數據跨境安全管理
編者按:
11月14日,國家互聯網信息辦公室公布《網絡數據安全管理條例(征求意見稿)》(以下簡稱“數安條例”)【全文見:國家互聯網信息辦公室關于《網絡數據安全管理條例(征求意見稿)》公開征求意見的通知】。鑒于該條例的重要性,公號君新開這個系列,記錄一些想法和建議。此前發表的文章有:
1、數安條例 | 對個人信息保護政策和數據處理規則的新要求
2、數安條例 | 個人權利方面的新規定
3、數安條例 | 數據安全審查和企業境外上市
第四篇文章關注數安條例中對數據跨境流動的監管制度設計。
更多類型的數據被納入跨境流動監管
在數安條例公布之前,《網絡安全法》《個人信息保護法》《數據安全法》對數據跨境流動僅僅是對個人信息和重要數據這兩個類型來說,但數安條例將數據跨境流動監管的數據對象,做了較大擴展。如下表所示:
《網絡安全法》 第三十七條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。《個人信息保護法》 個人信息 《數據安全法》 第三十一條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。 數安條例 第三十五條 數據處理者因業務等需要,確需向中華人民共和國境外提供數據的,應當具備下列條件之一: (一)通過國家網信部門組織的數據出境安全評估; (二)數據處理者和數據接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證; (三)按照國家網信部門制定的關于標準合同的規定與境外數據接收方訂立合同,約定雙方權利和義務; (四)法律、行政法規或者國家網信部門規定的其他條件。 網絡數據(簡稱數據)是指任何以電子方式對信息的記錄。 |
所以,實際上數安條例對三個上位法對跨境監管的范圍,做了比較大的擴展——也就是不再只是針對個人信息和重要數據,還包括其他非個人信息和非重要數據的數據。
在這樣的擴展下,相應地制度就要做變革,至少有兩個方面:一是數據出境安全評估制度,要包括對“非個人信息和非重要數據的數據”的安全評估設計。因為目前的安全評估草案【國家互聯網信息辦公室關于《數據出境安全評估辦法(征求意見稿)》公開征求意見的通知】中第二條明確規定:“數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和依法應當進行安全評估的個人信息,應當按照本辦法的規定進行安全評估;法律、行政法規另有規定的,依照其規定”。因此,目前的制度設計無法涵蓋“非個人信息和非重要數據的數據”。
二是標準合同覆蓋的范圍需要擴展。最早出現標準合同的規定出現在《個人信息保護法》,針對的對象自然是個人信息。現在標準合同需要覆蓋重要數據,還需要覆蓋“非個人信息和非重要數據的數據”。
這樣的擴展影響非常重大,比如向境外證監部門提供一個財務報表數據,不屬于個人信息,假設也不屬于重要數據,那么也需要根據數安條例第35條的規定來執行。類似的例子還有很多。
個人信息出境即“松了”也“嚴了”
根據數安條例,可以得出至少三個情形是豁免監管的。具體如下: 說明 具體實例 第二條 自然人因個人或者家庭事務開展數據處理活動,不適用本條例。按照這條規定,個人自主、直接將自身的個人信息、家庭成員、朋友個人信息向境外提供,其個人的提供行為,不受本條例管轄。 這點在我國《個人信息保護法》中的規定是一致的,也與GDPR規定一致。 GDPR在Recital 18中明確提出:本條例不適用于自然人在純粹的個人或家庭活動過程中對個人數據的處理,只要這些處理與專業或商業活動沒有關系。(This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity.) 個人自主登陸境外電商網站購買家用產品,并在境外電商網站填寫其個人信息,包括姓名、聯系方式、收貨地址等。 第三十五條 數據處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的,或者為了保護個人生命健康和財產安全而必須向境外提供個人信息的除外。 按照《個人信息保護法》第十三條規定,“為訂立、履行個人作為一方當事人的合同”而處理個人信息(包括對境外提供個人信息),和基于個人同意的個人信息處理,是不同的合法性事由。 同樣,“為了保護個人生命健康和財產安全而必須向境外提供個人信息”,與《個人信息保護法》中“緊急情況下為保護自然人的生命健康和財產安全所必需”相近,但數安條例的表述中沒有“緊急情況下”。這點是否意味著數安條例做了些許放寬? 個人通過平臺預訂境外的酒店或境外航空公司的機票,平臺將個人的預訂信息傳輸至境外的酒店和航空公司。 第三十八條 中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。 這樣的條款也出現在了《個人信息保護法》之中——“中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。” 考慮到中國正在申請加入CPTPP和DEPA【見:數字貿易協定 | DEPA和CPTPP給國內數據本地化和跨境流動管控預留的“自由度”】,那是否意味著只要中國正式加入了這些經貿協定,國內法律法規對個人信息的跨境監管就可以“豁免”? 當然,這一點需要立法者做出解釋。 |
其實我們仔細對比《個人信息保護法》第三十八條的規定,和數安條例第三十五條的規定,會發現比較大的區別。
《個人信息保護法》 第三十八條 個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一: (一)依照本法第四十條的規定通過國家網信部門組織的安全評估; (二)按照國家網信部門的規定經專業機構進行個人信息保護認證; (三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務; (四)法律、行政法規或者國家網信部門規定的其他條件。 中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。 個人信息處理者應當采取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。 《數安條例》 第三十五條 數據處理者因業務等需要,確需向中華人民共和國境外提供數據的,應當具備下列條件之一: (一)通過國家網信部門組織的數據出境安全評估; (二)數據處理者和數據接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證; (三)按照國家網信部門制定的關于標準合同的規定與境外數據接收方訂立合同,約定雙方權利和義務; (四)法律、行政法規或者國家網信部門規定的其他條件。 數據處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的,或者為了保護個人生命健康和財產安全而必須向境外提供個人信息的除外。 |
