查看原文
其他

美国联邦隐私保护立法草案研究(四):“生物识别信息”

洪延青 网安寻路人 2020-11-22

编者按:

目前,我国的个人信息保护立法工作正在进行之中。相对于欧盟《通用数据保护条例》(GDPR),国内对美国联邦目前的隐私保护立法尝试,以及已出现的多个版本隐私保护法律文本草案,研究很不充分【部分草案的翻译,见:美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品),以及第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论】。本系列文章试图进一步填补这一空白。


遵循本公号一贯的风格,本系列文章将避免理论化的介绍,分专题对各个法律文本中的概念和制度设计开展分析研究,核心目的在于为我国各个层级的立法和监管提供借鉴。本系列已发表的文章:



在过去的一年中,人脸识别在国内外的关注度非常之高。不仅在国外,国内对此的专项立法很可能是大概率事件。因此,本篇特别关注美国联邦隐私保护立法中关于“生物识别信息”的定义和保护规定。照旧逐一展开分析。


‘‘Consumer Data Privacy and Security Act of 2020’’




在本法案中,生物识别信息是指——通过特定的技术,就个人的身体、生物、心理、基因、行为方面的特征开展处理后所得到的能够识别个人的信息。(The term ‘‘biometric information’’ means information, resulting from specific technical processing related to the physical, biological, physiological, genetic, or behavioral characteristics of an individual, that identifies the individual.)


在本法案中,生物识别信息被归为个人敏感信息中的一种。对于个人敏感信息,本法案提出的保护规则有:


  1. 年度内收集或处理少于10万人的个人敏感信息,可以被认为是小企业(small business);

  2. 收集或处理个人敏感信息需要明示同意(express affirmative consent);

  3. 完成处理目的后,企业应对个人敏感信息做删除或去标识化处理,并应要求其使用的服务提供者也对个人敏感信息做删除或去标识化处理;

  4. 如果隐私政策发生实质变化,在个人重新给与明示同意前,不应处理个人敏感信息;

  5. 如果年度收集或处理超过100万人的个人敏感信息,企业应当任命隐私保护官;

  6. 如果年度收集或处理超过100万人的个人敏感信息,企业应当在收集或处理个人敏感信息前,或实质性地改变对个人敏感信息的处理前,评估所涉及的个人敏感信息的性质和数量,以及该收集或处理行为可能对个人带来的损害(即隐私影响评估PIA的要求)。


在该法案中,“处理”的定义包含了:分析、组织、结构化、保存、使用、披露、传输、共享、转移、售卖、许可等除收集外所有的动作。


在该法案中,对于小企业的优待,主要体现在实现个人数据主体权利方面。



‘‘Online Privacy Act of 2019’’



 

本法案没有对生物识别信息给出定义,但专门就基因信息做出了详细规定。第209节规定如下:


受管辖的实体不得收集、处理、持有、披露基因信息,除非出于以下目的:


1、为个人提供医疗服务或医学检测,可以收集、处理、持有、披露该个人的基因信息;

2、与基因信息的医学利用、过往利用或人群利用相关的研究和服务,涉及到披露基因信息的,应当同时满足以下三个条件:

  • 披露的对象仅限于由【该法建立的隐私保护机构的】主任所认定的适格的研究机构;

  • 与所披露的基因信息一同披露的其他额外的个人信息,应当局限于为取得目标收益最窄的可能范围之内;

  • 受管辖的实体在披露时应当通过合同限定可以与所披露的基因信息结合处理的个人信息类型。

3、【该法建立的隐私保护机构的】主任通过制定规则所明确的目的;在制定规则中,应当综合考虑潜在的隐私损害和收集、处理、持有、披露基因的潜在收益;

4、为遵循联邦犯罪调查的要求或命令。


该法中,基因信息的定义为——任何个人的下列信息:1)该个人的基因测试结果;2)该个人的家庭成员的基因测试结果;3)该个人的家庭成员的疾病或紊乱的临床表现。但不包括性别、年龄这两项信息。


SEC. 209. RESTRICTIONS ON GENETIC INFORMATION.

