查看原文
其他

传染病疫情防控与个人信息保护初探之四:接触追踪的数据共享安全规范

洪延青 葛鑫 网安寻路人 2020-02-26

前言


在数字时代,将ICT技术运用于传染病疫情的监测和防控是题中之义。在此次2019-nCoV病毒疫情中,我们也在公开媒体中初步见到了大数据技术在这方面的威力。


比如百度推出了【百度迁徙升级版上线,人口迁徙大数据向公众开放】。第一财经等媒体也利用百度迁徙地图,就武汉人流进行了专门的报道:【500万人离开了武汉,他们都去了哪儿?


如果说上述实践中主要展示了集合性数据(aggregated data),基本上不存在个人信息保护风险的话,部分新闻媒体报道中披露出的直接披露、共享武汉人民个人信息的做法(例如【武汉人是否还应该有隐私?】),就存在违法违规的风险。


本系列短文,旨在初步探讨传染病疫情与个人信息保护之间的复杂关系。在文章中,很多时候是提出问题,但确切的答案,我自己也没有。请大家见谅。此前已经发出的该系列文章:





上一篇讨论了个人信息在疫情防控中的应用路径之后,这篇文章回归个人信息保护的主题,还是从传染源发现、追踪、控制、隔离的角度出发,而且把视线投向域外。


在勾勒应用路径的文章中,我们可以看到使用数据的基本逻辑——即寻找与目标(targets)有密切接触(close contacts)的高风险人群。这个目标可以是在特定时段内以特定频率出入武汉华南海鲜市场或者在该市场附近出现过的特定个体(以A来指代),也可以是各地已经确诊为确诊感染了新型冠状病毒的特定个体(以B来指代)。

举例来说,通过筛查出A人群,对照A人群中最终的确诊人数,具备病理或流行病学方面的意义。通过追踪A人群之后的去向,能够一定程度上预测或印证特定国家、区域、城市的发病率(例如【近30天,去过武汉华南海鲜批发市场的人,后来都去了哪里】这篇文章中做的数据分析)。如果说武汉华南海鲜市场不是新型冠状病毒的发源地(见【华南海鲜市场“翻盘”?未必是新型冠状病毒发源地!】),那就可以往前追溯“无该市场接触史的病患”的行踪轨迹与A人群中确诊病患的行踪轨迹,并将两者进行碰撞,也许就能发现病毒真正的发源地。


对于人群B,各地疾控和医疗机构都特别希望能够找到与其有接触史的人群(以C来指代),以便对其实施集中隔离或要求其进行居家医学观察,最终彻底切断传染源(见【袁家军:量化细化闭环管控 以必胜信念打赢疫情防控阻击战】)。上述逻辑还可以从C人群(即所谓的“无意识密切接触人群”)进一步扩展追踪开来。


从上述数据的使用逻辑来看,均需要识别(single out)特定的个体(即前文所说的目标),再根据不同目的,拓展至不同范围的其他特定个体。用术语来说,其实就是“接触追踪”(contact tracing)。

2013年,欧盟通过了“欧洲议会和欧盟理事会关于严重的跨境健康威胁的决定”(Decision No.1082/2013/EU of The European Parliament and of The Council of 22 October 2013 on Serious Cross-Border Threats to Health and Repealing Decision,以下简称为“欧盟No.1082/2013号决定”),目的在于准备和应对严重的健康威胁(包括疾病、生物恐怖、化学或环境事件),并取代原先的传染病控制制度。


总的来说,“欧盟No.1082/2013号决定”在欧盟层面,引入了应对严重健康威胁的多项策略,包括预案准备和响应协调、联合采购药品、信息共享、流行病学监测和监测、紧急状态的认定等。


在“欧盟No.1082/2013号决定”中,“接触追踪”(contact tracing)被定义为

即“为追踪暴露于严重的跨境健康威胁源,且有感染疾病危险或已感染疾病的人而采取的措施”。


“欧盟No.1082/2013号决定”的第八条在欧盟范围内建立了“早期预警和响应系统(EWRS)”。EWRS系统由位于斯德哥尔摩的欧洲疾病预防和控制中心统一管理和协调,旨在欧盟委员会与各成员国主管当局之间建立一个持续畅通的沟通渠道。


“欧盟No.1082/2013号决定”的第九条则明确要求当符合一定条件后,欧盟委员会或相关成员国主管当局应当通过EWRS发出“警报告知”(alert notification)。在“警报告知”中,应当包含“任何已经掌握的有助于协调应对的信息”。第九条还对应当共享的信息进行了例举:


这其中与个人信息直接相关的是第(i)项——即“符合第十六条规定且为接触追踪目的所必需的个人数据”。以下是“欧盟No.1082/2013号决定”第十六条的翻译:

Article 16 Protection of personal data

第十六条 个人数据保护


1. In the application ofthis Decision, personal data shall be processed in accordance with Directive95/46/EC and Regulation (EC) No 45/2001. In particular, appropriate technical and organisational measures shall be taken to protect such personal data against accidental or illegal destruction, accidental loss, or unauthorised access andagainst any form of illegal processing.

