查看原文
其他

《个人信息保护法(草案)》十一大亮点面面观

陈际红 蔡鹏 等 中伦视界 2022-07-31

作者:陈际红 蔡鹏 吴佳蔚 焦雅婷

2020年10月21日,全国人民代表大会常委会审议后的《个人信息保护法(草案)》(“草案”)正式对外发布征求意见,昭示着中国的个人信息保护法制进程即将进入新篇章。未来《草案》正式颁布实施后,将与《网络安全法》和《数据安全法》(审议中)构成我国网络空间安全和数据保护的三驾马车。《草案》全文八章七十条,汲取了包括欧盟《通用数据保护条例》(“GDPR”)等域外先进的立法经验,采取符合我国现阶段实际情况的立法路径,一方面切实响应了实践中个人信息保护领域存在的突出问题,凸显了对个体权益的重大关切,另一方面对于新技术、新应用带来的不确定性秉持谦抑态度,体现了法律的包容性和前瞻性。


《草案》发布后,还会有数次的征求意见和修改,但就《草案》来看,是一部较高质量的立法草案,总结起来有十一大亮点。


亮点一:借鉴国外立法经验,设定域外适用效力


《草案》第三条规定法律的适用范围,以属地原则为基础,设定了特定情况下的域外适用效力,使得该法具有了“长臂管辖”的效果。除了在境内处理自然人个人信息的活动适用本法外,在境外处理境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一) 以向境内自然人提供产品或者服务为目的;(二) 为分析、评估境内自然人的行为;(三) 法律、行政法规规定的其他情形。


该款关于境外处理境内自然人信息的法律适用,借鉴了GDPR第3条第2款[1]关于地域范围适用的规定,分别对应产品、服务提供和监控(Monitor)的要求。《草案》对“为分析、评估境内自然人的行为”作出了清晰的本地化描述,界定了境外组织、个人对于境内自然人信息的处理是否适用本法的判断标准,确立了个人信息保护制度中长臂管辖的基本要求。针对第二款的情形,《草案》第五十二条还进一步参考了GDPR第27条[2]的规定,即要求境外的个人信息处理者在境内设立专门机构或指定代表,并向履行个人信息保护职责的部门报送相关信息。


此外,《草案》第六十八条第一款借鉴了GDPR第2条第2款[3]的规定,从反面限缩了法律的适用范围,具体规定为:“自然人因个人或者家庭事务而处理个人信息的,不适用本法”。《草案》第六十八条第二款规定的“各级人民政府及其有关部门组织实施的统计、档案管理活动”的情形,则借鉴了GDPR第5条[4]和第89条[5]的规定,个人信息处理活动是基于统计、档案管理的目的的,如法律有特别规定,应优先适用,属于特别法优先适用的情形。


作为全球化和数字化的伴随产物,跨境的数字活动呈现快速增长趋势,其产生的影响效果往往跨越地域,和国家安全、公共利益和个人权益密切相关。基于此,在有关网络空间和数字活动的立法中,比如《网络安全法》《数据安全法(征求意见稿)》和《出口管制法》[6],设定域外适用效力会成为惯例。


亮点二:确立个人信息处理的七大原则


《草案》规定了个人信息处理的七大基本原则:合法性原则(第五条)、目的明确原则(第六条)、最小必要原则(第六条)、公开透明原则(第七条)、准确性原则(第八条)、可问责性原则(第九条)、数据安全原则(第九条)。这七大原则与既往的相关法律法规一脉相承,又有新的突破,对比如下表:


点击图片查看大图


在参考《个人信息安全规范》的基础上,《草案》有选择性地参考了GDPR第5条第1款[7]的内容,增加了数据准确性原则的规定。


亮点三:同意不再唯一,多重设置处理个人信息的合法基础


GDPR就处理个人数据设定了六项合法基础,而《网络安全法》仅将同意视为处理个人信息的唯一合法基础,这一苛刻的规定也是业界所诟病之处。《草案》延续《民法典》的规定,突破了《网络安全法》的限制,更深入地借鉴了GDPR关于合法基础的规定。


