查看原文
其他

公司IPO/重组/投融资时,监管部门审查要点汇总及问题分析(DPO社群成员观点)

孟洁律师团队 网安寻路人 2020-02-26

一、事件背景

今年10月11日,证监会第十八届发行审核委员会2019年第142次发审委会议召开,此次申请上市的企业包括墨迹科技、天迈科技、斯迪克、电声营销4家公司。根据会议审核结果公告显示,北京墨迹风云科技股份有限公司的首发未获得通过,也是上述四家企业中唯一首发没有通过的公司。

根据证监会发布的公告显示,发审委会议针对墨迹科技提出的最主要的质询问题包括四个方面,第一,墨迹科技运营的网站、“墨迹天气App”存在未经其许可违规发布互联网新闻信息,被责令限期整改的情形;第二,墨迹科技通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现,其中涉及的数据安全问题有待公司说明;第三,报告期内发行人互联网广告信息服务收入占比超过95%;第四,报告期内与发行人存在直接或间接股权关系的客户(阿里、苏宁、腾讯,以下称“股权相关方”)直接或间接贡献收入金额及占比较大。

其中,较引人注目的地方是第二点,有关墨迹科技数据安全问题。在2019年7月,App专项治理工作组对墨迹科技发出《关于App收集使用个人信息相关问题的通知》,提出了其相关的数据不合规的问题。对于被点名整改这一情况,墨迹天气相关负责人对媒体表示,墨迹天气最新版本已根据国家标准完善了用户隐私协议,并且已初步通过国家的App安全认证初步审核。但此次事件仍旧对其上市造成了影响。


二、该事件有关的数据合规问题分析

在此次发布的公告中,证监会在关于数据安全方面主要提出了五个问题:

1、数据的收集

公告原文,“发行人获取用户数据及标签的过程及方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途,发行人获取用户数据的手段及方式是否合法合规。”

此问题主要是针对用户数据的收集过程,收集行为作为整个数据生命周期的前端,其合规性直接影响数据后续使用过程的合规性。根据《信息安全技术 个人信息安全规范》(10.22版)(以下简称“个人信息安全规范”)条款5.4中的规定,该条文对个人信息控制者的要求包括:“ a) 收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围,并获得个人信息主体的授权同意;”。同时,App专项治理小组发布的《App违法违规收集使用个人信息自评估指南》中的评估点23也提到了App是否向用户明示收集、使用个人信息的目的、方式、范围。

其实,墨迹科技并不是第一例因为数据收集问题导致其在资本市场的发展受到阻碍的案例。许多公司在进行重组或者投融资时,数据收集问题都成为了审批部门关注的问题。具体案例详见下表:

时间
项目名称
证监会反馈意见
2018.8.2

北京梅泰诺通信技术股份有限公司发行股份及支付现金购买资产并募集配套资金暨关联交易

证监会要求公司补充说明其对用户信息的收集、传输、保存及应用的现状是否符合 2018 年 5 月 1 日实施的《信息安全技术个人信息安全规范》的要求。若否,要求公司充分提示相关风险并说明后续整改措施。

2019.5.13

北京航天宏图信息技术股份有限公司首次公开发行股票并在科创板上市

证监会要求发行人补充披露其主营业务涉及的数据来源、数据获取方式、数据获取成本、数据使用期限。

2019.7.1

博拉网络股份有限公司科创板首次公开发行股票

证监会要求发行人说明是否对数据来源进行分类数据采集和应用过程中是否获得用户许可,是否存在侵犯用户权益(隐私权、肖像权等)的情形。

2019.7.23

广西慧金科吸收合并北京天下秀暨关联交易

证监会要求公司说明标的资产收集用户数据的行为是否符合相关法律规定。

2019.9.16

杭州壹网壹创科技股份有限公司首次公开发行股票并在创业板上市网上发行

关于发行人的推广方式,证监会要求发行人区分报告期内发行人合作的线上平台,分别说明发行人进行精准营销采用大数据分析的数据来源、具体内容、定价及公允性。

2019.9.24

北京慧辰资道资讯股份有限公司科创板首次公开发行股票

证监会要求发行人说明获取、分析、使用业务所涉及的数据是否合规。


数据收集作为整个数据全生命周期的起点,使得数据收集合规工作对整个数据合规工作具有巨大的意义。从上述案例我们可以看出,数据收集的核心焦点在于保证所收集数据来源的合法性。