1.就本指令的适用,个人数据的处理应当符合95/46/EC指令和(EC) No 45/2001条例[1]。特别是应当采取适当的技术和组织措施保障个人数据免受意外或非法破坏、意外毁损或未经授权的访问,以及其他任何形式的非法处理。


2. The EWRS shall include a selective messaging functionality allowing personal data to be communicated only to national competent authorities involved in contact tracing measures. That selective messaging functionality shall be designed and operated so as to ensure safe and lawful exchange of personal data.

2. 预警和响应系统应当包含选择性通信功能,以便个人数据仅在参与接触追踪措施中有关的成员国有权机构之间进行传输。该选择性通信功能的设计和操作应当满足个人数据交换的安全性和合法性要求。


3. Where competent authorities implementing contact tracing measures communicate personal data necessary for contact tracing purposes through the EWRS pursuant to Article 9(3), they shall use the selective messaging functionality referred to in paragraph 2 of this Article and communicate the data only to the other Member States involved in the contact tracing measures.

3. 采取接触者追踪措施的有权机关依据第9条(3)通过EWRS传输为实现追踪目的所必需的个人数据,应当使用本条2款所述的选择性通信通能,并且仅向接触者追踪措施所涉及的其他成员国传输个人数据。


4. When circulating the information referred to in paragraph 3, the competent authorities shall refer to the alert communicated previously through the EWRS.

4. 成员国有权机关在传输本条第3款所述信息时,应当参考先前已经通过EWRS传输的警报。


5. Messages containing personal data shall automatically be erased from the selective message functionality 12 months after the date of their posting.

5. 包含个人数据的信息在发布日期之日起12月内从选择性信息通信功能中自动删除。


6. Where a competent authority establishes that notification of personal data made by it pursuant to Article 9(3) has subsequently proved to be in breach of Directive 95/46/EC because that notification was unnecessary for the implementation of the contact tracing measures at issue, it shall inform immediately the Member States to which that notification was transmitted.

6. 如果成员国有权机关依据第9条第3款进行个人数据的通知,因对于采取接触追踪措施而言是不必要的而被证明构成对95/46/EC指令的违反,其应当立即通知已经发送了该通知的成员国。


7.In relation to their responsibilities to notify and rectify personal data through the EWRS, the national competent authorities shall be regarded as controllers within the meaning of point (d) of Article 2 of Directive 95/46/EC.

7.就通过EWRS通知和更正个人数据的责任而言,成员国有权机构应当被视为95/46/EC指令中第2条(d)中所述的数据控制者。


8.In relation to its responsibilities concerning storage of personal data, the Commission shall be regarded as a controller within the meaning of point (d) of Article 2 of Regulation (EC) No 45/2001.

8.就个人数据的存储责任而言,欧盟委员会应当被视为(EC)No 45/2001条例第2条(d)中所述的数据控制者。


9.The Commission shall adopt:

(a) guidelines aimed at ensuring that the day-by-day operation of the EWRS complies with Directive 95/46/EC and Regulation (EC) No 45/2001;

(b) a recommendation providing an indicative list of the personal data that may be exchanged for the purpose of the coordination of contact tracing measures.

9.欧盟委员会应当通过:

(a)指引:确保EWRS日常运转符合95/46/EC指令和 (EC) No 45/2001条例的指引;

(b)建议:为实现接触追踪措施的协作而进行交换的个人数据的指示性清单建议。



[1] REGULATION (EC) No45/2001 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 18 December2000 on theprotection of individuals with regard to the processing of personal data by theCommunity institutions and bodies and on the free movement of such data. 欧盟机构或组织有关个人数据处理和自由流动的条例。


从该条文中不难看出,“欧盟No.1082/2013号决定”的第十六条将整个“接触追踪”中关于个人数据的方面,纳入了欧盟的个人数据保护框架之中,只不过在当时这个框架是欧盟的95指令。随着欧盟GDPR于2018年5月生效,“接触追踪”也肯定被纳入GDPR的框架之中。


至于GDPR的基本逻辑,我经常用以下几段话来概括,在此重复一遍:

GDPR中的许多元素体现了欧盟对个人数据的基本态度。例如,欧盟将个人数据保护当成基本人权;欧盟通过一部单行法GDPR覆盖了包括公私部门在内的各行各业的个人信息处理行为;GDPR详细规定了个人信息处理的基本原则,如最少够用、目的限定、存储期限最小化等;GDPR赋予了个人对其信息非常广泛的控制权利,如数据可携带权、被遗忘权、反对自动化决策机制权利等;GDPR对大规模处理个人信息的企业,要求设立数据保护官(DPO);GDPR要求产品和服务应实现通过设计和默认设置实现隐私保护(Privacy by Design and by Default);GDPR重构了欧盟层面的个人数据保护的落实机制;GDPR处罚额度可高达2000万欧元或年收入4%,两者取其高;GDPR要求个人数据流出欧盟,应确保足够的(adequate)保护水平等。

以下以GDPR的基本合规逻辑:GDPR第六条规定了个人信息处理合法的六项事由:一是数据主体对出于单个或多个特定目的而处理其个人数据表示同意;二是处理是为向身为合同当事人的数据主体履行合同所必须的,或在缔约前,应数据主体的要求所必须采取的步骤;三是因履行数据控制者承担的法律义务而必须处理个人数据的;四是为保护数据主体重大利益或其他自然人重大利益而必须处理个人数据的;五是为公共利益而执行任务,或数据控制者履行赋予的公共职能时,必须处理个人数据的;六是因数据处理者正当利益或第三方正当利益而必须处理个人数据的,但当数据主体的利益或基本权利和自由(特别当数据主体尚未成年时)高于上述正当利益时,不得使用该事由。

在GDPR中,个人信息控制者开展数据处理之前,通常要先确立数据处理的目的(也就是要开展的具体业务),再从目的出发,选择所需要开展的具体数据处理动作将依赖于上述六种合法事由(lawful grounds)中的哪一个,随后是确保具体数据处理动作遵循了个人数据处理的基本原则。

在GDPR的框架中,这些基本原则包括:(1)“合法性、合理性和透明性”:对数据主体的个人数据,应当以合法的、合理的和透明的方式来进行处理;(2)“准确性”:个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正;(3)“限期储存的要求”:对于能够识别数据主体的个人数据,其储存时间不得超过实现其处理目的所必需的时间;超过此期限的数据处理只有在如下情况下才能被允许:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了包括匿名化等合理技术与组织措施进行处理;(4)“注意数据的完整性与保密性”:处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失。

为了落实上述原则,GDPR对数据的控制者和处理者作出一系列限制,其中最核心的要求为“数据最小化”(data minimization),即个人数据的处理应当是为了实现数据处理目的之适当、相关和必要的,个人数据采集应当有具体、清晰和正当之目的,对个人数据的处理不应当违反初始目的。当然,上述限制也有例外,即因为公共利益、科学或历史研究或统计目的而进一步处理数据,不视为违反初始目的,但仍应当采取符合GDPR的恰当防护措施,比如匿名化等。数据主体的权利以及数据处理者与控制者的义务均围绕这些原则展开。

注:希望对GDPR了解更多的读者,请见本公号过去推送的文章。


结合“欧盟No.1082/2013号决定”与GDPR的基本逻辑,我们可以得到欧盟对接触追踪的数据安全规范的一些观察:


  • 数据最小化原则(即最少够用原则)充分地贯彻到了欧盟EWRS系统的要求之中,不仅包括要求共享的信息为最少够用(例如决定要求欧盟委员会提出为实施接触追踪可共享的个人数据类型列表),还对信息在EWRS系统中的存储时间做了硬性规定,不得超过12个月。


  • EWRS系统高度关注个人数据交换中的安全性问题,通过Privacy by Design以实现个人信息保护的合规。例如第十六条明确要求在出于接触追踪目的而共享个人信息时,只能选用“选择性通信功能”(to use solely the selective messaging functionality),这个功能只允许特定成员国的有权机构能够收悉相关的个人信息。


  • 明确数据控制者的角色。成员国对数据在EWRS系统中的输入和接收,承担控制者的责任。换句话说,成员国对这些共享的个人数据的后续(违法违规)流转承担了全部法律责任。


  • 欧盟委员会承担数据存储承担控制者责任,也就是说数据在EWRS系统中的安全性、最小存储期限等,由欧盟委员会负责落实。


EWRS中更多的安全措施见下表总结。


EWRS中个人数据交换安全保障措施的概览

对在系统中共享的个人数据的有限访问权限

  • EWRS仅可由已获授权的用户访问:国家有权机构(由成员国指定的)、欧盟委员会和欧盟疾病防控中心;

  • 访问通过安全、个性化的用户账户和密码加以保护;

  • EWRS的信息概览页面已进行显著警示,告知访问用户:通用信息通道不可用于传输用于接触追踪的个人数据。

选择性通信功能

  • 个人数据应当通过EWRS中的“选择性信息功能”传输;

  • 个人数据仅可向接触追踪措施中所涉及的成员国有权机构传输;

