查看原文
其他

个人数据与域外国家安全审查初探(九):澳大利亚《协助和访问法》

洪延青 网安寻路人 2020-11-22

编者按:

本系列文章核心要旨:一是跟踪、分析域外国家安全相关的法律制度对数据安全,特别是个人数据,流变的立场;二是服务我国企业走出去;三是给国内相关监管制度设计提供借鉴。此前该系列中已经发表的公号文章:



本篇关注澳大利亚联邦议会于2018年年底匆忙通过的《2018年电信和其他法律修正(协助和访问)法案》(the Telecommunications and other Legislation Amendment (Assistance and Access) Bill 2018,以下简称“协助和访问法”)。



总的来说,该法主要对澳大利亚的《1997年电信法》做出修改,建立了执法部门和情报机关就加密技术要求私营部门提供技术协助的自愿性和强制性的法律框架。同时,该法还修改了刑事方面的法律,增强了执法部门和情报机关在计算机和数据方面的搜查、调取权力,增加了对告密者(whistle-blowers)的处罚,以及提高了对不予配合行为的罚金。


“协助和访问法”规定了什么




一、适用对象


“协助和访问法”适用于“指定通信提供者”("Designated Communications Providers")。根据条文,几乎任何从事通信服务相关的组织或个人,都可落入“指定通信提供者”的范畴之内。具体来说,包括:


  • “通信服务”提供者(carriage services),具体包括传统电信服务和互联网连接服务(包括基础网络运营和互联网接入)的提供者;

  • “电子服务”(electronic services)提供者,即互联网通信服务提供者。所覆盖的领域包括“网站、聊天室、通信应用、云和网站托管、点对点分享平台、电邮分发列表”等,且在澳大利亚境内有一到多位终端用户;

  • 与上述“通信服务”和“电子服务”相连接的软件的开发者和提供者;

  • 为“通信服务”和“电子服务”的开展提供“便利或协助性质”的服务的提供者;

  • 制造、提供、安装、运维、运营用于电信网络(telecommunications network)的设备(facility)的组织或个人。设备是指电信网络基础设施的任何部分,或者电信网络所使用的,或与电信网络相连接的“线路、仪器、装置、塔台、天线杆、天线、隧道、管道、洞、坑、杆等结构或物件”;

  • 制造或提供面向消费者所使用设备的组织或个人。设备包括手机、路由、计算装置,还包括手机零部件(包括电路板、SIMs卡、存储器等)的制造者;

  • 提供第三方服务的组织或个人,例如提供消费者设备安装和维修服务的技术专家、外包服务商等。


二、适用的地域范围


简单来说,只要面向澳大利亚通信服务的组织或个人,无论其“公司、服务器、制造地点”是否位于澳大利亚境内,即受到该法的约束。澳大利亚内政部在其官方网站上直言:进入澳大利亚市场,在澳大利亚境内运营,即意味着如果(包括恐怖主义在内的)犯罪分子使用了其提供的通信服务,则该通信服务的提供者有法律上的协助义务。


三、对“指定通信提供者”提出的具体要求


“协助和访问法”向执法部门或情报机关提供了三种法律工具:


  • 技术协助申请(Technical Assistance Request, TAR):该请求为自愿性,不产生强制的法律义务。TAR可由通信拦截机构(包括联邦,州和地区执法部门和澳大利亚刑事情报委员会)、澳大利亚安全情报组织(ASIO),澳大利亚秘密情报局(ASIS)或澳大利亚国防情报局(ASD)的负责人基于法定目的而发出。如果“指定通信提供者”在TAR下自愿提供上述协助,则该提供者及其部门、员工和代理人将就所提供的协助获得民事豁免。

  • 技术协助通知(Technical Assistance Notice,TAN):这是一项强制性命令,可由通信拦截机构或ASIO的负责人发出。如果“指定通信提供者”收到TAN且目前具备提供协助的技术能力,则“指定通信提供者”必须根据TAN提供技术协助。

  • 技术能力通知(Technical Capability Notice, TCN):这是一项强制性命令,可由总检察长和通讯部长在根据通信拦截机构或ASIO负责人的要求下联合发布。如果TCN要求“指定通信提供者”提供技术协助,则“指定通信提供者”必须提供该技术协助,尤其是专门新建或新开发提供该技术协助的能力或功能。


总的来说,执法部门或情报机关可以借助上述三种法律工具,达到下列目标:


  • 在“指定通信提供者”已具备能力的情况下,要求“指定通信提供者”对特定通信进行解密处理;

