查看原文
其他

解析欧盟法院对与Cookies相关的告知和同意的最新判决(DPO社群成员观点)

刘笑岑 网安寻路人 2020-02-26


案件事实及判决摘要:


德国消费者组织联合会向德国法院就德国公司Planet49在推广在线游戏中使用预先勾选复选框取得用户同意以保存cookies的形式提起诉讼。上述cookies旨在收集相关信息用于宣传Planet49合作伙伴的产品。
德国联邦法院请求欧盟法院就欧盟有关保护电子通信隐私的法律进行解释。
欧盟法院裁定,网站采取预先勾选征得用户对于存储cookies的同意是无效的,因为用户需要去掉勾选才能拒绝同意。
该裁定不受在用户设备上存储或访问的信息是否为个人数据的影响。欧盟法律旨在保护用户的私生活免受侵扰,特别是避免隐藏的标识符和其他类似设备在用户不知情的情况下进入其终端设备的风险。
法院指出,同意必须是具体的,因此用户选择参与彩票促销的按钮不足支持用户对网站存储cookies给出了有效同意的结论。
此外法院还指出,服务提供者必须向用户提供包括cookies操作的期限以及第三方是否可以访问这些cookies的相关信息。


争议问题


2013年9月24日,Planet49在www.dein-macbook.de网站上开展了一项彩票营销活动,有意愿参与的用户需要输入他们的邮政编码,同时会转跳输入他们姓名和地址的网站。在输入地址页面下是两段带有复选框的解释性提示。

第一段带有复选框但没有被预先勾选(第一个复选框)的提示如下:

“我同意某些赞助商和合作伙伴通过邮寄或电话或电子邮件/短信向我提供相关商业信息。我可以在此处自主决定,否则将交由活动组织者决定。我可以随时撤销这个同意。有关这方面的更多信息,请点击这里。

第二段带有复选框且被预先勾选(第二个复选框)的提示如下:

“我同意接受Remintrex网络分析服务。这可能产生如下效果:在完成彩票注册后,此次彩票活动的组织者[Planet49]将设置cookies,这使得Planet49能够针对我在其广告合作伙伴网站上的网络行为进行分析,从而向我投放基于兴趣的Remintrex广告。我可以随时删除cookies。你可以点击这里了解更多。


只有在第一个复选框被勾选时才可以参与彩票营销活动。

点开第一个复选框旁边的“赞助商和合作伙伴”和“此处”的超链接是包含57家公司的列表,其中有他们的地址、运营商业广告的部门以及广告投放的方法(电子邮件、邮寄或电话)。每家公司的名称后面都有带下划线的“退订”。列表前面有如下表述:

“点击‘退订’链接,我决定不允许相关合作伙伴/赞助商对我投放广告。如果我没有退订任何一个或者达到足够数量的合作伙伴/赞助商,Planet49将酌情为我选择合作伙伴/赞助商(最大数量:30个)。


单击第二个复选框旁边“此处”上的超链接时,将显示以下信息:

“这些名为ceng_cache, ceng_etag, ceng_png 和gcr的cookies,是由您使用的浏览器在硬盘上以指定的方式存储的小文件,并通过访问这些小文件以获得某些信息,从而更便捷用户使用并有效投放广告。Cookies包含一串随机生成的特定数字(ID),它会同时与您的注册信息进行关联。如果您访问了注册为Remintrex广告合作伙伴的网站(为查明是否注册,请参阅广告合作伙伴的数据保护声明),Remintrex会通过其中集成的iFrame自动记录您(或已存储ID的用户)访问了该网站,以及您对哪个商品感兴趣,是否进行了交易等。


随后,Planet49可以根据您在注册时对于彩票广告营销给出的同意对您进行邮件广告营销,其中也包括您在广告商合作伙伴网站上的行为偏好。在撤回对于广告投放的许可后,您当然不会再收到任何电子邮件广告。Cookies所包含的信息仅限广告商合作伙伴投放广告之目的。这些信息是为每个广告合作伙伴分别收集、存储和使用的。在任何情况下都不会创建涉及多个广告合作伙伴的用户配置文件。各广告合作伙伴也不会收集任何用户的个人数据。