点击图片查看大图


通过上述对比可以看出,在《民法典》的基础上,《草案》将订立或履行合同所必需、保护自然人的重大利益以及公共利益纳入个人信息处理的合法基础的范围,结合疫情防控的现状,突出了突发公共卫生事件的规定。综合考虑国情和国外实践的难度,《草案》未加入正当利益这一合法基础。对于已公开的个人信息的利用,《草案》第二十八条在《民法典》合理处理规定的基础上另行作出规定,并未纳入合法基础中作为同意的例外存在。


亮点四:首次提出单独同意和书面同意的要求


在个人信息的保护实践和行政监管中,获得有效同意的标准,一直是颇具争议的问题。《草案》对于获取有效同意的标准,提出了具体要求:


  • 应当由个人在充分知情的前提下,自愿、明确作出意思表示(第十四条);


  • 明知或应知处理未满十四周岁未成年人个人信息的,应取得其监护人的同意(第十五条);


  • 个人有权撤回其同意(第十六条);除非是提供产品或服务所必需,否则不得以个人不同意或者撤回同意为由,拒绝提供产品或服务(第十七条)。


《草案》专门规定了此前未曾明确规定过的单独同意、书面同意的形式要求,需要满足该等特殊要求的情形如下:


点击图片查看大图


之前,《个人信息安全规范》等规范文件中仅仅出现了明示同意的要求。单独同意以及书面同意实质上为个人信息处理者设置了更明确的“明示”要件,将对未来的合规实践产生深远的影响。


同意的相关要求与合法性原则有关,而个人信息处理规则与公开透明原则有关。在实践中,二者在提供产品或服务所必须的情形下可能会适用同一套授权文本,但实质上是两部分要求。对于公开明示个人信息处理规则的要求,相较于其他法案,《草案》明确地规定了存在保密等法定要求无需告知的情形以及紧急情况消除后予以告知的情形(第十九条),再次体现了合法性原则和公开透明原则两部分合规要求的区别。


亮点五:明确共同处理和委托处理个人信息的责任承担


与GDPR区分控制者[8]和处理者[9]所不同的是,《草案》遵循《民法典》的设定,仅规定了个人信息处理者。个人信息处理者是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人(第六十九条)。《草案》对个人信息处理活动中的角色均按照行为特征进行描述。


针对在个人信息处理活动中各方的责任承担,其与GDPR的对比如下。


点击图片查看大图


通过以上对比我们可以得知,《草案》对共同决定处理目的和方式以及委托处理个人信息的规定,与GDPR所规定的共同控制者和处理者的义务基本一致。《草案》实质上延续了《个人信息安全规范》中对于共同个人信息控制者[10]和委托处理[11]的规定。但是,区别于《个人信息安全规范》的细致性规定,《草案》以一种更为洗练、简明的方式设定了数据处理各方的义务边界。


此外,《草案》参考《网络安全法》第四十二条[12]和《民法典》第一千零三十八条[13]的规定,对于向第三方提供个人信息的行为,要求个人信息处理者应当告知并取得单独同意,接收方应当遵守目的限制原则,并且不得采用技术等手段重新识别已采取匿名化处理的个人身份(第二十四条)。《草案》还借鉴了《个人信息安全规范》第9.3条[14]关于因合并、分立等原因变更个人信息处理者的规定(第二十三条)。


亮点六:回应新技术的发展,规制公开数据利用和自动化决策行为


对于利用个人信息进行自动化决策的情形,考虑到新技术发展的趋势,《草案》第二十五条借鉴GDPR第22条[15]的规定,要求数据处理者保证决策的透明度和处理结果的公平合理。《草案》赋予了个人在认为自动化决策有重大影响的情况下,要求个人信息处理者予以说明并拒绝其仅通过自动化决策方式作出决定的权利。通过自动化决策方式进行商业营销、信息推送的情形在《电子商务法》第十八条[16]、《个人信息安全规范》第7.5条[17]中被规定为定向推送和个性化展示,其在《APP违法违规收集使用个人信息行为认定方法》第三点[18]中也有规定。《草案》第二十五条对上述规定进行了继承,要求个人信息处理者应当同时提供不针对其个人特征的选项。