《個人信息保護法》并沒有豁免“為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的,或者為了保護個人生命健康和財產安全而必須向境外提供個人信息”這兩個場景中的安全評估或認證或合同的義務。但是數安條例第三十五條卻對此做了豁免。因此,可以說數安條例“松了”
于此同時,數安條例相比《個人信息保護法》更加嚴格了。這方面體現在對個人同意這方面。
《個人信息保護法》第十三條規定——“依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意”。這句話的意思是:《個人信息保護法》第十三條之后各個條文中,如果出現需要征得個人同意,或者個人單獨同意的,只要存在《個人信息保護法》第十三條第二項至第七項規定情形時,都是可以豁免同意的。
但數安條例第三十六條明確“數據處理者向中華人民共和國境外提供個人信息的,應當向個人告知境外數據接收方的名稱、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外數據接收方行使個人信息權利的方式等事項,并取得個人的單獨同意”。就好比說,個人通過平臺預訂境外的酒店或境外航空公司的機票,平臺將個人的預訂信息傳輸至境外的酒店和航空公司。這個例子中,平臺將個人信息傳輸至境外酒店和航空公司,本身就是履行預訂服務合同中的必要,進一步說,平臺履行整個預訂服務所涉及的各種個人信息處理,包括對境外提供個人信息,合法性基礎都不是個人的同意。因此將個人信息傳輸至境外酒店和航空公司這個處理動作,也都不需要征得個人的同意。
這時候問題來了:這時候是否可以認為《個人信息保護法》第十三條中的表述,在法律效力方面是否能夠優于數安法的這條規定?
數據處理者向境外提供數據應當履行的義務
對于數安條例第三十九條和第四十條的規定,按照個人信息、重要數據、非個人信息且非重要數據的數據,來歸歸類。
個人信息 同上;以及如下:
重要數據 同“非個人信息非重要數據的數據”,以及如下:
數安條例第四十條“在每年1月31日前編制數據出境安全報告,向設區的市級網信部門報告上一年度以下數據出境情況” |
這里面很有意思的一點是:在第三十九條中,“不得超出網信部門安全評估時明確的出境目的、范圍、方式和數據類型、規模等向境外提供個人信息和重要數據”,似乎又把安全評估局限于個人信息和重要數據,而非一開始數安條例第三十五條要求的,需要覆蓋“非個人信息且非重要數據的數據”。
對于數據跨境安全網關(數安條例第四十一條),就不做分析了。第四篇文章到此打住。(完)
數據保護官(DPO)社群主要成員是個人信息保護和數據安全一線工作者。他們主要來自于國內頭部的互聯網公司、安全公司、律所、會計師事務所、高校、研究機構等。在從事本職工作的同時,DPO社群成員還放眼全球思考數據安全和隱私保護的最新動態、進展、趨勢。2018年5月,DPO社群舉行了第一次線下沙龍。沙龍每月一期,集中討論不同的議題。目前DPO社群已超過300人。關于DPO社群和沙龍更多的情況如下:
域外數據安全和個人信息保護領域的權威文件,DPO社群的全文翻譯:
- 印度《2018個人數據保護法(草案)》全文翻譯(中英對照版)(DPO沙龍出品)
- 巴西《通用數據保護法》全文中文翻譯(DPO沙龍出品)
- “美國華盛頓哥倫比亞特區訴Facebook“起訴書全文翻譯(DPO沙龍出品)
- 法國數據保護局發布針對與商業伙伴或數據代理共享數據的指南
- 德國聯邦反壟斷局對Facebook數據收集和融合行為提出嚴格限制(DPO沙龍出品)
- 德國聯邦反壟斷局審查Facebook數據收集融合行為的背景情況(DPO沙龍出品)
- “108號公約”全文翻譯(DPO沙龍出品)
- 美國司法部“云法案”白皮書全文翻譯(DPO社群出品)
- 新加坡《防止網絡虛假信息和網絡操縱法案》中文翻譯(DPO沙龍出品)
- 英國ICO《廣告技術和實時競價的更新報告》中譯文(DPO社群出品)
- “FTC與Facebook達成和解令的新聞通告”全文翻譯(DPO社群出品)
- CJEU認定網站和嵌入的第三方代碼成為共同數據控制者(DPO沙龍出品)
- FTC與Facebook“2019和解令”全文翻譯(DPO社群出品)
- 英國ICO《數據共享行為守則》中譯文(DPO社群出品)
- “hiQ Labs訴LinkedIn案上訴判決”中譯文(DPO社群出品)
- 法國數據保護監管機構(CNIL)有關cookies和其他追蹤方式的指引(全文翻譯)
- 美加州消費者隱私法案(CCPA) 修正案匯總中譯文(DPO沙龍出品)
- FTC“首次針對追蹤類App提起訴訟”的官方聲明中文翻譯(DPO社群出品)
- ICDPPC關于隱私和消費者保護、競爭維護交叉問題決議的中文翻譯(DPO社群出品)
- 德國關于確定企業GDPR相關罰款數額官方指南的中文翻譯(DPO社群出品)
- 亞洲十四個國家和地區數據跨境制度報告中譯本(DPO社群出品)
- 印度《個人數據保護法》(2019年草案)全文翻譯(DPO社群出品)
- 法國數據保護局(CNIL)關于人臉識別報告的中譯文(DPO社群出品)
- AEPD和EDPS | “哈希函數簡介——用于個人數據假名化技術”中譯文(DPO社群出品)
- 歐盟基本權利局“人臉識別技術”報告中文翻譯(DPO社群出品)
- 聯合發布 |《2020數字醫療:疫情防控新技術安全應用分析報告》
- 技術主權視野下的歐盟數字化轉型戰略探析(DPO社群出品)
- 意大利數據保護機關就新冠疫情聯防聯控中個人信息問題的意見(DPO社群出品)
- 新版《個人信息安全規范》(35273-2020)正式發布
- 英國ICO | 《兒童適齡設計準則:在線服務實業準則》全文翻譯之一
- 英國ICO | 《兒童適齡設計準則:在線服務實業準則》全文翻譯之二
- 《個人信息安全影響評估指南》(GB/T 39335-2020)正式發布
- 《英國ICO人工智能與數據保護指引》選譯 | 如何保護人工智能系統中的個人權利?