(a) IN GENERAL.—A covered entity may not collect, process, maintain, or disclose genetic information for any purpose other than—

(1) providing medical treatment or testing to the individual whose genetic information is being collected, processed, maintained, or disclosed;

(2) research and services related to medical, historical, or population uses of genetic information, if, in the case of disclosure of genetic information—

(A) such genetic information is only disclosed to qualified research entities, as determined by the Director;
(B) additional personal information disclosed with such genetic information is limited to the narrowest possible scope likely to yield the intended benefit; and
(C) the covered entity limits, through contractual obligations, additional types of personal information that can be processed with the disclosed genetic information and personal information.

(3) a purpose specified by the Director by regulation, taking into account the potential privacy harms and potential benefits of such collection, processing, maintenance, or disclosure; or

(4) to comply with a Federal criminal investigation request or order.

(b) GENETIC INFORMATION DEFINED.—In this section, the term ‘‘genetic information’’ has the meaning given such term in section 201 of the Genetic Information Nondiscrimination Act of 2008 (42 U.S.C. 2000ff).

(c) SERVICE PROVIDERS SAFE HARBOR.—A service provider shall not be held liable for a violation of this section if such service provider is acting at the direction of and on behalf of a covered entity and has a reasonable belief that is the covered entity’s directions are in compliance with this section.



‘‘DATA Privacy Act’’



 

在本法案中,没有对生物识别信息进行定义,但是将“与个人的健康、生理、心理、生物识别、性方面、基因信息相关的信息”圈入了个人敏感信息范围之内。


对于个人敏感信息,该法案提出的保护规则为——收集和披露个人敏感信息前,需要个人的自主选择同意(opt-in consent)。


‘‘Privacy Bill of Rights Act’



 

该法案没有对生物识别信息进行定义。但对生物识别信息提出了如下的安全保护要求:


联邦贸易委员会在制定规则时,应当禁止受管辖的实体将个人信息用于不合理的目的,具体包括:


  • 售卖、租借、交易,或者通过其他方式从个人的生物识别信息获利;

  • 在没有获得个人的明确同意时,共享、再次共享或者散发个人的生物识别信息,除非:1)该散发是基于联邦、州或城市法令所要求;2)有法院颁发的搜查令或传票所要求。

  • 在雇佣、金融、医保、信用、保险、住房、教育领域,处理个人信息使得特定个人因其生物识别信息导致歧视性待遇。


‘‘Consumer Online Privacy Rights Act



 

在该法案中,生物识别信息具有如下定义:通过测量或通过特定的技术,就个人的身体、生物、心理、基因、行为方面的特征(包括指纹、声纹、虹膜或视网膜扫描、面部扫描或模板、脱氧核糖核酸(DNA)信息、步态)开展处理所得到的的信息。


当书写样本、签名、照片、录音、人口统计数据或身体特征,例如身高,体重,头发颜色或眼睛颜色,等数据不用于识别个人唯一的生物、身体、心理特征时,不纳入生物识别信息的范围之内。


(3) BIOMETRIC INFORMATION.—
 (A) IN GENERAL.—The term ‘‘biometric information’’ means any covered data generated from the measurement or specific technological processing of an individual’s biological, physical, or physiological characteristics, including—
(i) fingerprints;
(ii) voice prints;
(iii) iris or retina scans;
(iv) facial scans or templates;
(v) deoxyribonucleic acid (DNA) information; and
(vi) gait.

(B) EXCLUSIONS.—Such term does not include writing samples, written signatures, photographs, voice recordings, demographic data, or physical characteristics such as height,weight, hair color, or eye color, provided that such data is not used for the purpose of identifying an individual’s unique biological, physical, or physiological characteristics.