  • 要求“指定通信提供者”协助执法或情报机关在“指定通信提供者”的网络中安装特定的软件;

  • 要求“指定通信提供者”修改“指定通信提供者”所提供服务的特征,或替换服务;

  • 要求“指定通信提供者”提供访问相关设施、仪器、装备、服务的协助;

  • 要求“指定通信提供者”提供相关技术信息,包括“源代码、网络或服务设计方案、通信服务中设计的第三方提供商的有关情况、网络设备的配置和加密方案”等;

  • 要求“指定通信提供者”为执法部门或情报机关所开展的秘密行动保密。


四、严格的保密义务


该法对接收到申请或通知的“指定通信提供者”设定了严格的保密义务。“指定通信提供者”既不能透露所收到的申请或通知的内容或细节,也不能透露其接收到了申请或通知这件事本身。该保密义务不仅覆盖“指定通信提供者”,还延伸至其职员、服务外包商及外包商的职员。违反保密义务的“指定通信提供者”的有关人员,将被处于高达5年的监禁。


“协助和访问法”是否要求设置“后门”




该法最引人关注的争议焦点即在于是否要求“指定通信提供者”设置后门(backdoors)。在其官方网站上,澳大利亚内政部专门开辟一栏用于澄清“关于协助和访问法的迷思”(Myths about the Assistance and Access Act),并明确声明:“该法没有赋予政府安装后门的权力”。


在澳政府看来,最直接的证据是该法第317ZG节明确禁止政府要求“指定通信提供者”在电子保护中建立“系统性弱点或脆弱性”(“an express prohibition against building a systemic weakness or vulnerability into a form of electronic protection”);同时该节还确保“指定通信提供者”能够及时修复“系统性弱点或脆弱性”。关于加解密,第317ZG节还明确禁止要求“指定通信提供者”建立新的解密能力,或要求“指定通信提供者”采取系统性的措施以降低认证或加密的有效性。


听起来似乎都不错,但细节在魔鬼之中——关于“系统性弱点或脆弱性”的定义。“协助和访问法”是这样定义“系统性弱点或脆弱性”的:“影响一整类技术”(a whole class of technology)的弱点或脆弱性,但“不包括针对特定个人所使用的一项或多项目标技术而有选择性地引入”(selectively introduced to one or more target technologies that are

connected with a particular person)的弱点或脆弱性。


随后,该法继续对“目标技术”(target technologies)进行了定义,包括了以下情形:


  • 特定个人所使用,或可能使用的“通信服务”和“电子服务”;

  • 特定个人所使用,或可能使用的特定计算机或设备上已经安装的,或将要安装的软件,及该软件特定升级包;

  • 特定个人所使用,或可能使用的特定消费者设备(customer equipment)中的特定组件;

  • 特定个人所使用,或可能使用的数据处理仪器;


从上述对比可看出,在“协助和访问法”中所谓的针对“影响一整类技术”的“系统性弱点或脆弱性”,与针对“目标技术”而有选择性引入的弱点或脆弱性(本文简称“特定弱点或脆弱性”)的刻意区分,绝非如澳大利亚政府所言的泾渭分明,对政府要求设置后门的权力很难有实质性的限制。


首先, “系统性弱点或脆弱性”与针对“目标技术”而有选择性引入的弱点或脆弱性(本文简称“特定性弱点或脆弱性”)在技术本质上并没有显著区别:所谓的“系统性”,并非对技术能够产生系统性、全局性、根本性、框架性的影响;“特定性弱点或脆弱性”中所谓的“特定”、“有选择性”等限定词,也并非指对技术仅有局部、边缘性、浅层的影响。两者的目的和效果都是一致的——均要求通过弱点或脆弱性截获通信。


其次,“系统性弱点或脆弱性”中所谓的“一整类技术”,与“特定性弱点或脆弱性”中所谓的“目标技术”,事实上也没有显著区别。“目标技术”中的“目标”,指的是特定个人所使用或可能使用。设想以下情况:该特定个人使用的是大众日常使用的通信设备或软件,这样的通信设备或软件往往使用的是通用技术或协议,则“特定性弱点或脆弱性”所产生的影响,几乎肯定波及“一整类技术”。