- 《英國ICO人工智能與數據保護指引》選譯 | 如何評估AI的安全性和數據最小化?
- 西班牙數據保護局《默認數據保護指南》全文翻譯(DPO社群出品)
DPO線下沙龍的實錄見:
- 數據保護官(DPO)沙龍第一期紀實
- 第二期數據保護官沙龍紀實:個人信息安全影響評估指南
- 第三期數據保護官沙龍紀實:數據出境安全評估
- 第四期數據保護官沙龍紀實:網絡爬蟲的法律規制
- 第四期數據保護官沙龍紀實之二:當爬蟲遇上法律會有什么風險
- 第五期數據保護官沙龍紀實:美國聯邦隱私立法重要文件討論
- 數據保護官(DPO)沙龍走進燕園系列活動第一期
- 第六期數據保護官沙龍紀實:2018年隱私條款評審工作
- 第八期數據保護官沙龍紀實:重點行業數據、隱私及網絡安全
- 第九期數據保護官沙龍紀實:《個人信息安全規范》修訂研討
- 第十期數據保護官沙龍紀實:數據融合可給企業賦能,但不能不問西東
- 第十一期數據保護官沙龍紀實:企業如何看住自家的數據資產?這里有份權威的安全指南
- 第十二期數據保護官紀實:金融數據保護,須平衡個人隱私與公共利益
- 第十三期DPO沙龍紀實:厘清《數據安全管理辦法》中的重點條款
- 第十四期DPO沙龍紀實:梳理《個人信息出境安全評估辦法(征求意見稿)》的評估流程
- 第十五期DPO沙龍紀實:SDK非洪水猛獸,但如果“作惡”亂收集信息,誰來管?
- 第十六期DPO沙龍紀實:查詢App收集個人信息類型、禁止收集IMEI號是未來監管趨勢
- 與歐美一流數據保護專家面對面(DPO沙龍特別活動)
- 第十七期DPO沙龍紀實:數據統一確權恐難實現 部門立法或是有效途徑
- 第十八期DPO沙龍紀實:生物識別信息的安全保護
- 第十九期DPO沙龍紀實:《個人信息保護法(草案)》專題研討會之一
- 第二十期DPO沙龍紀實:《個人信息保護法(草案)》專題研討會之二
個人數據與域外國家安全審查系列文章
- 個人數據與域外國家安全審查初探(一):美歐概覽
- 個人數據與域外國家安全審查初探(二):CFIUS實施條例詳解
- 個人數據與域外國家安全審查初探(三):從美國《確保ICT技術與服務供應鏈安全》
- 個人數據與域外國家安全審查初探(四):從美國《2019年安全與可信通信網絡法案》看
- 個人數據與域外國家安全審查初探(五):禁止中國公司對StayNTouch的收購
- 個人數據與域外國家安全審查初探(六):《2019國家安全和個人數據保護法案》
- 個人數據與域外國家安全審查初探(七):美國眾議院荒唐的決議草案
- 個人數據與域外國家安全審查初探(八):《2020安全的5G和未來通信》法案
- 個人數據與域外國家安全審查初探(九):澳大利亞《協助和訪問法》
- 美國司法部狙擊中國內幕(Inside DOJ's nationwide effort to take on China)
- 美國司法部“中國計劃”的概況介紹
- 突發 | 特朗普簽署關于TIKTOK和WECHAT的行政令
- 理解特朗普禁令中的Transactions
- 白宮決策內幕 | TIKTOK的命運是由一場"擊倒、拖出"的橢圓形辦公室爭斗所形塑
- 《國際緊急經濟權力法》(IEEPA)的起源、演變和應用
- 個人數據與域外國家安全審查 | 美國安局對地理位置信息的建議(全文翻譯)
- 外媒編譯 | 詭秘的美國外國投資委員會如何成為貿易戰的有力武器?
