查看原文
其他

对《数据安全法》的理解和认识 | 立法思路

洪延青 网安寻路人 2022-03-20

笔者按:

对昨天已经在网络上传播开的《数据安全法(草案)》,很难视而不见,但也许还不到对具体条文进行阐释、评议的时机。因此,本文着重考察《数据安全法》的立法思路。

以下这篇旧文,实际上总结了公号君与阿里数据安全研究院于2018年9月举办的“闭门会:数据跨境流动政策分析”中到场的外国嘉宾的观点【详见:敬请关注“闭门会-数据跨境流通”,以及“闭门会:数据跨境流动政策分析” 总结


这篇从未发表的文章,具体勾勒出美、欧目前在数据安全上的主要发展和趋势。公号君认为可以此借鉴,观察我国《数据安全法(草案)》的立法思路是否对美欧的数据安全战略作出了因应,因此对这篇旧文进行了扩充,供大家参考。


本文尝试用一个框架来理解近期美西方对数据安全的基本战略,并以此作为考察我国《数据安全法》立法思路的基本框架。


首先,框架中“安全”是指政府提出保障数据完整性、保密性、可用性的强制性要求;该层次中所提出的技术和管理要求,具有跨国通用性,可用国际(或国家)标准实现接轨和互操作性。


在美西方相关正式立法中,经常采取的措辞是“在考虑所持有的数据的本质属性、最先进的安全保护措施以及实施成本的前提下,个人信息控制者应采取与其面临的安全风险相称的技术和管理措施”(GDPR);“‘基础性’网络和信息系统的运营者应开展风险评估,并采取与所面临风险‘相称’(appropriate to)或‘成比例’(proportionate to)的安全措施”(欧盟《网络和信息安全指令》,NIS Directive)。美国的正式立法则主要使用“合理性标准”(reasonableness)。这样的立法技术避免在法律中对安全控制措施作出细致、具体的规定,避免技术进步、威胁演化而导致的法条过时。【见洪延青. “以管理为基础的规制”——对网络运营者安全保护义务的重构[J]. 环球法律评论, 2016, 38(04): 20-40.】


其次,框架中“控制”的要求是指政府对数据的收集、使用、流转(包括共享、转让、出境)、删除、销毁等环节提出除安全以外的强制性要求。此方面常见的是个人信息保护方面的立法。例如GDPR提出的数据处理基本原则包括合法、公平、透明、最小化、目的限定、准确等,并非指前文所指的完整性、保密性、可用性,而是针对个人信息这一特殊类型的数据,提出的限制性要求。再如美国联邦对受控非涉密信息(controlled unclassified information,CUI)的要求,安全仅仅是其中一部分内容,立法更多地对如何认定、审批、维护CUI提出了强制性要求。


再次,框架中“占有”的要求是指政府对私营部门所收集、产生的数据强制获取的要求。例如金融行业中,要求系统性重要银行定期向监管部门报送运营数据,以确定该金融机构的风险水平;网络安全领域中,要求报送网络威胁情报以形成领域、行业乃至全国范围内的态势感知体系(虽然在美西方,这方面的要求主要以自愿性要求为主,但在我国《网络安全法》中以强制性要求出现)。当然,占有层面的另外一层含义还包括,政府对于原本就为其所占有的数据(例如政务数据)如何处理的问题。


在对上述框架做了基本简介后,现在用该框架来理解美西方近来在数据方面的主要战略或立场,以及所采取的措施。


一、对美国的分析


1、安全层面


美国主要倡导采用国际标准(包括NIST制定的网络安全框架),反对我国自主制定的网络安全国家标准。强调应给企业更多地决定安全控制措施的空间,而非通过立法把具体控制措施固定下来。


2、控制层面


美国对个人信息保护主要采取部门立法(如金融、医疗、儿童等)的方式,由FTC对部门立法之外的领域进行监管。由于“剑桥分析”、“俄罗斯在互联网平台上发动的信息战”等事件,目前联邦层面正在探讨是否效仿欧盟采取统一立法模式。【相关动态见:数据保护官沙龙编译的《美国联邦隐私立法重要文件编译第一辑》(文件截止2018年10月7日)。对美国联邦立法尝试的持续追踪,请见本文文末部分“美国联邦隐私保护立法草案研究”系列中的各篇文章。


近期,美国通过立法对外资投资国家安全审查(CFIUS)和出口管制两项制度作了重大改革。美国智库CSIS研究员Samm Sack女士在杭州会议上直言,CFIUS改革主要起因正是中国对美国企业开展的“强制技术转移”。改革后的CFIUS委员会将拥有更大审查权限。从数据方面来看,如果外国实体对“持有或收集美国公民的个人敏感数据且这些数据可被用于威胁国家安全的”美国公司投资,同时投资能够使外国实体参与到美国商业实体重大决策(美国公民个人敏感信息的使用、开发、获取、保护或披露),则需要通过国家安全审查。


在出口管制的改革中,出口除传统上的出境外,还包括“在美国境内向外国人披露、转移技术或源代码”,此外还新增了要求是美国政府应圈定“新兴和基础技术”并实施出口控制。法律规定,“新兴和基础技术”的基本特征是:对美国国家安全至关重要,且不属于Defense Production Act of 1950中规定的关键技术。Samm Sack女士认为目前这两项改革中关键定义都未得到厘清,届时很可能“见人下菜碟”,为方便对个案审查而扩大解释。