对于公司直接收集的数据,公司则须履行告知义务并征得用户同意。企业履行告知义务的具体要求和方式方法又因业务场景的不同有所区分。不同场景如个人信息的收集、个人敏感信息的收集以及将个人信息与第三方的共享等情形下的告知义务法律均有不同的要求。

对于通过合作、委托处理等方式间接获取的数据,则需采取必要、适当的手段进行核实或者签订承诺函等方式保证数据来源的合法性。如根据最新版的《个人信息安全规范(征求意见稿)》,个人信息控制者应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。

综上,我们建议企业在收集用户个人信息之前,一方面应当充分利用隐私政策、用户协议、PBD(Privacy By Design)来履行告知义务,详细说明其所收集的个人信息,及其方式和目的,搭建企业数据合规工作的基石;另一方面,对于间接获取的数据则应当通过签订承诺函并采取合适的措施等方式审查数据来源的合法性。

此外,根据目前的执法趋势,执法机关对于通过“一揽子授权”获得用户个人信息用于市场营销等特殊目的情形则予以严厉打击。运营者还应就不同数据收集使用场景,制定不同的征得用户授权同意方案。


2、数据的使用


公告原文,“发行人使用用户数据是否合法合规,尤其是商业化变现的合规性,结合相关媒体报道的墨迹天气上传用户隐私等情况,对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的情况,是否存在法律风险或潜在法律风险;”


在此问题的问询中,证监会重点关注了当数据进行商业化变现时的合规性问题。数据作为企业的重要资产,其合理的使用能够给公司创造巨大的价值,但其使用也有着诸多限制,突破这些限制就可能引发侵犯用户隐私的风险。

根据《网络安全法》第四十一条的规定,使用个人信息要遵守合法、正当和必要的原则。《个人信息安全规范》第7.3条也规定,“使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意;”由此可以看出,使用个人信息的范围应当遵循个人信息主体授权同意的范围。

事实上除了墨迹科技之外,许多公司在进行重组或者投融资时,数据使用问题都成为了审批部门关注的问题。具体案例详见下表:

时间
项目名称
证监会反馈意见
2018.8.2

北京梅泰诺通信技术股份有限公司发行股份及支付现金购买资产并募集配套资金暨关联交易

标的公司通过向第三方数据供应商购买用户数据,因此证监会要求公司补充说明第三方数据商是否具有相关数据的所有权,该第三方数据商授权标的公司使用相关数据的行为是否需要经过终端用户或者其他第三方的同意,以及该授权是否合法。

2019.4.8

拉卡拉支付股份有限公司首次公开发行股票并在创业板上市

1、证监会要求发行人进一步说明和披露:发行人是否向公司提供发行人积累的商户信息。

2、证监会要求发行人说明在报告期内发行人对主营业务中形成的个人信息进行使用和维护的合规性,是否存在发行人利用相关商户或个人信息进行牟利等违法违规行为,是否存在侵犯个人隐私、商业秘密或其他侵权方面的情形,是否存在纠纷或潜在纠纷,并提示风险。