圍繞著TIKTOK和WECHAT的總統令,本公號發表了以下文章:
- 突發 | 特朗普簽署關于TIKTOK和WECHAT的行政令
- 理解特朗普禁令中的Transactions
- 白宮決策內幕 | TIKTOK的命運是由一場"擊倒、拖出"的橢圓形辦公室爭斗所形塑
- TikTok和甲骨文合作中的“可信技術提供商” | 微軟和德國電信合作的模式
- TikTok和甲骨文合作中的“可信技術提供商” | 蘋果和云上貴州合作模式
- 外媒編譯 | TikTok 零點時間:最后一刻的交易
- TikTok和甲骨文合作中的“可信技術提供商” | 來自EPIC的質疑和兩家公司的回復
第29條工作組/EDPB關于GDPR的指導意見的翻譯:
- 第29條工作組《對第2016/679號條例(GDPR)下同意的解釋指南》中文翻譯(DPO沙龍出品)
- 第29條工作組“關于減輕對處理活動進行記錄義務的立場文件”(DPO沙龍出品)
- 第29條工作組《第2/2017號關于工作中數據處理的意見》(DPO沙龍出品)
- 第29條工作組《關于自動化個人決策目的和識別分析目的準則》(DPO沙龍出品)
- 第29條工作組《數據可攜權指南》全文翻譯(DPO沙龍出品)
- 第29條工作組關于GDPR《透明度準則的指引》全文翻譯(DPO沙龍出品)
- EDPB《關于GDPR適用地域范圍(第3條)的解釋指南》全文翻譯(DPO沙龍出品)
- EDPB“關于《臨床試驗條例》與GDPR間相互關系”意見的全文翻譯(DPO沙龍出品)
- EDPB《車聯網個人數據保護指南》全文翻譯(DPO社群出品)
- EDPB關于GDPR中合同必要性指引的中文翻譯(DPO沙龍出品)
- EDPB關于“疫情場景中使用位置數據和接觸追蹤工具”指南:全文翻譯(DPO沙龍出品)
- EDPB | 《對第2016/679號條例(GDPR)下同意的解釋指南v1》中文翻譯(DPO社群出品)
- 第29條工作組 | 《關于匿名化技術的意見》中文全文翻譯(DPO社群出品)
- 歐盟委員會關于GDPR實施兩周年評估報告中文翻譯(DPO社群出品)
- EDPB | 《GDPR下數據控制者及數據處理者概念的指南(07/2020)》全文翻譯
- EDPB | 《針對向社交媒體用戶定向服務的指南(第8/2020號)》全文翻譯
- 數據安全的法律要求 | DPB關于數據泄露通知示例的01/2021號指引
關于美國出口管制制度,本公號發表過系列文章:
- 美國出口管制制度系列文章之一:對“外國生產的產品”的相關規則
- 美國出口管制制度系列文章之二:適用EAR的步驟
- 美國出口管制制度系列文章之三:蘇聯油氣管道的“華為”事件
- 美國出口管制制度 | 允許華為和美國公司共同制定5G標準
- 美國出口管制 | BIS發布針對“基礎性技術”出口管制的“擬議制定規則預先通知”
- 《華盛頓郵報》披露《美國對中國的戰略路徑》背后的決策博弈
- 美國出口管制 | ARM+美國公司收購=更強的出口管制?
供應鏈安全文章:
數據跨境流動政策、法律、實踐的系列文章:
- 構建數據跨境流動安全評估框架:實現發展與安全的平衡
- 構建數據跨境流動安全評估框架:實現發展與安全的平衡(二)
- 構建數據跨境流動安全評估框架:實現發展與安全的平衡(三)
- 構建數據跨境流動安全評估框架:實現發展與安全的平衡(四)
- TPP對跨境金融數據“另眼相看”?
- 馬來西亞擬將我國認定為個人數據跨境流動“白名單”地區
- 美國ITIF關于數據跨境流動的研究報告簡介
- Chatham House舉辦Cyber 2017大會,關注中國數據跨境流動
- 俄羅斯個人信息保護機構對隱私政策和數據跨境流動的新舉措
- 看清APEC“跨境隱私保護規則”體系背后的政治和經濟
- 敬請關注“閉門會-數據跨境流通”
- “閉門會:數據跨境流動政策分析” 總結
- 歐盟個人數據跨境流動機制進展更新(截止201810)
- 俄羅斯數據本地化和跨境流動條款解析
- 亞洲十四個國家和地區數據跨境制度報告中譯本(DPO社群出品)
- 《個人信息和重要數據出境安全評估辦法》實現了安全與發展的平衡
- 數據出境安全評估:保護我國基礎性戰略資源的重要一環
- 個人信息和重要數據出境安全評估之“境內運營”
- 《數據出境安全評估:保護我國基礎性戰略資源的重要一環》英文版
- 個人信息和重要數據出境安全評估之“向境外提供”
- 數據出境安全評估基本框架的構建
- 銀行業金融數據出境的監管框架與脈絡(DPO社群成員觀點)
- 《網絡安全法》中數據出境安全評估真的那么“另類”嗎
- 解析《個人信息出境安全評估辦法(征求意見稿)》實體保護規則背后的主要思路
- 《個人信息出境安全評估辦法(征求意見稿)》解讀:從中外比較的角度
- 數據跨境流動 | 澳大利亞政府提出新的數據本地化要求
- 數據跨境流動 | 美歐“隱私盾協議”被判無效背后的邏輯
- 數據跨境流動 | 歐盟EDPB對歐盟隱私盾協議被判無效的相關問答(全文翻譯)
- “清潔網絡計劃”下的APEC跨境隱私保護(CBPR)體系
