编者按：

在北京大学法治与发展研究院的大力支持下，数据保护官（DPO）线下沙龙有幸走进燕园。40余名DPO社群成员加入北京大学法治与发展研究院举办的欧美个人信息保护法规课程。

在后续的圆桌讨论上，国内外数据保护一线合规专家头脑风暴，就实际案例进行了讨论和推演，进一步加深了DPO社群成员对中外个人信息保护法律法规标准的认识，提升了合规技能和水平。

在此诚挚感谢王锡锌教授！在2019年，DPO社群还会和北大法治与发展研究院联合带来更多的高质量活动，敬请期待！

以下为南都对该活动的报道：

欧美专家热议数据保护：

GDPR实施尚处进行时 美国因风险最大频成焦点

11月14日，北京大学法学院的一个课堂气氛尤为热烈——这里聚集了来自欧盟、美国合规一线的专家，以及数据保护官（DPO）社群的成员。

DPO社群成员正在认真听讲。王伟摄

全球知名律师事务所Jones Day纽约办公室合伙人Mauricio Paez和慕尼黑办公室合伙人Undine von Diemar在课堂上详细解析了欧盟《通用数据保护条例》（GDPR）和美国数据保护相关法规，并从自己的合规实践经验出发，与活跃在国内实务一线的公司法务、律师展开了热烈讨论。这是北京大学法治与发展研究院和DPO社群合作的第一期线下活动。

北京大学法治与发展研究院执行院长王锡锌发表讲话。王伟摄

历经十余年修订、两年多讨论的GDPR一直被视作“史上最严”数据保护条例，其“长臂管辖”原则和巨额罚款引发了互联网企业的高度关注。GDPR生效的第一天，Facebook和谷歌就遭到起诉，均面临30余亿欧元的罚款。虽然还未正式宣判，但足以形成震慑。

Jones Day律师事务所慕尼黑办公室合伙人Undine von Diemar。王伟摄

Diemar有15年数据保护的工作经验，在她看来，GDPR的实施尚处于“进行时”。“我在接触不同欧盟国家的DPA（数据保护监管机构）时发现，即便是他们，在理解GDPR的很多规定时也存在差异”，她透露，企业方面则普遍表示“压力山大”，更多时候是向DPA寻求合规建议，远没有达到主动采取行动的程度。

在帮助客户公司合规的实践案例中，很多相关部门比如人力资源部、销售部或技术部的同事完全不懂法律条款，但又在合规工作中至关重要，帮助他们理解GDPR条款是Diemar遇过的最大挑战。不过她经常提醒客户公司，数据保护合规不应该是纸上谈兵，更不要把合规看做负担，而要把它看做获得员工和客户信赖的一个途径，否则过程会很难熬。

6月通过的《加州消费者隐私法案》被公认是目前全美最全面的隐私保护法规，距离正式实施还有一年多，不少专家认为法案很可能会在不断地修订中，向硅谷科技巨头企业的利益倾斜。事实上，与严格的欧盟法规相比，美国的隐私保护政策常常被诟病过于注重企业利益。

Jones Day纽约办公室合伙人Mauticio Paez。王伟摄

“美国对隐私保护有着跟欧盟截然不同的关注点和策略”，Paez显然不同意上述观点。他指出，一旦发生隐私泄露事件，在美国，涉事企业会被提起诉讼，行业协会和州监管部门也会迅速展开调查……多个机构都会采取强制措施。因此他认为，美国频繁成为隐私泄露焦点其实是因为涉及的风险最大。

课程结束后，两位主讲人和北京大学法治与发展研究院执行院长王锡锌一起举行了答疑环节。

答疑环节。王伟摄

被问及公司应该怎样应对可能发生的数据泄露等风险时，Paez说，事件发生后，公司首先要做的是估量事件造成的影响，并确认数据规模，而他通常向公司询问的第一个问题是：你的补救措施是什么？“最坏的情况是决策者不知道如何对外回应，或者试图第一时间找出事发原因和责任人，甚至为谁来接受第一次采访烦恼——这些本来是事前就应该做好的风险策略”，他说。

“这次授课是Jones Day发起的多个课程之一，主要聚焦网络安全和数据保护”，王锡锌表示，DPO社群成员的加入让这次课堂更加特别，未来还将在该领域举办更多高质量的活动。

DPO社群发起人、北京大学法治与发展研究院高级研究员洪延青指出，DPO社群成立的初衷就是帮助企业客观评估风险，以后也希望继续和各方专家在全球范围内共同探讨网络安全相关话题。

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)
   

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制 
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论
   

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）
   

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）