2019.5.13

北京航天宏图信息技术股份有限公司首次公开发行股票并在科创板上市

证监会要求发行人补充披露其主营业务涉及的数据来源、数据获取方式、数据获取成本、数据使用期限,说明并披露授权第三方使用该等数据是否存在法律障碍。

2019.7.1

博拉网络股份有限公司科创板首次公开发行股票

证监会要求发行人说明是否对数据来源进行分类,数据采集和应用过程中是否获得用户许可是否存在侵犯用户权益(隐私权、肖像权等)的情形。

2019.9.16

杭州壹网壹创科技股份有限公司首次公开发行股票并在创业板上市网上发行

证监会要求发行人说明在报告期内发行人对个人消费者及企业客户信息等数据资源的使用和维护的合法合规性,是否存在发行人利用相关个人消费者或企业客户信息进行牟利等违法违规行为,是否存在侵犯个人隐私、商业秘密或其他侵权方面的情形,是否存在纠纷或潜在纠纷,并进行风险提示。

2019.9.24

北京慧辰资道资讯股份有限公司科创板首次公开发行股票

证监会要求发行人说明获取、分析、使用业务所涉及的数据是否合规是否涉及侵犯个人隐私或其他侵权风险,是否存在潜在纠纷,如存在相关风险,请进行风险提示。


在数据商业变现过程中,数据交易也是企业常见的做法之一,从上述案例可看出,授权第三方使用数据行为本身的合规性越来越受到证监会的关注。即向第三方机构提供用户的个人信息,同样需要获得用户的授权同意,如果对法益的侵害达到一定程度,还有可能存在侵犯公民个人信息的刑事风险。根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,《刑法》第二百五十三条之一中规定过的“提供公民个人信息的情形”包括未经被收集者同意,将合法收集的公民个人信息向他人提供等情形。

综上,企业不仅在自己使用用户数据时需要履行法律上的合规义务,当企业向第三方提供公民个人信息以实现相应商业目的时,也同样需要注意获取用户授权同意,避免被认定为非法提供公民个人信息情形的发生。


3、内部控制制度


公告原文,“数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷。”


对于个人信息保护的监管,不限于对隐私政策等外部制度文件的监管,还包括对公司个人信息保护的内部制度的监管。《个人信息安全规范》第7.1条规定了企业对个人信息访问进行的控制措施,要求对被授权访问个人信息的人员,应建立最小授权的访问控制策略,并对安全管理人员、数据操作人员、审计人员的角色进行分离设置等。

除此之外,《个人信息安全规范》第5.6条还规定,个人信息控制者制定的隐私政策应当包括“遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明”。

由标准规定的内容可以看出,公司关于数据保护的内部制度也是公司合规义务中重要的一部分。公司要注重加强在内部管理上的文化和制度建设,以避免潜在的信息安全事件。《个人信息安全规范》第5.6条没有阐述公开数据安全和个人信息保护相关的合规证明的“必要”的具体情景,根据司法实践,此情景可能发生在用户提出要求,监管部门进行核查或者发生数据安全事件时作为免责事由的证明等。无论在何种情境中,企业内部的合规建设都有着重要的作用。

企业内部数据安全内控制度的建设情况同样是审批部门重点关注的问题,具体案例详见下表:


时间
项目名称
证监会反馈意见
2018.6.22

茂业通信网络股份有限公司行政许可申请

证监会认为公司标的资产在从事移动信息发送及金融服务外包业务时存在泄露用户个人信息的风险,因此要求公司补充披露其标的资产在提供服务过程中掌握的个人信息已采取的防泄密措施及其效果。

2018.12.9

中孚信息股份有限公司发行股份及支付现金购买资产并募集配套资金暨关联交易

证监会要求公司补充披露剑通信息在提供产品、服务过程中对掌握的个人信息、国家安全信息所采取的防泄密措施及其效果,以及是否有泄露国家秘密、个人隐私的风险。

2019.1.25
南威软件股份有限公司公开发行可转换公司债券募集

证监会要求发行人说明:

1、开展现有业务、本次募投项目是否需要依法进行信息安全等级保护测评

2、发行人是否已就维护网络安全、保护个人、政府以及第三方信息安全等事项建立了完善的内部控制制度,以及该制度的执行是否有效。

2019.3.12

三六零安全科技股份有限公司非公开发行股票申请


证监会要求申请人补充披露在提供产品、服务过程中对掌握的个人信息及国家安全信息所采取的防泄密措施及效果,有无泄露国家秘密、个人隐私的风险。

2019.4.8

拉卡拉支付股份有限公司首次公开发行股票并在创业板上市

证监会要求发行人补充说明在开展业务过程中能否获取用户相关个人信息和商业秘密等用户数据,是否已建立完善防泄密和保障网络安全的内部管理制度。

2019.5.6

优刻得科技股份有限公司科创板首次公开发行股票

证监会要求发行人补充说明:数据安全相关制度及措施,包括但不限于数据的备份机制、防范数据窃取及泄露的措施、对用户隐私数据加密措施以及对于到期数据的处理机制。

2019.5.31

深圳和而泰智能控制股份有限公司发行可转换公司债券

证监会要求申请人说明:开展现有业务、本次募投项目是否需要进行信息安全等级保护测评;

2019.6.25

贵州白山云科技股份有限公司科创板首次公开发行股票

证监会要求发行人说明在其具体业务中防止客户数据向外泄露的措施及其有效性。

2019.7.1


北京值得买科技股份有限公司首次公开发行股票并在创业板上市

证监会要求发行人说明对用户个人信息采取的保护措施,并就对用户个人信息保护不到位可能引致的风险作风险提示。

2019.7.23

广西慧金科吸收合并北京天下秀暨关联交易

证监会认为公司在业务经营过程中存在影响标的资产信息系统正常运行;导致标的资产信息数据资源泄露;以及导致用户隐私信息泄露或不当使用的风险,因此要求公司补充披露:标的资产对提供产品、服务过程中掌握的数据资源以及个人隐私所采取的防泄密措施及其效果,有无泄密风险。

2019.9.16

杭州壹网壹创科技股份有限公司首次公开发行股票并在创业板上市网上发行

证监会要求发行人说明实施的数据备份和网络安全措施以及发行人是否曾发生泄漏客户信息的风险事件,是否存在被处罚或被要求赔偿的风险;发行人相关客户信息保密工作是否符合《中华人民共和国网络安全法》的规定。

2019.9.24

北京慧辰资道资讯股份有限公司科创板首次公开发行股票

证监会要求发行人说明相关内部控制措施是否健全且得到有效执行。

2019.10.14

荣科科技股份有限公司重组项目

证监会要求申请人具体说明对外包人员接触病案及个人隐私的保护措施,如何确保病案涉及的个人信息、隐私不被盗取、泄漏。


基于以上监管案例,我们建议拟上市企业还应构建和完善企业内部管理制度,主要包括领导决策、人员管理、安全技术方面的管理制度以及风险管理制度三个维度。

  • 领导决策


根据最新版《个人信息安全规范(征求意见稿)》第10.1条的规定,法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等。在实践中,公司多采取在内部设立委员会的方式,对公司的数据合规策略与治理进行共同决策。

  • 人员管理制度


对于新入职员工,企业应当组织个人信息保护方面的培训并与其签署保密协议。对于在职员工,要明确信息保护的权责,设立专职的个人信息保护负责人和个人信息保护工作机构,形成个人信息保护工作的责任制。对于离职员工,应当要求在一定时期继续履行保密义务。

  • 安全技术方面的管理制度


安全技术方面的管理制度包括访问权限管理制度、数据加密管理制度、信息系统安全等级保护制度等。第一,在权限管理制度的构建上,企业应做对被授权访问个人信息的人员,建立最小授权的访问控制策略,使其只能访问职责所需的最少的个人信息。同时对于重要数据访问的请求方、授权方、管理方应当实现职责分离,不同级别的访问权限需要专人审批。对于外部人员访问相关数据,则应签订相关的保密协议,对其访问进行监督等。第二,企业在进行数据的存储、传输等过程中要严格进行加密措施,常见的加密措施包括MD5等。第三,企业需要构建信息系统安全等级保护制度,制定等保指引文件并按照文件要求落实系统定级、网络备案、网络安全建设整改、等级测评、企业自查等工作。