如果您对使用cookies没有兴趣,可以随时通过浏览器删除它们。您可以在浏览器的[帮助]功能中进行操作。


Cookie无法运行任何程序或进行病毒传播。


你有权随时撤销这个同意。您可以将撤销申请以书面形式发送到Planet49 [地址],也可以给我们的客户服务部发送电子邮件[电子邮件地址]。




鉴于相关法律规定,德国联邦法院就Planet49通过www.dein-macbook.de网站上的第二个复选框从用户处获得的同意的有效性,以及关于2002/58指令第5(3)条所规定信息披露义务的程度犹疑不决,因此决定中止诉讼程序,并将下列问题提交欧盟法院进行初步裁决:


1 、(a)如果通过预先选中的复选框允许网站存储信息或访问已存储在用户终端设备中的信息,用户需要取消选中该复选框以拒绝其同意,这是否构成2002/58指令第5(3)条和第2(f)条,以及95/46指令中第2(h)条含义范围内的有效同意?


(b)结合2002/58指令第5(3)条和第2(f)条和95/46指令中第2(h)条来看,储存或访问的信息是否为个人数据,结论上会有差异吗?


(c)在问题1(a)中提到的情况下,是否构成2016/679条例中第6(1)(a)条含义中的有效同意?


2、服务提供者需要根据2002/58指令第5(3)条向用户提供明确而全面的信息都包括哪些?包括cookies操作的持续时间和第三方是否可以访问cookies这些信息吗?


法庭说理


一、初步查明


作为初步裁决,对本案主要诉讼中的事实考虑95/46指令和2016/679条例的适用性是适当的。


根据2016/679条例第94(1)条,自2018年5月25日起,95/46指令被该条例废除并替代。


事实上,这一日期距离移交法院于2017年7月14日举行最后一次听证会的日期要近,也与成员国法院提交初步裁决请求的日期更接近。


诚然,移交法院指出,鉴于第一个问题中涉及到的2016/679指令自2018年5月25日开始生效,因此在处理案件时可能需要考虑到条例的规定。此外,正如德国政府在法庭听证会上所陈述的那样,联邦提出诉讼程序要求Planet49禁止未来的某种行动,这并非是不可想象的。据移交法院查明,根据国家判例法中有关禁令法律地位的陈述(see, as regards an action for a declaratory judgment, judgment of 16 January 2019, Deutsche Post, C 496/17, EU:C:2019:26, paragraph38),2016/679条例可以适用于本案。


在这种情况下,鉴于根据2016/679条例第94(2)条,2002/58指令中提及有关95/46指令的内容将被解释为适用2016/679条例的规定,因此,在本案中,根据联邦法院请求的事项和时间,2002/58指令中的内容同时指向95/46指令和2016/679条例也在情理之中。


因此,无论适用95/46指令还是2016/679条例,都必须回答移交法院所提到的问题。


问题1(a)和(c)


关于问题1(a)和(c),移交法庭实质上是在询问:如果将2002/58指令第2(f)条和第5(3)条和95/46指令第2(h)条和2016/679条例第6(1)(a)条放在一起来看,网站以cookies的形式通过预先选中的复选框(用户必须取消选择以拒绝其同意)的方式存储或获取已存储在用户终端设备中的信息,是否构成上述条款中的“有效同意”。


作为初步裁决事项,需要注意到,参与Planet49彩票营销活动的用户需要在注册页面上录入自己的姓名和地址,因此被放置在用户终端设备上的cookies包含了分配给该用户注册数据的一段字符串。移交法院还补充说,通过这段字符串可以与数据建立连接,如果该用户上网,就可以将个人与cookies存储的数据之间连接起来,这样,通过cookies收集数据也是对个人数据进行处理的一种形式。这些陈述得到了Planet49的证实,Planet49在其书面意见中指出,第二个复选框所指的同意意在取得收集和处理个人数据的授权,而不是匿名化数据。


根据这些解释,应当指出,根据2002/58指令第5(3)条,成员国应确保,只有在向用户提供了明确且全面的信息并已经取得其同意的情况下,才允许在其终端设备中存储或获取已存储的信息,根据95/46指令,还需要披露数据处理的目的。