再次,“系统性”和“特定性”的区分无法起到对通信拦截对象的有效限定。从法案文本来看,“系统性弱点或脆弱性”对应的是能够实现大规模、无差别通信拦截的弱点或脆弱性;而“特定性弱点或脆弱性”对应的是具体案件中所涉及的具体个人。“协助和访问法”在实现后者的同时,希望避免前者。但有意思的是,该法在对“目标技术”的定义之后加了一句话:“无论该特定个人是否能被识别,不对界定目标技术产生实质影响”(For the purposes of paragraphs (a), (b), (c), (d), (e) and (f), it is immaterial whether the person can be identified.)。这句耐人寻味的话,是否意味着所谓的特定个人,在实践中仅需要有个模糊的描述即可,而不用确定到具体、确定的对象?如果是这样的话,一开始针对特定目标的通信拦截,很容易演变成大规模、无差别的秘密行动。


再以一个例子进行说明:针对该特定个人所使用的通信应用,澳大利亚情报机关要求该通信应用提供者向该特定个人定向推送升级包,该升级包中包含由澳情报机关所开发的具有截获通信的间谍软件。根据“协助和访问法”的规定,这样的升级包属于“特定性弱点或脆弱性”,而非“系统性弱点或脆弱性”,通信应用提供者应当配合。但在通信应用提供者眼中,该升级包对应用产生的影响肯定是根本性、系统性的,且升级包中所含有的间谍软件从技术层面来说也一定能感染其他用户的应用。更重要的是,该间谍软件所利用的通信应用中的漏洞,根据“协助和访问法”规定,不属于“系统性弱点或脆弱性”,所以澳情报机关有权要求通信服务提供者禁止修复该漏洞。再加上“协助和访问法”允许情报机关在申请或通知中,无需识别出特定个人而只要给出一定范围即可(如在某特定ip地址登录或使用通信应用的人),则通信应用提供商管控间谍软件的扩散的难度成倍增加。


从上述分析和例子不难看出,即便澳政府不断地澄清和强调“协助和访问法”没有赋予政府加装后门的权力,但澳私营部门始终认为这正是该法的目的。众多科技公司认为该法“人为”、“有意”地降低了其提供产品和服务的安全性,因此强烈反对。正如澳大利亚信息工业协会(The Australian Information Industry Association)政策和倡导主管Kishwar Rahman所言:澳私营部门对澳政府“完全没有信心”,该法赋予政府的权力“史无前例”,权力范围“过分地宽泛”,实践中带来的后果“完全无法预估”。


“协助和访问法”的国际因素




面对澳产业界的强烈反对,澳政府仍然“一意孤行”。在许多澳大利亚内外的分析人士看来,“协助和访问法”背后,很大程度上是“五眼联盟”(由美国、英国、加拿大、澳大利亚、新西兰等五国情报机关组成的情报共享联盟)的“阴谋”和“一次试验”。


从2013年开始,起始于二战的五眼情报联盟开始举行年度部长级会议,探讨执法和国家安全方面的信息共享。2017年6月五眼联盟的渥太华会议上,五国就提出需要克服加密技术的运用对执法和情报活动带来的困难。该会议后发布的联合公告指出,加密能“严重地限制保护公共安全的努力”,五眼联盟将与科技公司一道“探索解决的途径”。2018年8月举行的会议更加关注加密问题。五眼联盟专门发布联合声明:“关于证据调取和加密的原则”(Principles on Access to Evidence and Encryption)。声明中再次强调了目前政府部门在“破解加密通信”方面面临的困难越来越多,五国将可能推动立法强制要求建立加密后门。就在会议召开后的当月,澳大利亚政府就推出了“协助和访问法”的草稿。就像人权律师Lizzie O’Shea在《纽约时报》撰文所说:澳大利亚不像五眼联盟中的其他国家那样拥有“权利法案”,自然是五眼联盟实验情报收集新手段的首选。


在政策分析和倡导人士看来,澳大利亚立法还能解决美国政府一直面临的难题。众所周知,美国FBI近年来数次呼吁美国国会通过立法,强制要求美国的科技公司加强为执法提供的技术协助,包括强制解锁手机、破解加密技术、加装软件后门等。但由于美国科技企业强大的游说和传统以来公众对政府的不信任,FBI和司法部的尝试屡屡失败。澳大利亚的“协助和访问法”正好解决了这个困难:美国国内没法强迫公司做的事情,正好可以在澳大利亚实现。首先,“协助和访问法”适用于面向澳大利亚市场提供服务的公司,这就基本囊括了所有大型的美国科技公司;其次,澳大利亚政府通过“协助和访问法”获得的部分数据,可以通过五眼联盟或双边执法协助渠道,与美国政府共享;再次,如果美国的科技公司在澳大利亚为澳政府提供了技术协助,则在面临美国政府的要求时,这些公司很难再以技术上不可行的理由拒绝提供数据。