对于个人信息公开问题,《草案》第二十六条规定,个人信息处理者除非取得单独同意或者法律法规另行规定,不得公开其处理的个人信息。对于已公开的个人信息的处理,《草案》第二十八条在《民法典》第一千零三十六条[19]的基础上更进一步,首次在法律层面规定了对于公开个人信息利用的基本规则,规定在处理时应符合个人信息被公开时的用途,如超出合理范围应依法向个人告知并取得其同意;当被公开的用途不明确时,应合理、谨慎地处理;如利用已公开的个人信息从事对个人有重大影响的活动,应当依法向个人告知并取得其同意。


已公开信息的收集和利用是大数据时代的重要数据来源,但合法利用边界一直不甚清晰,近年引起广泛争议的爬虫技术即为一例。《草案》第二十八条能否对此给出明确的指引,设定的条件是否过于苛刻而不利于大数据应用的发展,值得商榷。


亮点七:规制国家机关的处理行为


结合近期国际社会对于限制各国公权力机构对于个人信息处理的呼声[20],借鉴GDPR第2条第3款[21]等相关条款对于相关机构、实体适用的立法经验,《草案》特设专节对于国家机关处理个人信息进行规制。这一特别规定也回应了疫情期间民众对于政府的个人信息处理行为的疑虑。


《草案》第三十三条规定国家机关处理个人信息的行为应适用本法;国家机关应严格遵守法定权限、程序,并且不得超出法定职责所必需的范围和限度(第三十四条);除非法律、法规规定应当保密或者将妨碍法定职责的履行,否则国家机关履职时如涉及处理个人信息,应按本法规定向个人告知并取得其同意(第三十五条);除非法律、法规另有规定或者已取得同意,国家机关不得公开或者向他人提供个人信息(第三十六条)。


《草案》第三十七条规定了国家机关本地化存储个人信息的义务,以及如确需向境外提供个人信息,应进行风险评估的义务。


亮点八:中国版个人信息跨境流动规则浮出水面


自《网络安全法》第三十七条[22]对于关键信息基础设施运营者的数据本地化义务和跨境传输义务进行规定之后,个人信息跨境提供的具体制度落地一直是立法机构和企业合规实践关注的焦点问题。《草案》从法律层面明确了个人信息跨境提供的基本规则,《草案》生效后将对个人信息跨境提供制度的落地起到极大的促进作用。


首先,就个人信息本地化存储义务,《草案》第四十条规定关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量[23]的个人信息处理者,应当将在境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。该等设置一方面延续了《网络安全法》第三十七条项下保护国家安全和公共利益的基本要求,另一方面也赋予了行政机构和其他法律、法规针对敏感性不高的个人信息允许便利跨境提供的裁量空间。


其次,就个人信息跨境提供的条件,《草案》第三十八条规定有四种合法场景:国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方订立合同及法律,以及行政法规或者国家网信部门规定的其他条件。较之之前的《个人信息出境安全评估办法(征求意见稿)》(“《安全评估办法》”),《草案》丰富了个人信息跨境提供的合法场景,便利企业的合规遵循。《草案》第三十九条提出了告知加单独同意的要求,取代了《安全评估办法》中的同意和针对个人敏感信息[24]的明示同意。


《草案》第四十一条针对因国际司法协助或行政执法协助的跨境个人信息提供,提出了申请批准的法定要求。《草案》第四十二条和第四十三条分别针对境外组织、个人的违法、危害国家安全、公共利益的行为,以及其他国家、地区的歧视性禁止、限制行为提出了明确的惩罚和反制措施。