关于2002/58指令第5(3)条的措词,应当明确指出,尽管该规定明确要求用户必须对在其终端设备中存储和访问cookies给出同意,但并没有阐明用户给出同意的具体方式。“给予他或她的同意”的表述,需要根据用户采取哪种行动来给予他或她的同意来进行解释。在这个问题上,从2002/58指令序言中的第17条中可以清楚地看出,根据该指令的目的,可以采取任何适当的方法让用户给出同意以传达出基于自由、明确且知情的用户意愿,包括“在访问网站时勾选复选框”的形式。


鉴于2002/58指令第5(3)条的立法背景,该指令第2(f)条定义了“同意”,同时,95/46指令中定义了“数据主体同意”。2002/58指令序言中第17条指出,鉴于该指令的规范目的,用户同意应该具有与数据主体同意相同的含义,具体参照95/46指令的规定。


95/46指令第2(h)条将“数据主体同意”定义为“用户用于表达其意愿的任何自由、具体和知情的指示,表明同意与其个人数据的处理活动”。


Advocate General在其意见第60条中提到,数据主体表达意愿的“指示”需要是积极的主动行为,而不是被动行为。然而,在复选框中以预先勾选形式给出的同意并不是用户的积极行为。


这一解释也被95/46指令第7条印证,它列出了个人数据处理活动被视为合法的案件清单(see, to that effect, judgmentsof 24 November 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 and C‑469/10, EU:C:2011:777, paragraph 30, and of 19 October 2016, Breyer, C‑582/14, EU:C:2016:779, paragraph 57)


此外,95/46指令第7(a)条规定,数据主体同意可以为处理活动提供合法性依据,前提是数据主体已经“明确”给出了他或她的同意。只有数据主体为了给予同意而采取的积极行为才能满足这一要求。


在此,实践中似乎不可能客观地判断,用户是否已经通过不取消预先勾选的复选框来表达其对于数据处理活动的同意,甚至都无从判断用户是否知悉该同意的情况。用户在继续其访问网站的活动之前,可能不会阅读已勾选复选框中附带的信息,甚至不会注意到该复选框,这种情况并不少见。


最后,关于2002/58指令第5(3)条的起源,该规定的初始措辞仅规定了用户在收到符合95/46指令中的明确且全面、尤其是关于数据处理目的的信息之后,“有权拒绝”cookies的储存。而2009/136指令对该条款的措词作了实质性修正,改为“征得其同意”。因此,2002/58指令第5第(3)条的立法渊源似乎表明,今后不可以再推定用户同意,而必须是用户采取积极行为的结果


综上,结合2002/58指令第2(f)条、第5(3)条和95/46指令第2(h)条中有关同意的规定,网站通过预先选中的复选框(用户必须取消选择以拒绝同意)的方式存储或获取已存储在用户终端设备中的信息,不能构成有效同意。


应该指出的是,95/46指令第2(h)条中提到的数据主体基于意愿作出的指示必须是“特定的”,即它必须具体指向涉及的数据处理活动,并且不能从数据主体对其他目的的指示中推断出来。


本案中,与Planet49声称的相反,用户点击按钮选择参与该公司组织的彩票营销活动的事实不能支持用户已经就网站存储cookies给出有效同意的结论。


前述解释同样适用于2016/679条例。


正如Advocate General意见第70条指出的那样,2016/679指令第4(11)条对于“数据主体的同意”的措辞,特别是问题1(c)中提到的第6(1)(a)条,似乎比95/46指令第2(h)条更为严格,因为它要求一个“自由给出的、具体的、知悉的、明确的”表达数据主体愿望的指示,并通过声明或“明确的肯定性行动”来表示对于与他或她有关的个人数据处理的同意。


因此,2016/679条例明确规定了积极的同意。根据其序言第32条,给予同意可以包括在访问网站时勾选方框的形式。另一方面,序言也明确排除了“默示、预勾选或不作为”的行为构成同意。


因此,结合2002/58指令第2(f)条、第5(3)条和2016/679条例中第4(11)条、第6(1)(a)条中有关同意的规定,网站通过预先选中的复选框(用户必须取消选择以拒绝同意)的方式存储或获取已存储在用户终端设备中的信息,不能构成有效同意。


问题1(b)


关于问题1(b),移交法庭询问:结合2002/58指令第5(3)条、第2(f)条,95/46指令中第2(h)条以及2016/679条例第6(1)(a)条来看,储存或访问的信息是否为后两者中定义的个人数据,在解释上会有差异吗?