这也难怪新美国(New America)智库监控和网络安全政策主管Sharon Bradford Franklin指出:“协助和访问法”对美国来说事实上是“加密后门中的后门”(these powerful new tools could help provide the United States with aback door to an encryption back door)。虽然澳官员数次在媒体上澄清“协助和访问法”对信息共享有严格的限制,但澳大利亚知名媒体《金融评论》(Financial Review)在今年2月一篇“对五眼的恐惧笼罩澳加密法”(Five Eyes fears rise over Aussie encryption laws)的报道中指出:大多数专家均认为“协助和访问法”里有足够的漏洞(loopholes)可以让其他四个国家借助这部法律,绕过其国内人权、隐私保护等方面的法律限制。


双重标准本质




“协助和访问法”到底是“合法、合理、合乎比例、可落实、技术上可行”,还是对通信产品或服务安全性的严重威胁?相信行文至此,已经可以有个基本的判断。此外这部法律还直接暴露出美国及其盟友赤裸裸的双重标准。

还是在2018年8月,澳大利亚政府宣布因国家安全原因,禁止中国电信设备制造商(如华为和中兴通讯)向国内移动电话运营商提供5G技术和产品,并禁止在国内宽带网络中使用中国的电信设备。这是美国在全球范围内动用其国家力量对中国科技产品和服务进行阻击的一部分。在这场阻击中,从来没有黑纸白字的证据,唯一摆在台面上的只有为维护“供应链安全”的说辞,以及类似于澳大利亚政府在其禁令公告中说称“某些供应商可能听从与澳大利亚法律相冲突的外国政府的法外指示”而开展“未授权的访问或干预”的揣测。


对比“协助和访问法”的实践和上述说辞,美澳政府又一次把自己双重标准的行径暴露在光天化日之下。美澳政府一方面以保障供应链安全为名排除中国产品和服务,另一方面却通过“协助和访问法”在产品和服务中植入后门,削弱产品和服务的安全性;而在此法之前,斯诺登就已经爆料美英国情报机关联手故意降低加密技术的安全性。可见,公共利益、隐私保护等本来就是拿来作为自己行为的遮羞布。


此外,据《金融时报》报告,澳这项决定背后的一个关键因素是中国2017年出台的《国家情报法》中规定:“任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密”。先不论澳政府对该法仅从字面解读且无视《国家情报法》在实践落地时有一系列的制度约束,反观“协助和访问法”无论是适用对象、适用地域、所提技术要求和保密要求等,足以让任何第三方产生关于供应链安全足够的担心。


看来,美澳关心的绝非产品和服务的安全,他们真正关心的是能不能有效地强迫产品和服务提供商按照自己的意志行事。他们还秉持着“非我族类,其心必异”的冷战思维,还是认为自己国家的企业是自己人,而来自于联盟国家之外的产品和服务根本不可靠。这样的思维和行为,损人不利己。澳大利亚科技企业目前最担心的正是因为“协助和访问法”的通过,会让其他国家对其产品和服务产生担心,使其面临类似于华为的困境,无法进入国际市场。(完)




数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)

  25. “hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)

  26. 法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)

  27. 美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)

  28. FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)

  29. ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)

  30. 德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)

  31. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  32. 印度《个人数据保护法》(2019年草案)全文翻译(DPO社群出品)

  33. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  34. AEPD和EDPS | “哈希函数简介——用于个人数据假名化技术”中译文(DPO社群出品)

  35. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  36. 联合发布 |《2020数字医疗:疫情防控新技术安全应用分析报告》

  37. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  38. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  39. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  40. 新版《个人信息安全规范》(35273-2020)正式发布


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

  18. 与欧美一流数据保护专家面对面(DPO沙龙特别活动)

  19. 第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径

  20. 第十八期DPO沙龙纪实:生物识别信息的安全保护


评估GDPR效果和影响:

  1. 评价GDPR一周年:一些正负面观点

  2. 评估GDPR效果和影响的参考资料(一):来自Capgemini的报告

  3. 评估GDPR效果和影响的参考资料(二):来自CIPL的报告

  4. 评估GDPR效果和影响的参考资料(三):来自IAPP的报告

  5. 评估GDPR效果和影响的参考资料(四):来自“黑客”的视角

  6. 评估GDPR效果和影响的参考资料(五):来自欧盟成员国的视角


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探

  38. 《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

  39. GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)

  40. 个人信息侵权纠纷类型化试解(DPO社群成员观点)