亮点九:赋予个人信息主体九大权利


《草案》首次全面规定了个人在个人信息处理活动中的九大法定权利。《草案》与《民法典》第一千零三十七条[25]及《个人信息安全规范》第8条[26]的有关规定相衔接,明确了在个人信息处理活动中个人的各项权利,包括知情权、决定权、限制和拒绝权(第四十四条)、查阅、复制权(第四十五条)、更正权(第四十六条)、删除权(第四十七条)、有权要求个人信息处理者说明个人信息处理规则(第四十八条),并要求个人信息处理者建立个人行使权利的申请受理和处理机制(第四十九条)。


上述《草案》规定的法定权利与GDPR以及《加利福尼亚州消费者隐私法》(“CCPA”)的对比如下:


点击图片查看大图


《草案》中赋予个人在个人信息处理活动中的权利与GDPR[30]和CCPA有一定的相似性。具体而言,知情权要求应在收到请求时对个人信息处理规则进行解释说明;决定权的权能与GDPR中的限制处理权及拒绝权相类似,但GDPR对数据主体权利行使的情形进行了更加细致的说明;查阅、复制权与GDPR和CCPA中的访问权基本对应;更正权、删除权与GDPR大体相同,但值得注意的是,《草案》还规定了个人信息在法律、法规规定保存期限未届满或无法删除时,个人信息处理者应对其停止处理;自动化决策相关的权利与GDPR基本一致。各国在个人信息保护法定权利设置方面的差异值得跨国公司深度关注。


亮点十:明确个人信息处理者应承担的法定义务


参考GDPR关于控制者义务的规定,《草案》第五章明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施(第五十条),并指定负责人对其个人信息处理活动进行监督(第五十一条),定期对其个人信息活动进行合规审计(第五十三条),对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估(第五十四条),履行个人信息泄露通知和补救义务等(第五十五条)。


其与GDPR、《个人信息安全规范》的对比具体如下。


点击图片查看大图


亮点十一:促进合规、阻却违法:高额行政罚款和“公益”诉讼


《草案》在罚则中,一方面承续了《网络安全法》第六十四条[31]处以一百万元以下罚款以及对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款的基本规定,另一方面规定了情节严重时高达五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款(第六十二条)。组织、个人的相关违法行为还会被记入信用档案并予以公示(第六十三条)。严厉的惩罚措施借鉴了GDPR[32]的监管思路,体现了监管机构整肃个人信息滥用风气,打造良好的个人信息保护生态的决心。


此外,《草案》还规定了“公益”诉讼制度,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼(第六十六条)。


结语

《草案》是国家针对个人信息保护的专门性立法,继承了《民法典》所设立的基本原则且有所突破,与《网络安全法》《数据安全法(草案)》等专门法律各有侧重,相互支持,同时也对此领域的规章制度、国家标准等形成上位指导。在吸取了GDPR等域外先进经验以及《个人信息安全规范》等推荐性国家标准先行规定的基础上,《草案》体现出如下特点:


(一)明确适用范围和立法目的:从个人信息、处理等核心概念到适用地域范围的界定,紧扣保护个人信息权益,规范个人信息处理活动,保障个人信息依法有序自由流动,促进个人信息合理利用的立法目的;


(二)以风险为导向,健全个人信息处理规则:确立了个人信息保护的细化原则,贯穿个人信息处理的全生命周期,明确除同意之外的多个合法基础,针对向第三方提供个人信息、公开、处理敏感个人信息等风险较高的场景提出取得单独同意等更严格的法定要求;


(三)完善个人信息跨境提供规则:在考虑到与《网络安全法》进行衔接的同时,明确个人信息本地化和跨境提供的义务,较之以往的征求意见稿规定,降低对于低风险个人信息跨境提供的要求,对于违法的境外主体以及国家和地区,提出明确的惩罚和反制措施;