根据上文第45段的论述,本案中存储cookies的行为等同于处理个人数据。


同时法院注意到,2002/58指令第5(3)条提到的“储存信息”和“获取已储存的信息”,并没有特指个人数据。


正如Advocate General意见第107条所述,该条款旨在保护用户私人领域免受侵扰,而不管该侵扰是否涉及个人数据。


这一解释也由2002/58指令序言第24条印证,根据该指令,在电子通信网络用户的终端设备中存储信息也属于根据《欧洲保护人权和基本自由公约》需要保护的私人领域的一部分。这种保护适用于存储在终端设备中的任何信息,无论它是否属于个人数据,特别是像序言中提到的那样,指令旨在避免隐藏的标识符和其他类似设备在用户不知情的情况下进入其终端设备的风险。


综上,对问题1(b)的回答是,结合2002/58指令第5(3)条、第2(f)条,95/46指令中第2(h)条以及2016/679条例第6(1)(a)条来看,不应对网站用户终端设备上存储或访问的信息是否属于后两者中定义的个人数据而在解释上有所区别。


问题2


关于问题2,移交法院想问,服务提供者需要根据2002/58指令第5(3)条向用户提供信息是否包括cookies操作的持续时间以及第三方是否可以访问cookies。


上文第46段已经明确指出,2002/58指令第5(3)条要求用户已给出同意的前提是,网站已经根据95/46指令提供了明确且全面的信息,其中包括关于数据处理的目的。


正如Advocate General意见第115条所述,明确且全面的信息意味着用户能够很容易地确定他或她给出同意后的可能后果,并确保所给予的同意是充分知情的。因此相关信息必须是清晰易懂且足够详细的,便于用户能够理解cookies的功能。


根据法院提交的资料,本案中的cookies旨在收集与彩票营销活动组织者合作伙伴的产品有关的用于广告用途的信息,因此有关cookies操作的持续时间以及第三方是否可以访问这些cookies,属于根据2002/58指令第5(3)条必须向用户提供的明确且全面信息的一部分。


这里有必要明确下95/46指令第10条,参考2002/58指令第5(3)条和2016/679条例第13条,列出了控制者必须向数据主体提供的信息清单。


根据95/46指令第10条,控制者除了提供有关控制者身份和数据处理目的的信息之外,针对数据处理的具体情况,为保证数据主体的数据被公平处理,还需要提供其他进一步的信息,如数据接收者或接收者类别等必要信息。


虽然数据处理的持续时间不作为该信息的一部分,但是,从95/46指令第10条中使用的“至少”一词中可以清楚地看出,该信息并没有被详尽列出。提供有关cookies操作持续时间应当被视为满足该条款中提供与数据被公平处理相关信息的要求,一个无限长的持续时间意味着网站将收集大量关于用户网络行为的信息,以及他们访问彩票活动组织者广告合作伙伴网站的频率。


2016/679条例第13(2)(a)条支持了这一解释,该条规定,为了确保公平和透明的处理,控制者必须向数据主体提供有关个人数据储存期限的信息,如果不能,则至少需要提供确定存储期限标准的信息。


至于第三方是否可以获取cookies,则是包含在95/46指令第10(c)条和2016/679条例第13(1)(e)条中规定的需要提供的信息范围之内,其明确规定需要提供有关数据接收者或其类别的信息。


综上,问题2的答案是,对于2002/58指令第5(3)条中网络服务提供者需要向用户提供的信息,应当包括cookies操作的持续时间以及第三方是否可以访问这些cookies。


“额外补刀”


欧盟法院(CJEU) Advocate General Maciej Szpunar针对本案给出了洋洋洒洒一百多段的non-binding opinion,在此仅节选翻译了其中额外提到的“单独同意”和第一个复选框合法性问题的部分。


本案诉求


在考虑相关法律要求是否适用于本案时,我将首先谈到问题1(a)和(c),即关于cookies的设置和使用是否得到有效同意的问题。这主要针对第二个复选框。


此外,出于对完整性和清晰性的考虑,同意的要求在适用于cookies和更普遍的个人数据处理方面没有很大的不同,即使移交法院没有明确询问这个问题,但为了对欧盟法律作出正确且统一的解释,我认为有必要简要分析下有关第一个复选框是否具备处理个人数据的有效同意的问题。我也了解到,在本案审理过程中,联邦法院(Bundesgerichtshof)同样需要对第一个复选框的合法性问题作出裁决。