  • 应急事件管理制度


企业应当构建和完善应急事件的管理制度。首先,企业应当成立专门的应急处置小组,面对数据安全突发事件应立即采取初步补救措施,并对相关部门人员进行追责。其次,评估事件可能造成的影响,并采取必要措施控制事态,消除隐患。再次,企业应按《国家网络安全事件应急预案》的有关规定和要求及时上报。最后,企业应按照法律规定履行安全事件的告知义务并进行后期整改建设。


4、监管趋势下的业务影响


公告原文,“日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施”。


自2016年《网络安全法》颁布以来,我国相继出台了许多的法律法规来保障数据收集和使用的安全。包括《数据安全管理办法(征求意见稿)》、《儿童个人信息网络保护规定》、《个人信息安全规范(征求意见稿)》等等。在层层监管下,对于企业来说,合规建设也需要包含内外部契约的制定:


  • 外部契约:无论是对于用户还是对于监管机构,像隐私政策和用户协议等外部契约,是其展示自身合规水准的第一层标签。做好外部制度的建设,也是规避法律风险的第一道屏障;

  • 第三方契约:不同于外部契约,第三方契约是企业与和其业务有关联的第三方合作方所签订的相关契约。因为数据流转是数据生命周期流程中非常重要的一个环节。当企业从第三方获取数据,需要第三方保障数据来源的合法性;如果是企业向第三方共享数据,需要获得用户的授权同意、对第三方的安全能力要进行安全评估、并且对共享后第三方处理数据的行为进行合理审计。

  • 内部制度:内部制度建设是防止信息安全事件最重要的一个环节。从数据内部使用的审批制度,到数据每一个收集使用环节的审计制度,到发生信息安全事件时的应急响应制度,每一个步骤都达到相应的合规标准才能增强企业对个人信息的整体保护能力。


5、整改情况及整改效果


公告原文,“发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可,是否面临被处罚的风险。”


从2018年下半年开始,监管部门开始加强对App的监管。App专项治理小组,消费者保护协会等部门开始对市场上热门的App进行测评并发布公告,对不合规的企业进行点名批评,并对其约谈要求整改。最近工信部发布《关于开展APP侵害用户权益专项整治工作的通知》,针对APP服务提供者和APP分发服务提供者的四个方面、八个突出问题进行APP专项整治。

目前,法律法规中对于违法违规收集使用个人信息的处罚方式包括,公开曝光、约谈、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等;构成犯罪的,还会依法承担相应的刑事责任。在具体实践中,监管部门往往会采取先测评,根据测评结果进行整改,如果整改不力进行约谈的步骤,若企业仍旧不及时更改相应不合规的问题将面临相应的处罚。

根据墨迹科技的回应,墨迹天气已对隐私政策进行修改和完善,也通过了App安全认证初步审核。不过,这一问题仍对其IPO造成拖累。由此企业需要警惕,不要只等到监管机构曝光之后才对不合规的问题进行整改,否则被点名或约谈的记录仍然会对企业后续业务以及声誉造成影响。在监管找上门来之前,先构建好自身的合规体系对企业未来在资本市场的发展有着重要意义。