 

该法案对生物识别信息提出的保护要求主要有:


  • 在住房、雇佣、信用、教育领域,不得处理或对外传输个人生物信息,使得特定个人遭受歧视性待遇或无法获得相应的机会;

  • 在公共住房领域,不得处理或对外传输个人生物信息,导致将个人或特定个人集合被非法区隔、歧视,或或无法获得相应的机会;

  • 如果在住房、雇佣、信用、教育、公共住房领域,通过算法决策开展广告推送、资格决定等,需要每年开展“算法影响评估”,以评估算法是否基于生物识别信息产生了歧视性的结果。

  • 受管辖的实体可在没有个人的明示同意的情况下,并确保数据处理或对外传输是合理必要的、成比例的,并局限于以下目的:.......C)安全事件的发生和应对;提供安全环境,或维护产品或服务的安全性;D)保护免于恶意、欺骗、欺诈或非法的活动......如果将生物识别信息用于C)或D)目的,联邦贸易委员会应当制定规则,包含以下内容:

  1. 严格的数据处理限制,包括禁止处理生物识别信息,除非有合理的怀疑认为个人参与了犯罪活动;

  2. 严格的数据对外传输限制,包括禁止对外传输生物识别信息,除非为履行法律义务,或建立、行使或维护法律诉求;

  3. 严格的透明义务,包括以方便访问的形式披露特定的数据处理和对外传输活动。



‘‘Data Protection Act of 2020



 

首先,“敏感的个人信息使用”包括了对生物识别信息的处理。而“敏感的个人信息使用”又在本法案中构成了“高风险的数据实践”。


再次,出于识别个人的目的而处理生物识别信息,本身也构成“高风险的数据实践”。


对于“高风险的数据实践”,本法案提出了如下的安全保护要求:

1、该法建立的新的隐私保护机构,就高风险的数据实践,具有如下职责:
  • 要求组织就高风险的数据实践,采取事前的影响评估和事后的结果审计;

  • 检查高风险的数据实践带来的社会、伦理、经济和公民权利方面的影响,并负责提出救济措施;

  • 就高风险的数据实践开展进一步的规则制定;

  • 审查和批准新的高风险技术和应用,其中应对“敏感的个人信息使用”给与特别的关注和考量

2、对于“非常大型的组织”(very large covered entities,即年收入在2500万美元以上;年收入的50%以上来自于售卖个人信息;购买、接收、售卖、披露超过5万以上的个人、家庭或设备的个人信息),新建立的隐私保护机构有权要求其就高风险的数据实践,采取事前的影响评估和事后的结果审计

 

United States Consumer Data Privacy Act of 2019



 

本法案中,生物识别信息的定义如下:


(A)指个人(包括脱氧核糖核酸)的生理,生物学或行为特征,这些特征单独或相互结合使用,或与其他识别性数据结合使用,以建立个人身份;和
(B)包括-
(i)虹膜、视网膜、指纹、面部、手、手掌、静脉图案和语音记录的图像,可以从中提取出标识符模板,例如面部纹理、细节模板或声纹;和
(ii)包含识别性信息的击键模式或节奏、步态模式或节奏,以及睡眠、健康或运动数据。

 

(3) BIOMETRIC INFORMATION.—The term “biometric information”— :


(A) means the physiological, biological, or behavioral characteristics of an individual, including deoxyribonucleic acid, that are used, singly or in combination with each other or with other identifying data, to establish the identity of an individual; and


(B) includes—


(i) imagery of the iris, retina, fingerprint, face, hand, palm, vein patterns, and voice recordings, from which an identifier template, such as a faceprint, a minutiae template, or a voiceprint, can be extracted; and
(ii) keystroke patterns or rhythms, gait patterns or rhythms, and sleep, health, or exercise data that contain identifying information.