问题1(a)和(c)


移交法院询问通过预先选中的复选框允许网站存储信息或访问已存储在用户终端设备中的信息,用户需要取消选中该复选框以拒绝其同意,这是否构成2002/58指令第5(3)条和第2(f)条,以及95/46指令中第2(h)条含义范围内的有效同意。


就本问题而言,解读95/46指令第2(h)条和2016/679条例第4(11)条的关键在于“自由给出”和“知情”的同意。由此产生的问题是,在移交法院所描述的情况下,是否可以在知情的情况下自由地给予同意。


在这方面,双方的争议焦点主要集中在勾选或取消勾选预先选中的复选框是否满足这些要求。即变成了有关主动还是被动的争论。然而,尽管这一方面很重要,但它只是法律要求的一部分。因为它只涉及了主动同意的要求,而没有提及单独同意的要求。


在我看来,基于现有法律要求,本案中的情形不能构成有效同意。


首先,在用户不同意设置cookies的情况下要求用户主动取消复选框中的勾选,这不构成满足法律要求的积极同意。在这种情况下,实际上不可能客观判断用户是否基于自由和知情的基础上作出同意的决定。相比之下,要求用户勾选一个复选框还更可能作出判断。更重要的是,参与在线的彩票活动和同意设置cookies并不是同一个行为。但这正是本案中涉及的情况,用户只需点击一次参与按钮即可同时参与彩票活动并同意设置cookies。同时做出的两个意向表达(参与彩票活动和同意设置cookies)不能通过点击一个参与按钮实现。在本案中,对cookies的同意在性质上似乎是附加的,从某种意义上说,并不清楚它是否构成单独行为的一部分。换言之,勾选(或取消勾选)cookies上的复选框看起来像是对最终具有法律约束力的“点击”参与按钮行为的预备行为。


在这种情况下,用户无法针对在其终端设备中存储信息或获取已存储信息的行为自由地给出单独的同意。


此外,上文提到,用户只有在至少勾选了第一个复选框的情况下才有可能参加活动。因此,参加活动并不以同意设置和获取cookies为条件。对于一个用户来说,完全可以只勾选第一个复选框。


但据我所知,用户从来没有被告知这一点。这不符合上述全面告知用户的标准。


综上,针对问题1(a)和(c),我的建议是:关于cookies的设置和使用是否得到有效同意的问题,根据2002/58指令第2(f)条、第5(3)条和95/46指令第2(h)条的规定,不能构成有效同意,并且这里的同意不是单独给予的,而是在确认参与在线活动的同时给予的。即使结合GDPR进行解释结论依然。


关于第一个复选框


尽管转交法院的问题中仅提及了第二个复选框,但我想就第一个复选框的问题提出两项具体意见,这可能有助于转交法院作出最后裁决。


第一个复选框中不涉及cookies的问题,而只涉及到处理个人数据。在此,用户仅仅同意清单上的企业通过邮寄、电话或电子邮件与其联系,而不包括信息在其设备上存储信息。


首先,主动和单独的同意以及提供全面信息的标准显然也适用于第一个复选框。这里“主动同意”似乎不成问题,因为复选框没有被预先勾选。相比之下,我对单独同意存在怀疑。根据上述分析,就本案的事实而言,为了获取处理个人数据的同意,更好的展现形式是有一个单独的按钮可以点击,而不仅仅是一个勾选框。


其次,关于与活动组织者和合作伙伴联系的第一个复选框,应考虑到2016/679条例第7(4)条。根据这项规定,在评估是否自由给予同意时,应最大限度地考虑,在履行合同包括提供服务时,是否以同意处理对履行该合同而言不必要的个人数据为条件。因此,2016/679号条例第7(4)条现将“禁止捆绑”行为写入法律。