- 數據跨境流動 | 愛爾蘭DPA即將禁止FACEBOOK的數據跨境傳輸
- 數據跨境流動 | 最新判決將顯著影響英國與歐洲大陸之間的數據自由流動
- 數據跨境流動 | 愛爾蘭高等法院暫時允許Facebook繼續個人數據跨大西洋傳輸
- 數據跨境流動 | 中國公司基于SCCs開展數據跨境流動的基本策略
- 數據跨境流動 | 美國三位高官就Schrems II判決公開向歐盟喊話
- 數據跨境流動 | 歐盟EDPS官員敦促美國強化個人救濟以達到“實質等同”
- 數據跨境流動 | 美國政府白皮書正式回應歐盟Schrems II判決
- 數據跨境流動 | EDPB關于標準合同條款之外的“補充措施”的指南終于問世
- 數據跨境流動 | EDPB提出“評估目的國法律環境”的指南(全文翻譯)
- 數據跨境流動 | 微軟率先提出對歐盟數據的專屬“保護措施”
- 數據跨境流動 | 歐盟新版標準合同條款全文翻譯
- 數據跨境流動 | EDPB和EDPS通過了關于新的SCCs的聯合意見
- 數據跨境流動 | 東盟跨境數據流動示范合同條款(全文翻譯)
- 數據跨境流動 | 東盟數據管理框架(全文翻譯)
- 數據跨境流動 | 推進“一帶一路”數據跨境流動的中國方案(專論)
- 數據跨境流動 | 歐盟新版標準合同條款(最終版)全文翻譯
- 數據跨境流動 | 歐盟關于歐盟境內的控制者和處理者間標準合同條款(全文翻譯 )
- 數據跨境流動 | EDPB關于標準合同條款之外的“補充措施”指南2.0版(全文翻譯)
- 數據跨境流動 | 兩張圖解讀EDBP“數據跨境轉移補充措施的最終建議”
- 數據跨境流動 | 推進“一帶一路”數據跨境流動的中國方案(英文本)
- 數據出境安全保障的中國路徑
傳染病疫情防控與個人信息保護系列文章
- 傳染病疫情防控與個人信息保護初探之一:個人信息的性質
- 傳染病疫情防控與個人信息保護初探之二:同意的例外
- 傳染病疫情防控與個人信息保護初探之三:數據技術的應用路徑
- 傳染病疫情防控與個人信息保護初探之四:接觸追蹤的數據共享安全規范
- 傳染病疫情防控與個人信息保護初探之五:電信數據的安全規范
- 傳染病疫情防控與個人信息保護初探之六:GDPR框架下的公共衛生數據共享
- 傳染病疫情防控與個人信息保護初探之七:美國公共衛生機構的數據調取權力
- 傳染病疫情防控與個人信息保護初探之完結篇:解讀中央網信辦通知
- 歐盟國家和英國的數據保護部門對疫情防控的官方意見匯總(DPO社群出品)
- 美國疫情防控中的關鍵基礎設施的識別和認定(DPO社群出品)
- 意大利數據保護機關就新冠疫情聯防聯控中個人信息問題的意見(DPO社群出品)
- 歐委會關于新冠疫情中利用移動數據和應用官方建議的全文翻譯(DPO沙龍出品)
- 漫畫圖解蘋果和谷歌聯手開發的接觸追蹤應用的基本原理
- 澳門關于疫情防控中進出場所人員個人資料保護的通告
- 疫情防控常態化中的接觸追蹤:中國方案
- 歐委會“支持抗擊新冠疫情的APP的數據保護指引”全文翻譯(DPO社群出品)
- 來自歐洲的接觸追蹤協議(ROBERT Protocol)的基本原理:漫畫圖解
- 英國信息專員對蘋果谷歌接觸追蹤項目的官方意見:全文翻譯(DPO社群出品)
- 三百名學者關于接觸追蹤APP的聯合聲明
- EDPB關于“疫情場景中使用位置數據和接觸追蹤工具”指南:全文翻譯(DPO沙龍出品)
- 新冠疫情防控常態化下的個人信息保護工作的思考和建議
- 韓國利用ICT抗疫經驗總結:接觸追蹤部分(中文翻譯)
- 全文翻譯 | 歐盟新冠肺炎“接觸追蹤”APP 共同工具箱(DPO沙龍出品)
- EDPB | 關于在COVID-19疫情背景下為科研目的處理健康數據指南(全文翻譯)
關于數據與競爭政策的翻譯和分析:
- "法國競爭管理局對蘋果iOS限制APP追蹤措施的初步決定"全文翻譯(上篇)
- "法國競爭管理局對蘋果iOS限制APP追蹤措施的初步決定"全文翻譯(下篇)
- 歐盟與谷歌在反壟斷方面的大事記(競爭法研究筆記一)
- Facebook時代的合并政策(競爭法研究筆記二)
- “在隱私辯論中關注競爭水平的維護”(競爭法研究筆記三)
- 歐盟委員會針對亞馬遜開展調查(競爭法研究筆記四)
- 德國聯邦反壟斷局對Facebook數據收集和融合行為提出嚴格限制(DPO沙龍出品)
- 德國聯邦反壟斷局審查Facebook數據收集融合行為的背景情況(DPO沙龍出品)
- 案件摘要:德國反壟斷監管機構對Facebook數據收集融合行為裁決
- 日本擬效仿德國:對IT巨頭非法收集個人信息適用“反壟斷法”
健康醫療大數據系列文章:
- 健康醫療大數據系列文章之一:英國健康醫療大數據平臺care.data之殤
- 健康醫療大數據系列文章之二:安全是健康醫療大數據應用的核心基礎
- 健康醫療大數據系列文章之三:棘手的健康醫療大數據共享、開放、利用
- 英美健康醫療大數據安全現狀和合規研究
- 健康醫療數據 | NHS計劃與第三方共享病人記錄
- 健康醫療數據 | NHS數據共享計劃的“隱私政策”
- 健康醫療數據 | NHS數據共享計劃所引發的公眾擔憂