(四)顺应数字经济的发展趋势,关注新业态的发展,并对自动化决策等的新问题作出适应性调整,创造性地深化公开数据的利用规则,响应疫情期间大数据监控等新情况对于保护自然人权益的新要求;


(五)切实保护自然人在个人信息处理活动中的权益,加深个人信息处理者的义务:与相关法律规定有机衔接的基础上,《草案》明确在个人信息处理活动中自然人的各项权利,并要求个人信息处理者建立个人行权和处理机制;要求个人信息处理者承担合规管理和数据安全义务,不仅体现在组织架构的设置上,而且对不同场景下的内部制度和流程合规提出具体要求。


《草案》的颁布和实施,宣告我国个人信息保护立法“民法典-个人信息保护法-各项规范标准”三维体系的建立,不仅填补了立法空白,而且对于企业数据合规工作开展建立了牢固的法律基础。

[注] 

[1] See Article 3 of GDPR: 2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

[2] See Article 27 of GDPR: The controllers or processors not established in the Union shall designate in writing a representative in the Union.

[3] See Article 2 of GDPR: 2. This Regulation does not apply to the processing of personal data: … (c) by a natural person in the course of a purely personal or household activity; …

[4] See Article 5 of GDPR: further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes.

[5] See Article 89 of GDPR: Processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, shall be subject to appropriate safeguards, in accordance with this Regulation, for the rights and freedoms of the data subject.

[6] 《中华人民共和国出口管制法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十二次会议于2020年10月17日通过,自2020年12月1日起施行。

[7] See Article 5 of GDPR: Personal data shall be: …(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’); …

[8] See Article 4 of GDPR: … (7) ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law; …

[9] See Article 4 of GDPR: … (8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller; …

[10] 见《个人信息安全规范》第9.6条规定,当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。

[11] 见《个人信息安全规范》第9.1条对个人信息控制者委托第三方处理个人信息的规定。

[12] 见《网络安全法》第四十二条规定,网络运营者未经被收集者同意,不得向他人提供个人信息。

[13] 见《中华人民共和国民法典》第一千零三十八条规定,未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。

[14] 见《个人信息安全规范》第9.3条规定,当个人信息控制者发生收购、兼并、重组、破产等变更时,对个人信息控制者的要求包括:a) 向个人信息主体告知有关情况;b) 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意;c) 如破产且无承接方的,对数据做删除处理。

[15] See Article 22 of GDPR: The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.

[16] 见《电子商务法》第十八条规定,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。

[17] 见《个人信息安全规范》第7.5条规定,个人信息控制者在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。

[18] 见《APP违法违规收集使用个人信息行为认定方法》第三点规定,利用用户信息和算法定向推送新闻、广告等,未提供终止定向推送的选项构成未经同意收集使用个人信息的情形。

[19] 见《中华人民共和国民法典》第一千零三十六条规定,处理个人信息,有下列情形之一的,行为人不承担民事责任:…(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;…

[20] 2020年7月16日,欧盟法院(CJEU)就备受关注的Schrems II案作出判决,认定美欧数据跨境转移机制“隐私盾协议”(Privacy Shield)无效: https://www.cpomagazine.com/data-privacy/eu-us-privacy-shield-invalidated-with-immediate-effect/

[21] See Article 2 of GDPR: 3. For the processing of personal data by the Union institutions, bodies, offices and agencies, Regulation (EC) No 45/2001 applies. Regulation (EC) No 45/2001 and other Union legal acts applicable to such processing of personal data shall be adapted to the principles and rules of this Regulation in accordance with Article 98.