从“应最大限度考虑”一词可以看出,禁止捆绑并非绝对。


在此,主审法院需要评估用户在参与彩票活动中给出同意的个人数据是否具有必要性。参与活动的根本目的是“出售”个人数据(即同意被所谓的“赞助商”联系以获得促销优惠)。也就是说,提供个人数据是用户参加彩票活动的主要义务。在这种情况下,我觉得处理这些个人数据对于参加活动而言是必要的。


接下来,要看德国联邦法院多大程度上会“参考”欧盟法院(CJEU) Advocate General Maciej Szpunar的上述观点了。


简短评论


E-Privacy Directive(即2002/58指令)在2009年修订时,将用户授权模式从“opt-out”修改成了“opt-in”,即用“given his or her consent”替代了“the right to refuse”;而GDPR在生效后,将95/46指令中的同意进一步细化为积极的同意,即用“a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement”替代了“freely given specific and informed indication of his wishes”。这也是本案中欧盟法院在回应联邦法院问询时的主要法律依据和论证思路,即网站存储或获取cookies的行为需要征得用户同意,且这种同意需要符合最新法律中有关具体形式的要求。


尽管目前版本的E-Privacy Regulation草案中,为了照顾用户体验(原来他们还知道有“用户体验”这个东东存在),设置了某些不涉及侵犯隐私的嵌入式cookies(如购物车记录、表格填写记录、短时间内登录记录等)无需征得用户同意场景的例外,但是结合立法流变和本案的裁定结果来看,我们有理由相信:在欧盟,绝大部分网络服务提供者在存储或者获取用户cookies时,其征得用户同意的路径与GDPR中的同意别无二致,且这个同意需要单独提示并获取,似乎仅仅采用一个复选框的方式都不能让欧盟法院满意。笔者不得不对欧盟用户同意被收集cookies的比例深感好奇。


诚然,国内立法层面对于cookies的立场尚不如欧盟来得鲜明,但是司法中已经不乏相关案例和争议出现。我们在讨论类似问题时自然也不能脱离国内的法律政策和产业实践语境。在笔者看来,至少有如下问题,值得我们在得出任何有价值的结论之前认真考虑:


  1. 了解cookies的基本原理和分类,其与个人信息的关系是什么?

  2. 法律通过保护cookies而追求的规范目的是什么?

  3. 事前同意对于收集cookies而言究竟是不是最佳的合法性路径?   

  4. 在物联网、人工智能等场景中如何平衡用户同意的成本与提供服务所必需的关系?


值得注意的是,欧盟法院在回应问题1(b)时认为cookies是否属于个人数据对于本案的结论没有影响,其还引援了《欧洲保护人权和基本自由公约》中保护私人领域免受侵扰的条款。


那我们的选择,又是什么呢?(全文完)





数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)

  25. “hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

  18. 与欧美一流数据保护专家面对面(DPO沙龙特别活动)

  19. 第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径


评估GDPR效果和影响:


  1. 评价GDPR一周年:一些正负面观点

  2. 评估GDPR效果和影响的参考资料(一):来自Capgemini的报告

  3. 评估GDPR效果和影响的参考资料(二):来自CIPL的报告

  4. 评估GDPR效果和影响的参考资料(三):来自IAPP的报告

  5. 评估GDPR效果和影响的参考资料(四):来自“黑客”的视角


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告

  13. 【时评】ICO对英国航空和万豪国际开出巨额罚单,GDPR执法强硬时代来临!


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探

  38. 《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

  39. GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)

  40. 个人信息侵权纠纷类型化试解(DPO社群成员观点)

  41. 英法两国对 AdTech和广告类SDK的监管案例分析

  42. 金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)

  43. GDPR对用户画像的合规要求分析(DPO社群成员观点)

  44. IAPP新加坡会议上关于27701的Panel和PPT

  45. FTC vs Facebook:50亿美元和解令的来龙去脉(DPO社群成员观点)

  46. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  47. 澳《消费者数据权利法案》对数据共享与数据可携权的探索(DPO社群成员观点)

  48. FTC vs. YouTube:解读违规处理儿童个人信息之最大罚单(DPO社群成员观点)

  49. 个人数据在美欧外国投资审查中的角色初探(一)

  50. HiQ vs. LinkedIn案的启示与未决之题(DPO社群成员观点)

  51. 国家标准《个人信息安全规范(征求意见稿)》修订解读(DPO社群成员观点)


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存