  • 其他EWRS用户、欧盟委员会和欧盟疾病防控中心被自动排除在通过选择性信息通道访问个人数据之外(除非该访问为应对协作行动所必须)。

个人数据的日常更正和处理期限

  • EWRS内置的在线功能,允许更正、删除选择性通信功能中包含的存在不准确、过时、不再必要或违反数据保护法律的个人数据;

  • 在选择性信息通道中有特定机制允许所涉的有权机构基于数据主体的请求进行沟通和协作;

  • 自发布之日起12月,EWRS内置的在线功能会自动清除选择性通信功能中所包含的个人数据。

数据控制者的责任划分

  • 成员国有权机构和欧盟委员会为数据的共同控制者,欧盟疾病防控中心为数据处理者;

  • 作为共同控制者,成员国在告知和数据更正方面承担控制者义务;

  • 欧盟委员会在数据最小化存储方面承担数据控制者义务;

  • 成员国有权机构负有义务及时通知其他有权机构,如其涉及数据处理违反盟数据保护法律(特别是当所处理的数据并非接触追踪所必需)。


下一篇文章关注通过电信运营商进行接触追踪的域外实践和数据保护原则。敬请关注。



数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)

  25. “hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)

  26. 法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)

  27. 美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)

  28. FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)

  29. ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)

  30. 德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)

  31. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  32. 印度《个人数据保护法》(2019年草案)全文翻译(DPO社群出品)

  33. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  34. AEPD和EDPS | “哈希函数简介——用于个人数据假名化技术”中译文(DPO社群出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

  18. 与欧美一流数据保护专家面对面(DPO沙龙特别活动)

  19. 第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径

  20. 第十八期DPO沙龙纪实:生物识别信息的安全保护


评估GDPR效果和影响:

  1. 评价GDPR一周年:一些正负面观点

  2. 评估GDPR效果和影响的参考资料(一):来自Capgemini的报告

  3. 评估GDPR效果和影响的参考资料(二):来自CIPL的报告

  4. 评估GDPR效果和影响的参考资料(三):来自IAPP的报告

  5. 评估GDPR效果和影响的参考资料(四):来自“黑客”的视角

  6. 评估GDPR效果和影响的参考资料(五):来自欧盟成员国的视角


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探

  38. 《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

  39. GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)

  40. 个人信息侵权纠纷类型化试解(DPO社群成员观点)

  41. 英法两国对 AdTech和广告类SDK的监管案例分析

  42. 金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)

  43. GDPR对用户画像的合规要求分析(DPO社群成员观点)

  44. IAPP新加坡会议上关于27701的Panel和PPT

  45. FTC vs Facebook:50亿美元和解令的来龙去脉(DPO社群成员观点)

  46. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  47. 澳《消费者数据权利法案》对数据共享与数据可携权的探索(DPO社群成员观点)

  48. FTC vs. YouTube:解读违规处理儿童个人信息之最大罚单(DPO社群成员观点)

  49. 个人数据在美欧外国投资审查中的角色初探(一)

  50. HiQ vs. LinkedIn案的启示与未决之题(DPO社群成员观点)

  51. 国家标准《个人信息安全规范(征求意见稿)》修订解读(DPO社群成员观点)

  52. 解析欧盟法院对与Cookies相关的告知和同意的最新判决(DPO社群成员观点)

  53. 推动域外应用商店下架“HKmap.live全港抗争即时地图”App的思路

  54. “客场作战”,法律先行:以“HKmap.live”为例

  55. 墨迹天气IPO被否 App治理工作组收集个人信息通报成依据之一

  56. 解读世界首例警方使用人脸识别技术合法性判决(DPO社群成员观点)

  57. 从墨迹IPO被否看拟境内上市企业的数据合规工作(DPO社群成员观点)

  58. 对美国外国投资审查新规的观察和评价(DPO社群成员观点)

  59. 《个人信息安全规范》在安标委重庆会议周上的汇报

  60. 人脸识别技术运用的六大场景及法律规制框架的适配(DPO社群成员观点)

  61. 他山之石:美国20年间33个儿童信息保护违法案例分析(DPO社群成员观点)

  62. 人脸识别技术的规制框架(PPT+讲稿)

  63. 全球视野中的金融数据安全

  64. 公司IPO/重组/投融资时,监管部门审查要点汇总及问题分析(DPO社群成员观点)

  65. 个人金融信息收集和共享的基本原理:基于中美欧规则的展开(文字稿+PPT)

  66. 透析印度《个人数据保护法2019年草案》

  67. 北京市关于自动驾驶车辆道路测试的立法综述及动态(DPO社群成员观点)

  68. 违反俄罗斯数据本地化的行政罚款新规(DPO社群成员观点)

  69. 零售门店使用人脸识别技术的主要法律问题(DPO社群成员观点)

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存