综上所述,我们认为企业首先应当充分认识数据合规工作的重要性以及对公司发展的影响,特别是在进行IPO、重组、投融资时应当注重数据合规,梳理数据资产,分析公司现有业务存在的风险与问题,再针对这些问题有针对性地进行有效整改,从而保证公司为数据资产提供全生命周期的安全保护。在上市或完成重组或投融资后,应当持续关注我国关于数据以及个人信息的立法动态,及时完善公司的数据合规策略,并在企业进行数据共享、转让、公开披露,发生重大安全事件或者公司业务模式、信息系统、运行环境发生重大变更时进行个人信息安全评估。对整个制度以及机制的落实情况也要随着上市过程、投融资进展审查是否完整落实,针对于一些不合适的地方,还要考虑进行调整与优化。需要组织人员进行培训,对梳理出来的问题整改情况与法律法规的跟踪变化进行比对并进一步复盘并更新完善,最后构成一个有效的合规闭环。

数据合规非一日之功,建议企业在监管趋严的趋势之下,及早考虑并完成数据合规,不要等到重大投资决策时方才为了应对监管或者为了完成交易而匆忙补课、临时抱佛脚地进行整改。如果拟上市企业需要体系化制定数据合规架构的,也可以考虑聘请相关专业律师团队协助企业开展企业数据全生命周期的合规治理。




数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)

  25. “hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)

  26. 法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)

  27. 美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)

  28. FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)

  29. ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)

  30. 德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)

  31. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

  18. 与欧美一流数据保护专家面对面(DPO沙龙特别活动)

  19. 第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径

  20. 第十八期DPO沙龙纪实:生物识别信息的安全保护


评估GDPR效果和影响:

  1. 评价GDPR一周年:一些正负面观点

  2. 评估GDPR效果和影响的参考资料(一):来自Capgemini的报告

  3. 评估GDPR效果和影响的参考资料(二):来自CIPL的报告

  4. 评估GDPR效果和影响的参考资料(三):来自IAPP的报告

  5. 评估GDPR效果和影响的参考资料(四):来自“黑客”的视角

  6. 评估GDPR效果和影响的参考资料(五):来自欧盟成员国的视角


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告

  13. 【时评】ICO对英国航空和万豪国际开出巨额罚单,GDPR执法强硬时代来临!


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探

  38. 《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

  39. GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)

  40. 个人信息侵权纠纷类型化试解(DPO社群成员观点)

  41. 英法两国对 AdTech和广告类SDK的监管案例分析

  42. 金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)

  43. GDPR对用户画像的合规要求分析(DPO社群成员观点)

  44. IAPP新加坡会议上关于27701的Panel和PPT

  45. FTC vs Facebook:50亿美元和解令的来龙去脉(DPO社群成员观点)

  46. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  47. 澳《消费者数据权利法案》对数据共享与数据可携权的探索(DPO社群成员观点)

  48. FTC vs. YouTube:解读违规处理儿童个人信息之最大罚单(DPO社群成员观点)

  49. 个人数据在美欧外国投资审查中的角色初探(一)

  50. HiQ vs. LinkedIn案的启示与未决之题(DPO社群成员观点)

  51. 国家标准《个人信息安全规范(征求意见稿)》修订解读(DPO社群成员观点)

  52. 解析欧盟法院对与Cookies相关的告知和同意的最新判决(DPO社群成员观点)

  53. 推动域外应用商店下架“HKmap.live全港抗争即时地图”App的思路

  54. “客场作战”,法律先行:以“HKmap.live”为例

  55. 墨迹天气IPO被否 App治理工作组收集个人信息通报成依据之一

  56. 解读世界首例警方使用人脸识别技术合法性判决(DPO社群成员观点)

  57. 从墨迹IPO被否看拟境内上市企业的数据合规工作(DPO社群成员观点)

  58. 对美国外国投资审查新规的观察和评价(DPO社群成员观点)

  59. 《个人信息安全规范》在安标委重庆会议周上的汇报

  60. 人脸识别技术运用的六大场景及法律规制框架的适配(DPO社群成员观点)

  61. 他山之石:美国20年间33个儿童信息保护违法案例分析(DPO社群成员观点)

  62. 人脸识别技术的规制框架(PPT+讲稿)

  63. 全球视野中的金融数据安全


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存