 

法案提出了对生物识别信息的安全保护要求:

  • 受管辖的实体不得出于以下目的处理生物识别信息——安全事件的发生和应对;提供安全环境,或维护产品或服务的安全性;保护免于恶意、欺骗、欺诈或非法的活动,除非:1)该处理是实时的,或者短期的,或者符合联邦贸易委员会将来会制定发布的规则;3)不会将生物识别信息对外传输,除非为履行法律义务,或建立、行使或维护法律诉求。

  • 联邦贸易委员会应当就非实时,或者非短期的生物识别信息处理行为,制定隐私保护标准。


与此同时,在该法案中,生物识别信息属于个人敏感信息中的一种。因此本法案提出的个人敏感信息的保护要求也适用于生物识别信息,具体包括:

  • 年度内处理或对外传输少于10万人或设备的个人敏感信息,可以被认为是大型数据持有者(large data holder);

  • 对外传输或处理个人敏感信息,需要明示同意(express affirmative consent);

  • 联邦贸易委员会可就组织如何获得处理个人敏感信息的明示同意以及如何向个人提供撤回同意的方法,制定指引;

  • 组织应采取合理的行政、技术、物理的数据安全规程,以适应其所收集或处理的个人敏感信息的情况。

 


小 结




分析到现在,可得出如下初步的观察:


1、美国联邦隐私保护法律草案中,对生物识别信息提出了专门的定义。定义内核为:就个人的身体、生物、心理、基因、行为方面的特征开展处理后所得到的能够识别个人的信息。


2、生物识别信息普遍为被认为是个人敏感信息,或者属于敏感的个人信息使用,享有更高的保护水平。鉴于实际场景中,生物识别信息主要用来认证或识别的功能,因此这样的处理动作,都属于高风险动作。


3、各草案特别关注:不得基于生物识别信息而对个人造成歧视性待遇或者机会 剥夺的要求。


4、有两部法律对生物识别信息用于“安全事件的发生和应对;提供安全环境,或维护产品或服务的安全性;保护免于恶意、欺骗、欺诈或非法的活动”做出了特别的规定。这个非常有特点。


5、生物识别信息的流转被严格控制。




数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)

  25. “hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)

  26. 法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)

  27. 美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)

  28. FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)

  29. ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)

  30. 德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)

  31. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  32. 印度《个人数据保护法》(2019年草案)全文翻译(DPO社群出品)

  33. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  34. AEPD和EDPS | “哈希函数简介——用于个人数据假名化技术”中译文(DPO社群出品)

  35. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  36. 联合发布 |《2020数字医疗:疫情防控新技术安全应用分析报告》

  37. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  38. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  39. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  40. 新版《个人信息安全规范》(35273-2020)正式发布


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

  18. 与欧美一流数据保护专家面对面(DPO沙龙特别活动)

  19. 第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径

  20. 第十八期DPO沙龙纪实:生物识别信息的安全保护


评估GDPR效果和影响:

  1. 评价GDPR一周年:一些正负面观点

  2. 评估GDPR效果和影响的参考资料(一):来自Capgemini的报告

  3. 评估GDPR效果和影响的参考资料(二):来自CIPL的报告

  4. 评估GDPR效果和影响的参考资料(三):来自IAPP的报告

  5. 评估GDPR效果和影响的参考资料(四):来自“黑客”的视角

  6. 评估GDPR效果和影响的参考资料(五):来自欧盟成员国的视角


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探

  38. 《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

  39. GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)

  40. 个人信息侵权纠纷类型化试解(DPO社群成员观点)

  41. 英法两国对 AdTech和广告类SDK的监管案例分析

  42. 金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)

  43. GDPR对用户画像的合规要求分析(DPO社群成员观点)

  44. IAPP新加坡会议上关于27701的Panel和PPT

  45. FTC vs Facebook:50亿美元和解令的来龙去脉(DPO社群成员观点)

  46. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  47. 澳《消费者数据权利法案》对数据共享与数据可携权的探索(DPO社群成员观点)

