 赴美上市與網絡、數據安全 | PCAOB落實《外國公司問責法案》的規則草案
- 赴美上市與網絡、數據安全 | 美國政客推動加速《外國公司問責法案》的執行
- 赴美上市與網絡、數據安全 | 美國法下獲取我國赴美上市企業數據的可能性(上)
- 赴美上市與網絡、數據安全 | SEC主席對中國監管措施的最新表態
人臉識別系列文章:
- 歐盟基本權利局“人臉識別技術”報告中文翻譯(DPO社群出品)
- 法國數據保護局(CNIL)關于人臉識別報告的中譯文(DPO社群出品)
- 零售門店使用人臉識別技術的主要法律問題(DPO社群成員觀點)
- 人臉識別技術的規制框架(PPT+講稿)
- 人臉識別技術運用的六大場景及法律規制框架的適配(DPO社群成員觀點)
- 人臉識別技術的法律規制研究初探(DPO社群成員觀點)
- 美國聯邦隱私保護立法草案研究(四):“生物識別信息”
- 美國華盛頓州人臉識別服務法案中文翻譯(DPO社群出品)
- PAI | 《理解人臉識別系統》全文翻譯(DPO社群出品)
- 解讀世界首例警方使用人臉識別技術合法性判決二審判決(DPO社群成員觀點)
- 人臉識別技術研究綜述(一):應用場景
- 人臉識別技術研究綜述(二):技術缺陷和潛在的偏見
- 美國人臉識別技術的法律規范研究綜述 | 拼湊式(Patchwork)的范式
- 美國《2020年國家生物識別信息隱私法案》中譯文
- 人臉識別技術是潘多拉盒子還是阿拉丁神燈?
- 人臉識別 | “第108號公約+”咨詢委員會發布《關于人臉識別的指南》(全文翻譯)
- 人臉識別 | EDPB“關于通過視頻設備處理個人數據的指南”(全文翻譯)
- 人臉識別 | EDPS關于面部情緒識別的觀點
- 人臉識別 | 保護人臉信息 規范行業健康發展的有效司法路徑
- 人臉識別 | 對我國“人臉識別技術民事案件司法解釋”中“單獨同意”的理解
關于歐盟技術主權相關舉措的翻譯和分析:
- 技術主權視野下的歐盟數字化轉型戰略探析(DPO社群出品)
- 歐盟委員會主席首提“技術主權”概念
- 推進歐洲可持續和數字化轉型:《歐洲新工業戰略》解讀(DPO社群成員觀點)
- 歐盟“技術主權”進展 | 德國和法國推出歐盟自主可控的Gaia-X云平臺計劃
- 歐盟“技術主權”進展 | 歐盟如何在科技領域能主導下一個十年
- 歐盟“技術主權”進展 | 關于數字平臺監管的建議
- 歐盟“技術主權”進展 | 歐洲共同數據空間治理立法框架
- 歐盟《數字市場法》選譯之一:解釋性備忘錄
- 歐盟《數字市場法》選譯之二:序言和條文
- 歐盟《數字服務法》選譯之一:解釋性備忘錄
- 歐盟《數字服務法》選譯之二:序言
- 歐盟《數字服務法》選譯之三:(實體規則方面的)條文
- 歐盟《數字服務法》《數字市場法》簡評
- 歐洲法院:歐盟成員國的數據保護機構都可對Facebook提出隱私方面的訴訟
- 歐盟技術主權 | 《電子隱私條例》(e-Privacy Regulation)全文翻譯
- 歐盟技術主權 | “歐盟在全球數據爭奪戰中的位置”:歐盟副主席采訪實錄
- 歐盟技術主權 | “技術的地緣政治”:歐盟內部市場委員的演講
關于保護網絡和信息系統安全的相關文章包括:
- 以風險治理的思想統籌設計關鍵信息基礎設施保護工作
- 中德兩國在識別關鍵信息基礎設施方面的一點比較
- 美國疫情防控中的關鍵基礎設施的識別和認定(DPO社群出品)
- 美國《關于改善國家網絡安全的行政命令》分析之一
- 美國《關于改善國家網絡安全的行政命令》之五大“看點”
- 網絡和信息系統安全 | 網絡安全信息共享:為什么和怎么做
- 網絡和信息系統安全 | 主體責任與綜合共治 關鍵信息基礎設施保護的新格局
關于人工智能安全和監管,本公號發布過以下文章:
- 《英國ICO人工智能與數據保護指引》選譯 | 如何評估AI的安全性和數據最小化?
- 英國ICO人工智能指導 | 數據分析工具包(全文翻譯)
- 《英國ICO人工智能與數據保護指引》選譯 | 如何保護人工智能系統中的個人權利?
- 人工智能 vs. 個人信息保護之“個人同意”
- 《以倫理為基礎的設計:人工智能及自主系統以人類福祉為先的愿景(第一版)》
- AI監管 | EDPB和EDPS對歐盟AI條例的聯合意見書(全文翻譯)
- AI監管 | 對歐盟AI統一規則條例的詳細分析
- AI監管 | 歐盟《AI統一規則條例(提案)》(全文翻譯)
- AI監管 | 意大利因騎手算法歧視問題對兩個食物配送公司處于高額罰款
- AI監管 | 用戶數據用于AI模型訓練場景的合規要點初探
- 我國信息服務算法推薦管理 | 與個人信息保護的耦合和差異
- 我國信息服務算法推薦管理 | 條文背后的技術邏輯“想象”
- 我國信息服務算法推薦管理 | 分類分級管理
- 我國信息服務算法推薦管理 | 合規的基礎性工作:技術說明
數據的安全、個人信息保護、不正當競爭等方面的重大案例:
- 因隱私政策不合規,西班牙對Facebook開出巨額罰單
- 英法兩國對 AdTech和廣告類SDK的監管案例分析
- Facebook事件多層次影響 及中美歐三地監管展望
- FTC vs Facebook:50億美元和解令的來龍去脈
- FTC與Facebook“2019和解令”全文翻譯
- 案件摘要:德國反壟斷監管機構對Facebook數據收集融合行為裁決
- 德國聯邦反壟斷局審查Facebook數據收集融合行為的背景情況
- 德國聯邦反壟斷局對Facebook數據收集和融合行為提出嚴格限制
- GDPR與相關數據保護法律處罰案例調研
- 他山之石:美國20年間33個兒童信息保護違法案例分析
- 重大案件 | 分析WhatsApp的2.25億歐元罰款決定:合法利益事項
- “臉書文件” | 爆料人的美國會聽證會開場白、歐盟“數字服務法”推動人的表態
數字貿易協定的相關文章有:
- TPP對跨境金融數據“另眼相看”?