[22] 见《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

[23] 2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》规定为50万人,100G的数据;2016年《关键信息基础设施识别指南》规定为100万人。

[24] 见《个人信息出境安全评估办法(征求意见稿)》第十六条规定,合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件:…(三)涉及到个人敏感信息时,已征得个人信息主体同意。…

[25] 见《中华人民共和国民法典》第一千零三十七条规定,自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。

[26] 见《个人信息安全规范》第8条的规定。

[27] 《草案》在第四十四条规定个人对其个人信息的处理享有知情权。另外,《草案》第四十八条还规定,个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

[28]  CCPA没有明确规定拒绝权、限制处理权,主要在1798.120规定,消费者有权在任何时间指示出售消费者个人信息给第三方的企业不得出售该消费者的个人信息。

[29] 《草案》在第二十五条对个人的自动化决策相关权利进行了规定,个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

[30] 需注意的是,GDPR中所赋予数据主体的权利多基于合法性基础实现,与《草案》有所区别。

[31] 见《网络安全法》第六十四条规定,网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

[32] See Article 83 of GDPR: …Infringements of the following provisions shall be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher…


The End

 作者简介

陈际红  律师


北京办公室  合伙人

业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网

蔡鹏  律师


北京办公室  合伙人

业务领域:知识产权, 科技、电信与互联网, 合规/政府监管

吴佳蔚  律师


北京办公室  知识产权部

焦雅婷   


北京办公室  知识产权部

作者往期文章推荐:

《解读《商用密码管理条例》修订草案十大变化》

《2020年APP个人信息治理工作启动,你需要关注的APP自评估指南的主要变化》

《<数据安全法(草案)>观察:构建我国基础性数据安全制度的开端》

《<民法典>构建数字时代个人信息和隐私保护的民法基础》

《新基建主题系列——智能家居出海的八个数据保护关键词》

科技企业上市之数据合规(下)—— 数据合规治理篇》

《科技企业上市之数据合规(中)——识别风险篇》

《科技企业上市之数据合规(上)——审核要点篇》

《全景解读2020版<个人信息保护规范>重要变化》

《人工智能生成物能否获得法律保护?》

《疫情期间企业个人信息保护十问十答》

《App数据收集划定红线:<App违法违规收集使用个人信息行为认定方法>解析》

《2019年<网络安全法>年度观察》

《他山之石:EDPB<关于GDPR第25条设计和默认的数据保护指南>解读(下)》

《他山之石:EDPB<关于GDPR第25条设计和默认的数据保护指南>解读(上)》

《<密码法>的“放管”之道》

《执法风暴下的大数据爬虫合规之路》

《当数据合规遇见资本市场:从墨迹IPO被否谈起 (下)》

《当数据合规遇见资本市场:从墨迹IPO被否谈起 (上)》

《未成年人个人信息保护:案例、监管与合规》

《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》

《国家安全更聚焦 |<网络安全审查办法(征求意见稿)>出新招》

《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》

《小数据安全法出台 |<数据安全管理办法(征求意见稿)>解析》

等保2.0国家标准颁布,看十大“硬核”变化

《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》

《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》

《实施半年后再修订:<信息安全技术个人信息安全规范>应时而变》

《四部门重拳出击App个人信息乱象,企业如何有效应对?》

《电商法元年面面观 | 新时期跨境电商企业合规要点图鉴》

《致敬数据合规元年 | 表析<网络安全法>配套法律法规和规范性文件》

《致敬数据合规元年 | 2018<网络安全法>执法案件大盘点》

《盘点2018 | 致敬数据合规元年,网络安全年度法律评论》

《网络平台法律责任的司法变化与应对——对最高人民法院涉网络和电商两个司法文件的解读》

《电子商务平台责任与消费者权益保护》

《电子商务领域的知识产权和数据保护》

《<电子商务法>实施后的执法、司法回顾及其趋势》

《<电子商务法>实施后的立法回顾及其趋势》

《新基建主题系列——移动互联网产品跨境出海的合规风险与对策》

《新基建主题系列——人工智能技术开发中的知识产权法律风险》

《不打无准备之仗——企业上市如何面对知识产权诉讼争议?(境外篇)》

《不打无准备之仗——企业上市如何应对知识产权诉讼争议?(境内篇)》

特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

点击“阅读原文”,可查阅该专业文章官网版。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存