網聯汽車數據和自動駕駛的系列文章:
- 自動駕駛數據共享:效用與障礙
- 自動駕駛數據共享:效用與障礙(附文字實錄)
- 北京市關于自動駕駛車輛道路測試的立法綜述及動態(DPO社群成員觀點)
- 自動駕駛的基建工程 — 高精地圖產業促進與國家管控的平衡(DPO社群成員觀點)
- 《汽車數據安全管理若干規定(征求意見稿)》 | 規范對象和基本原則
- 《汽車數據安全管理若干規定(征求意見稿)》 | 個人信息和重要數據的細化規范
- 《汽車數據安全管理若干規定(征求意見稿)》 | 數據出境和監管手段
- 《汽車數據安全管理若干規定(征求意見稿)》 | 配套制度
- 《汽車數據安全管理若干規定(征求意見稿)》 | “汽車數據”與EDPB指南中的聯網車輛
- 《汽車數據安全管理若干規定(征求意見稿)》 | “車內處理”與EDPB指南中“終端設備”
- 《汽車數據安全管理若干規定(征求意見稿)》 | 個人信息的分類分級規則
- 《汽車數據安全管理若干規定(征求意見稿)》 | 向車外提供數據的規則
- EDPB《車聯網個人數據保護指南》全文翻譯(DPO社群出品)
- EDPB《車聯網個人數據保護指南2.0》比較翻譯(DPO社群出品)
- 網聯車輛 | 網聯車輛采集和產生的數據類型概覽
- 網聯車輛 | 美國聯邦貿易委員會(FTC)對數據隱私的原則性觀點
- 網聯車輛 | 德國官方和行業協會在數據保護方面的聯合聲明
- 網聯車輛 | 英國信息專員辦公室(ICO)就個人數據保護的立場和意見
- 網聯車輛 | 法國數據保護局(CNIL)的一攬子合規方案
- 網聯車輛 | 電信領域國際數據保護工作組的工作文件(全文翻譯)
- 《汽車數據安全管理若干規定(征求意見稿)》 | 運營者概念
關于中美與國家安全相關的審查機制的系列文章:
美國電信行業涉及外國參與的安全審查(一):基本制度介紹
美國電信行業涉及外國參與的安全審查(二):國際性的第214節授權
美國電信行業涉及外國參與的安全審查(三):建立外國參與安全審查的行政令
美國電信行業涉及外國參與的安全審查(四):FCC對中國企業的陳述理由令
- 網絡安全審查制度利刃出鞘
- 對《網絡安全審查辦法(征求意見稿)》的幾點觀察
- 網絡安全審查制度吹響了向網絡安全強國邁進的號角
- 我國網絡安全審查制度走向前臺
- 網絡安全審查的中歐比較:以5G為例
- 網絡安全審查 | 中國《網絡安全審查辦法》的邏輯和要旨:以5G安全為例
- ICTS安全審查 | 美國針對“信息和通信技術及服務”和“聯網應用”安全審查的兩個行政令
- ICTS安全審查 | 美國智庫學者的分析和呼吁
- ICTS安全審查 | 美國商務部確保ICTS供應鏈安全實施規則(全文翻譯)
網絡空間的國際法適用問題系列文章:
赴美上市網絡、數據安全風險系列文章如下:
- 赴美上市與網絡、數據安全 | 美國SEC對赴美上市公司披露義務的指導意見
- 赴美上市與網絡、數據安全 | 時任美國SEC的領導層對上市公司網絡安全披露的觀點
- 赴美上市與網絡、數據安全 | 美國SEC強制或自愿性要求信息提供的權力
- 赴美上市與網絡、數據安全 | 美國SEC針對會計師事務所從域外調取信息的權力和實踐
- 赴美上市與網絡、數據安全 | 美國SEC關于網絡安全事項披露的2018指南(全文翻譯)
- 赴美上市與網絡、數據安全 | 美國《外國公司問責法案》(全文翻譯)
- 赴美上市與網絡、數據安全 | 美國SEC關于非財務報告要求的概覽
- 赴美上市與網絡、數據安全 | 美國SEC關于“重大合同”的披露要求
- 赴美上市與網絡、數據安全 | PCAOB落實《外國公司問責法案》的規則草案
- 赴美上市與網絡、數據安全 | 美國政客推動加速《外國公司問責法案》的執行
- 赴美上市與網絡、數據安全 | 美國法下獲取我國赴美上市企業數據的可能性(上)
- 赴美上市與網絡、數據安全 | SEC主席對中國監管措施的最新表態
人臉識別系列文章:
- 歐盟基本權利局“人臉識別技術”報告中文翻譯(DPO社群出品)
- 法國數據保護局(CNIL)關于人臉識別報告的中譯文(DPO社群出品)
- 零售門店使用人臉識別技術的主要法律問題(DPO社群成員觀點)
- 人臉識別技術的規制框架(PPT+講稿)
- 人臉識別技術運用的六大場景及法律規制框架的適配(DPO社群成員觀點)
- 人臉識別技術的法律規制研究初探(DPO社群成員觀點)
- 美國聯邦隱私保護立法草案研究(四):“生物識別信息”
- 美國華盛頓州人臉識別服務法案中文翻譯(DPO社群出品)
- PAI | 《理解人臉識別系統》全文翻譯(DPO社群出品)
- 解讀世界首例警方使用人臉識別技術合法性判決二審判決(DPO社群成員觀點)
- 人臉識別技術研究綜述(一):應用場景
- 人臉識別技術研究綜述(二):技術缺陷和潛在的偏見
- 美國人臉識別技術的法律規范研究綜述 | 拼湊式(Patchwork)的范式
- 美國《2020年國家生物識別信息隱私法案》中譯文
- 人臉識別技術是潘多拉盒子還是阿拉丁神燈?