  48. FTC vs. YouTube:解读违规处理儿童个人信息之最大罚单(DPO社群成员观点)

  49. HiQ vs. LinkedIn案的启示与未决之题(DPO社群成员观点)

  50. 国家标准《个人信息安全规范(征求意见稿)》修订解读(DPO社群成员观点)

  51. 解析欧盟法院对与Cookies相关的告知和同意的最新判决(DPO社群成员观点)

  52. 推动域外应用商店下架“HKmap.live全港抗争即时地图”App的思路

  53. “客场作战”,法律先行:以“HKmap.live”为例

  54. 墨迹天气IPO被否 App治理工作组收集个人信息通报成依据之一

  55. 解读世界首例警方使用人脸识别技术合法性判决(DPO社群成员观点)

  56. 从墨迹IPO被否看拟境内上市企业的数据合规工作(DPO社群成员观点)

  57. 对美国外国投资审查新规的观察和评价(DPO社群成员观点)

  58. 《个人信息安全规范》在安标委重庆会议周上的汇报

  59. 人脸识别技术运用的六大场景及法律规制框架的适配(DPO社群成员观点)

  60. 他山之石:美国20年间33个儿童信息保护违法案例分析(DPO社群成员观点)

  61. 人脸识别技术的规制框架(PPT+讲稿)

  62. 全球视野中的金融数据安全

  63. 公司IPO/重组/投融资时,监管部门审查要点汇总及问题分析(DPO社群成员观点)

  64. 个人金融信息收集和共享的基本原理:基于中美欧规则的展开(文字稿+PPT)

  65. 透析印度《个人数据保护法2019年草案》

  66. 北京市关于自动驾驶车辆道路测试的立法综述及动态(DPO社群成员观点)

  67. 违反俄罗斯数据本地化的行政罚款新规(DPO社群成员观点)

  68. 零售门店使用人脸识别技术的主要法律问题(DPO社群成员观点)

  69. 韩国个人信息保护法律制度概况(DPO社群成员观点)

  70. 推进欧洲可持续和数字化转型:《欧洲新工业战略》解读(DPO社群成员观点)

  71. 《个人信息安全规范》被援引情况实证分析(DPO社群成员观点)


传染病疫情防控与个人信息保护系列文章

  1. 传染病疫情防控与个人信息保护初探之一:个人信息的性质

  2. 传染病疫情防控与个人信息保护初探之二:同意的例外

  3. 传染病疫情防控与个人信息保护初探之三:数据技术的应用路径

  4. 传染病疫情防控与个人信息保护初探之四:接触追踪的数据共享安全规范

  5. 传染病疫情防控与个人信息保护初探之五:电信数据的安全规范

  6. 传染病疫情防控与个人信息保护初探之六:GDPR框架下的公共卫生数据共享

  7. 传染病疫情防控与个人信息保护初探之七:美国公共卫生机构的数据调取权力

  8. 传染病疫情防控与个人信息保护初探之完结篇:解读中央网信办通知

  9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总(DPO社群出品)

  10. 美国疫情防控中的关键基础设施的识别和认定(DPO社群出品)


个人数据与域外国家安全审查系列文章

  1. 个人数据与域外国家安全审查初探(一):美欧概览

  2. 个人数据与域外国家安全审查初探(二):CFIUS实施条例详解

  3. 个人数据与域外国家安全审查初探(三):从美国《确保ICT技术与服务供应链安全》        

  4. 个人数据与域外国家安全审查初探(四):从美国《2019年安全与可信通信网络法案》看

  5. 个人数据与域外国家安全审查初探(五):禁止中国公司对StayNTouch的收购

  6. 个人数据与域外国家安全审查初探(六):《2019国家安全和个人数据保护法案》

  7. 个人数据与域外国家安全审查初探(七):美国众议院荒唐的决议草案

  8. 个人数据与域外国家安全审查初探(八):《2020安全的5G和未来通信》法案

  9. 个人数据与域外国家安全审查初探(九):澳大利亚《协助和访问法》


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存