  41. 英法两国对 AdTech和广告类SDK的监管案例分析

  42. 金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)

  43. GDPR对用户画像的合规要求分析(DPO社群成员观点)

  44. IAPP新加坡会议上关于27701的Panel和PPT

  45. FTC vs Facebook:50亿美元和解令的来龙去脉(DPO社群成员观点)

  46. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  47. 澳《消费者数据权利法案》对数据共享与数据可携权的探索(DPO社群成员观点)

  48. FTC vs. YouTube:解读违规处理儿童个人信息之最大罚单(DPO社群成员观点)

  49. 个人数据在美欧外国投资审查中的角色初探(一)

  50. HiQ vs. LinkedIn案的启示与未决之题(DPO社群成员观点)

  51. 国家标准《个人信息安全规范(征求意见稿)》修订解读(DPO社群成员观点)

  52. 解析欧盟法院对与Cookies相关的告知和同意的最新判决(DPO社群成员观点)

  53. 推动域外应用商店下架“HKmap.live全港抗争即时地图”App的思路

  54. “客场作战”,法律先行:以“HKmap.live”为例

  55. 墨迹天气IPO被否 App治理工作组收集个人信息通报成依据之一

  56. 解读世界首例警方使用人脸识别技术合法性判决(DPO社群成员观点)

  57. 从墨迹IPO被否看拟境内上市企业的数据合规工作(DPO社群成员观点)

  58. 对美国外国投资审查新规的观察和评价(DPO社群成员观点)

  59. 《个人信息安全规范》在安标委重庆会议周上的汇报

  60. 人脸识别技术运用的六大场景及法律规制框架的适配(DPO社群成员观点)

  61. 他山之石:美国20年间33个儿童信息保护违法案例分析(DPO社群成员观点)

  62. 人脸识别技术的规制框架(PPT+讲稿)

  63. 全球视野中的金融数据安全

  64. 公司IPO/重组/投融资时,监管部门审查要点汇总及问题分析(DPO社群成员观点)

  65. 个人金融信息收集和共享的基本原理:基于中美欧规则的展开(文字稿+PPT)

  66. 透析印度《个人数据保护法2019年草案》

  67. 北京市关于自动驾驶车辆道路测试的立法综述及动态(DPO社群成员观点)

  68. 违反俄罗斯数据本地化的行政罚款新规(DPO社群成员观点)

  69. 零售门店使用人脸识别技术的主要法律问题(DPO社群成员观点)

  70. 韩国个人信息保护法律制度概况(DPO社群成员观点)

  71. 推进欧洲可持续和数字化转型:《欧洲新工业战略》解读(DPO社群成员观点)

  72. 《个人信息安全规范》被援引情况实证分析(DPO社群成员观点)


传染病疫情防控与个人信息保护系列文章

  1. 传染病疫情防控与个人信息保护初探之一:个人信息的性质

  2. 传染病疫情防控与个人信息保护初探之二:同意的例外

  3. 传染病疫情防控与个人信息保护初探之三:数据技术的应用路径

  4. 传染病疫情防控与个人信息保护初探之四:接触追踪的数据共享安全规范

  5. 传染病疫情防控与个人信息保护初探之五:电信数据的安全规范

  6. 传染病疫情防控与个人信息保护初探之六:GDPR框架下的公共卫生数据共享

  7. 传染病疫情防控与个人信息保护初探之七:美国公共卫生机构的数据调取权力

  8. 传染病疫情防控与个人信息保护初探之完结篇:解读中央网信办通知

  9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总(DPO社群出品)

  10. 美国疫情防控中的关键基础设施的识别和认定(DPO社群出品)


个人数据与域外国家安全审查系列文章

  1. 个人数据与域外国家安全审查初探(一):美欧概览

  2. 个人数据与域外国家安全审查初探(二):CFIUS实施条例详解

  3. 个人数据与域外国家安全审查初探(三):从美国《确保ICT技术与服务供应链安全》        

  4. 个人数据与域外国家安全审查初探(四):从美国《2019年安全与可信通信网络法案》看

  5. 个人数据与域外国家安全审查初探(五):禁止中国公司对StayNTouch的收购

  6. 个人数据与域外国家安全审查初探(六):《2019国家安全和个人数据保护法案》

  7. 个人数据与域外国家安全审查初探(七):美国众议院荒唐的决议草案

  8. 个人数据与域外国家安全审查初探(八):《2020安全的5G和未来通信》法案

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存