- 人臉識別 | “第108號公約+”咨詢委員會發布《關于人臉識別的指南》(全文翻譯)
- 人臉識別 | EDPB“關于通過視頻設備處理個人數據的指南”(全文翻譯)
- 人臉識別 | EDPS關于面部情緒識別的觀點
- 人臉識別 | 保護人臉信息 規范行業健康發展的有效司法路徑
- 人臉識別 | 對我國“人臉識別技術民事案件司法解釋”中“單獨同意”的理解
關于歐盟技術主權相關舉措的翻譯和分析:
- 技術主權視野下的歐盟數字化轉型戰略探析(DPO社群出品)
- 歐盟委員會主席首提“技術主權”概念
- 推進歐洲可持續和數字化轉型:《歐洲新工業戰略》解讀(DPO社群成員觀點)
- 歐盟“技術主權”進展 | 德國和法國推出歐盟自主可控的Gaia-X云平臺計劃
- 歐盟“技術主權”進展 | 歐盟如何在科技領域能主導下一個十年
- 歐盟“技術主權”進展 | 關于數字平臺監管的建議
- 歐盟“技術主權”進展 | 歐洲共同數據空間治理立法框架
- 歐盟《數字市場法》選譯之一:解釋性備忘錄
- 歐盟《數字市場法》選譯之二:序言和條文
- 歐盟《數字服務法》選譯之一:解釋性備忘錄
- 歐盟《數字服務法》選譯之二:序言
- 歐盟《數字服務法》選譯之三:(實體規則方面的)條文
- 歐盟《數字服務法》《數字市場法》簡評
- 歐洲法院:歐盟成員國的數據保護機構都可對Facebook提出隱私方面的訴訟
- 歐盟技術主權 | 《電子隱私條例》(e-Privacy Regulation)全文翻譯
- 歐盟技術主權 | “歐盟在全球數據爭奪戰中的位置”:歐盟副主席采訪實錄
- 歐盟技術主權 | “技術的地緣政治”:歐盟內部市場委員的演講
關于保護網絡和信息系統安全的相關文章包括:
- 以風險治理的思想統籌設計關鍵信息基礎設施保護工作
- 中德兩國在識別關鍵信息基礎設施方面的一點比較
- 美國疫情防控中的關鍵基礎設施的識別和認定(DPO社群出品)
- 美國《關于改善國家網絡安全的行政命令》分析之一
- 美國《關于改善國家網絡安全的行政命令》之五大“看點”
- 網絡和信息系統安全 | 網絡安全信息共享:為什么和怎么做
- 網絡和信息系統安全 | 主體責任與綜合共治 關鍵信息基礎設施保護的新格局
數據執法跨境調取的相關文章:
- 微軟起訴美國司法部:封口令違法!
- 網絡主權的勝利?再評微軟與FBI關于域外數據索取的爭議
- 微軟與FBI關于域外數據索取的爭議暫告一段落
- 美國Cloud Act法案到底說了什么
- Cloud Act可能本周就得以通過!
- 修改版的Cloud Act終成為法律
- 歐盟推出自己的“Cloud Act”
- 美國快速通過Cloud法案 清晰明確數據主權戰略
- 德國最高數據保護官員就美國“云法案”提出警告
- 美國司法部“云法案”白皮書全文翻譯(DPO社群出品)
- TikTok和甲骨文合作中的“可信技術提供商” | 微軟和德國電信合作的模式
- TikTok和甲骨文合作中的“可信技術提供商” | 蘋果和云上貴州合作模式
- 歐洲將立法允許執法跨境直接調取數據
- 數據跨境流動 | “法律戰”漩渦中的執法跨境調取數據:以美歐中為例
- 赴美上市與網絡、數據安全 | 美國SEC針對會計師事務所從域外調取信息的權力和實踐
- 跨境數據調取 | 針對中資銀行的數據調取行為概覽
- 跨境數據調取 | 中美歐的模式沖突(耶魯大學翻譯版)
關于人工智能安全和監管,本公號發布過以下文章:
- 《英國ICO人工智能與數據保護指引》選譯 | 如何評估AI的安全性和數據最小化?
- 英國ICO人工智能指導 | 數據分析工具包(全文翻譯)
- 《英國ICO人工智能與數據保護指引》選譯 | 如何保護人工智能系統中的個人權利?
- 人工智能 vs. 個人信息保護之“個人同意”
- 《以倫理為基礎的設計:人工智能及自主系統以人類福祉為先的愿景(第一版)》
- AI監管 | EDPB和EDPS對歐盟AI條例的聯合意見書(全文翻譯)
- AI監管 | 對歐盟AI統一規則條例的詳細分析
- AI監管 | 歐盟《AI統一規則條例(提案)》(全文翻譯)
- AI監管 | 意大利因騎手算法歧視問題對兩個食物配送公司處于高額罰款
- AI監管 | 用戶數據用于AI模型訓練場景的合規要點初探
- 我國信息服務算法推薦管理 | 與個人信息保護的耦合和差異
- 我國信息服務算法推薦管理 | 條文背后的技術邏輯“想象”
- 我國信息服務算法推薦管理 | 分類分級管理
- 我國信息服務算法推薦管理 | 合規的基礎性工作:技術說明
數據的安全、個人信息保護、不正當競爭等方面的重大案例:
- 因隱私政策不合規,西班牙對Facebook開出巨額罰單
- 英法兩國對 AdTech和廣告類SDK的監管案例分析
- Facebook事件多層次影響 及中美歐三地監管展望
- FTC vs Facebook:50億美元和解令的來龍去脈
- FTC與Facebook“2019和解令”全文翻譯
- 案件摘要:德國反壟斷監管機構對Facebook數據收集融合行為裁決
- 德國聯邦反壟斷局審查Facebook數據收集融合行為的背景情況
- 德國聯邦反壟斷局對Facebook數據收集和融合行為提出嚴格限制
- GDPR與相關數據保護法律處罰案例調研
- 他山之石:美國20年間33個兒童信息保護違法案例分析
- 重大案件 | 分析WhatsApp的2.25億歐元罰款決定:合法利益事項
- “臉書文件” | 爆料人的美國會聽證會開場白、歐盟“數字服務法”推動人的表態
數字貿易協定的相關文章有:
- TPP對跨境金融數據“另眼相看”?