- 數字貿易協定 | 歐盟GDPR與WTO的必要性測試
- 數字貿易協定 | GATS/GATT中“一般性例外條款”的援引實踐
- 數字貿易協定 | 貿易談判中的中美歐數據跨境流動博弈概覽
- 數字貿易協定 | DEPA和CPTPP給國內數據本地化和跨境流動管控預留的“自由度”
中國個人信息保護立法的相關文章包括:
- 中國個人信息保護立法 | 《個人信息保護法(草案)》與GDPR的比較
- 中國個人信息保護立法 | 合同所必需:魔鬼在細節之中
- 對《常見類型移動互聯網應用程序必要個人信息范圍規定》的兩點理解
- 對《常見類型移動互聯網應用程序必要個人信息范圍規定》的再理解
- 理解《數據安全法》《個人信息保護法》二審稿的實質性修改內容(一)
- 個保法解讀之數據可攜帶權(DPO社群成員觀點)
- 《個人信息保護法》與《個人信息安全規范》對照比較表
- 過度收集個人信息如何破解
- 中國個人信息保護立法 | 解析GDPR中的風險路徑
- 中國個人信息保護立法 | 善用個人信息保護影響評估 靈活實現創新和個人保護的平衡
- 中國個人信息保護立法 | 《個人信息保護法》與GDPR 條文對比
- 中國個人信息保護立法 | 合規審計:英國ICO的指南(全文翻譯)
- 個人信息保護 | 歐盟第29條工作組《關于網絡行為廣告的2/2010號意見》(全文翻譯)
- 關于個人信息處理者用戶規模的量級
《數據安全法》相關的文章包括:
- 對《數據安全法》的理解和認識 | 立法思路
- 對《數據安全法》的理解和認識 | 數據分級分類
- 對《數據安全法》的理解和認識 | 中國版的封阻法令
- 對《數據安全法》的理解和認識 | 重要數據如何保護
- 評《網絡安全法》對數據安全保護之得與失
- 從立法價值取向出發理解《網絡安全法》中的"重要數據"
- 歐盟《數據法》構思B2G數據強制共享與我國“重要數據”:公共屬性
- 行業梳理 | 征信業的十個增強式數據安全保護要求
- 行業梳理 | 工信領域數據安全中的分類分級
- 重要數據 | 級別概念 vs 類別概念
- 重要數據 | 國家安全視野中的數據分類分級保護
- 重要數據 | 從概述到具體字段:keystone原則
數據要素治理相關的文章包括:
- 《非個人數據在歐盟境內自由流動框架條例》全文中文翻譯(DPO沙龍出品)
- 簡析歐盟《數字市場法》關于數據方面的規定
- 數據流通障礙初探——以四個場景為例
- 對“數據共享合法化”的分析與思考系列之一:以《關于歐洲企業間數據共享的研究》為起點
- 對“數據共享合法化”的分析與思考 系列之二 ——歐盟B2B數據共享的案例研究
- 對“數據共享合法化”的分析與思考 系列之三 ——更好的保護才能更好的共享
- 用戶授權第三方獲取自己在平臺的數據,可以嗎?不可以嗎?(DPO沙龍線上討論第三期)
- 數據爬取的法律風險綜述(DPO社群成員觀點)
- 第29條工作組《數據可攜權指南》全文翻譯(DPO沙龍出品)
- 澳《消費者數據權利法案》對數據共享與數據可攜權的探索(DPO社群成員觀點)
- 歐盟“技術主權”進展 | 歐洲共同數據空間治理立法框架
- 數據要素治理 | 歐盟《數據法》初始影響評估(全文翻譯)
個性化廣告系列文章包括:
- 個人信息保護 | 歐盟第29條工作組《關于網絡行為廣告的2/2010號意見》(全文翻譯)
- 法國數據保護監管機構(CNIL)有關cookies和其他追蹤方式的指引(全文翻譯)
- 英法兩國對 AdTech和廣告類SDK的監管案例分析
- 英國ICO《廣告技術和實時競價的更新報告》中譯文(DPO社群出品)
- 網絡行為定向廣告中的個人信息保護問題初探
- 美國個信保護立法 | 州層面三部法案系列研究之二:定向廣告的定義
- 對兒童開展廣告定向推送的法律風險(DPO社群成員觀點)
- 解析歐盟法院對與Cookies相關的告知和同意的最新判決(DPO社群成員觀點)
- 個性化廣告 | 個性化廣告與個人信息保護如何平衡的幾點思考
- 個性化廣告 | 歐盟的自動化程序廣告即將迎來由GDPR引發的“震動”
- 個性化廣告 | 比利時DPA對IAB歐洲的調查:深度解讀
- 個性化廣告 | 程序化廣告與算法推薦廣告的區別:基于《個人信息保護法》第二十四條要求的分析