- 數字貿易協定 | 歐盟GDPR與WTO的必要性測試
- 數字貿易協定 | GATS/GATT中“一般性例外條款”的援引實踐
- 數字貿易協定 | 貿易談判中的中美歐數據跨境流動博弈概覽
- 數字貿易協定 | DEPA和CPTPP給國內數據本地化和跨境流動管控預留的“自由度”
中國個人信息保護立法的相關文章包括:
- 中國個人信息保護立法 | 《個人信息保護法(草案)》與GDPR的比較
- 中國個人信息保護立法 | 合同所必需:魔鬼在細節之中
- 對《常見類型移動互聯網應用程序必要個人信息范圍規定》的兩點理解
- 對《常見類型移動互聯網應用程序必要個人信息范圍規定》的再理解
- 理解《數據安全法》《個人信息保護法》二審稿的實質性修改內容(一)
- 個保法解讀之數據可攜帶權(DPO社群成員觀點)
- 《個人信息保護法》與《個人信息安全規范》對照比較表
- 過度收集個人信息如何破解
- 中國個人信息保護立法 | 解析GDPR中的風險路徑
- 中國個人信息保護立法 | 善用個人信息保護影響評估 靈活實現創新和個人保護的平衡
- 中國個人信息保護立法 | 《個人信息保護法》與GDPR 條文對比
- 中國個人信息保護立法 | 合規審計:英國ICO的指南(全文翻譯)
- 個人信息保護 | 歐盟第29條工作組《關于網絡行為廣告的2/2010號意見》(全文翻譯)
- 關于個人信息處理者用戶規模的量級
《數據安全法》相關的文章包括:
- 對《數據安全法》的理解和認識 | 立法思路
- 對《數據安全法》的理解和認識 | 數據分級分類
- 對《數據安全法》的理解和認識 | 中國版的封阻法令
- 對《數據安全法》的理解和認識 | 重要數據如何保護
- 評《網絡安全法》對數據安全保護之得與失
- 從立法價值取向出發理解《網絡安全法》中的"重要數據"
- 歐盟《數據法》構思B2G數據強制共享與我國“重要數據”:公共屬性
- 行業梳理 | 征信業的十個增強式數據安全保護要求
- 行業梳理 | 工信領域數據安全中的分類分級
- 重要數據 | 級別概念 vs 類別概念
- 重要數據 | 國家安全視野中的數據分類分級保護
- 重要數據 | 從概述到具體字段:keystone原則
數據要素治理相關的文章包括:
- 《非個人數據在歐盟境內自由流動框架條例》全文中文翻譯(DPO沙龍出品)
- 簡析歐盟《數字市場法》關于數據方面的規定
- 數據流通障礙初探——以四個場景為例
- 對“數據共享合法化”的分析與思考系列之一:以《關于歐洲企業間數據共享的研究》為起點
- 對“數據共享合法化”的分析與思考 系列之二 ——歐盟B2B數據共享的案例研究
- 對“數據共享合法化”的分析與思考 系列之三 ——更好的保護才能更好的共享
- 用戶授權第三方獲取自己在平臺的數據,可以嗎?不可以嗎?(DPO沙龍線上討論第三期)
- 數據爬取的法律風險綜述(DPO社群成員觀點)
- 第29條工作組《數據可攜權指南》全文翻譯(DPO沙龍出品)
- 澳《消費者數據權利法案》對數據共享與數據可攜權的探索(DPO社群成員觀點)
- 歐盟“技術主權”進展 | 歐洲共同數據空間治理立法框架
- 數據要素治理 | 歐盟《數據法》初始影響評估(全文翻譯)
個性化廣告系列文章包括:
- 個人信息保護 | 歐盟第29條工作組《關于網絡行為廣告的2/2010號意見》(全文翻譯)
- 法國數據保護監管機構(CNIL)有關cookies和其他追蹤方式的指引(全文翻譯)
- 英法兩國對 AdTech和廣告類SDK的監管案例分析
- 英國ICO《廣告技術和實時競價的更新報告》中譯文(DPO社群出品)
- 網絡行為定向廣告中的個人信息保護問題初探
- 美國個信保護立法 | 州層面三部法案系列研究之二:定向廣告的定義
- 對兒童開展廣告定向推送的法律風險(DPO社群成員觀點)
- 解析歐盟法院對與Cookies相關的告知和同意的最新判決(DPO社群成員觀點)
- 個性化廣告 | 個性化廣告與個人信息保護如何平衡的幾點思考
- 個性化廣告 | 歐盟的自動化程序廣告即將迎來由GDPR引發的“震動”