从这两项改革来看,美国实际上和我国一样,有着类似于重要数据的概念,例如前文所述的CUI,以及CFIUS和出口管制中的美国公民的个人敏感数据和所谓的“新兴和基础技术”。对于这样的数据,美国不希望除美国实体以外的政府、组织、个人指染,即美国企业可以自由使用甚至带到境外,但是外国人碰不得。无疑,这强化了对特定类型数据的控制要求,以致于Samm Sack女士提出,美国是否在走向数据本地化?【更多情况见本文文末部分——“美国个人数据与域外国家安全审查系列文章”中的文章。


3、占有层面


最显著的表现是美国通过的云法案(Cloud Act)。通过云法案,美国政府实现了,无论通信、记录或其他信息是否存储在美国境内,通信服务提供者均应当按照美国的法律流程的要求,保存、备份、披露通信内容、记录或其他信息,只要上述信息为该提供者所拥有(possess)、监护(custody)或控制(control)。


在杭州会议上,云法案的幕后智囊Daskal教授介绍了,云法案只适用于在美国有实际存在(如办公室、人员等)的通信服务提供商。假设:美国通信服务提供商收到美政府的数据调取令,而数据恰好存储在中国境内且该数据为该公司所控制、监护,则美国公司应当将数据从中国取回,并提供给美国政府。


如果中国有相关立法要求数据只能留存本地或出境前应开展安全评估,美国公司应美政府要求将数据从中国传输至美国将引起中美法律冲突的话,理论上美国公司有两种抗辩途径,一个是云法案提供的抗辩机制(前提是中国政府是所谓的适格外国政府),另一个是普通法上的抗辩机制。前者由于中国政府不符合云法案提出的标准不可行,后者在美国判例法中,美国法官在处理法律冲突问题,往往站在国内法的角度,从而强制美国公司冒着违反第三国法律的风险,将数据提交至美国。【本公号对美国云法有系列文章做了跟踪和分析。


4、总结


从控制层面,美国强化了美国企业对外输出特定类型数据(主要包括美国公民个人敏感数据和“新兴和基础技术”)的控制。


在占有层面,政府为执法需要,能够调取美国通信服务提供商(包括在美国有实际存在的外国服务提供商)存储在全球的数据。


客观上,美国政府将美国企业打造成自己在网络空间中的领土延伸。外国向从美国企业获得有价值的数据资源(包括技术资料),美国政府要审查、管控。而美国企业无论在境内外获取的数据内容,只要美国政府通过适当的法律程序,就能够及时调取。


二、对欧盟的分析


1、安全层面


对于纯粹的数据安全,欧盟的态度和美国大体一致,对企业施加的安全要求主要基于风险路径(risk-based),强调组织建立风险管理的内部流程,能够时刻评估自己面临的安全风险,采取适当的安全措施,避免硬性规定安全控制措施。其也强调安全监管应基于通行的国际标准。


2、控制层面


最突出的体现是欧盟为建立数字单一市场所做的努力。就数据来说,主要包含两方面:一是针对个人数据的《通用数据保护条例》(GDPR),二是针对非个人数据的“非个人数据自由流动框架”的立法建议。


GDPR对个人数据提出了高水平的保护要求。除纯粹的数据安全之外,还包括个人数据主体广泛的权利(例如查询权、更正权、删除权、限制自动化决策权利、可携带权等),避免个人数据处理对个人合法权益的风险。对于非个人数据,立法建议提出数据应能在欧盟境内不同的服务商之间自由转移,各成员国不得提出本地化的要求等。


此外,GDPR要求,即便组织不在境内,但只要“其面向欧盟境内的个人提供商品或服务(无论是否发生支付行为),或监控欧盟境内个人的行为”,该组织就要接受欧盟GDPR的管辖。


另外,欧盟对于个人数据出境做了严格管控,要求接收数据的第三国或地区提供足够的保护水平。判断保护水平是否足够,很重要的手段之一就是欧盟官方对第三国或地区所做的充分性认定,即如果欧盟委员会认定,某个国家提供了与欧盟“实质上相当”的数据保护水平,则个人数据从欧盟流动到该国家,无需任何事先的许可和额外的安全保护措施。


欧盟官方对于充分性认定,采取了战略性的态度。2017年1月,欧盟委员会在一份名为《在一个全球化的世界中交换和保护个人数据》的通信中指出,虽然目前,各个国家对个人数据保护的路径、立法发展存在差异,但近年来展现出一种趋同——普遍接纳了一些重要的数据保护基本原则。显然,不同的数据保护体系能够更好地相互兼容是件好事,有助于数据的全球自由流动。因此欧盟应得抓住时机,通过推动法律体系趋同,达到推广欧盟数据保护价值和促进数据流动的目的。而推动世界向欧盟看齐的最重要抓手是用好“充分性认定”。


在该份通信中,欧盟委员会指出在亚洲开展“充分性认定”对话时,首选日本和韩国,并根据印度在数据保护中的立法进步情况,视情决定是否和印度开展对话。目前,日本已经完成与欧盟的充分性认定谈判,韩国则有望在明年完成谈判。据参加杭州会议且分别参与到各自国家充分性认定谈判的Miyashita教授和Park教授介绍,日本和韩国为了符合GDPR的高标准,分别对国内的立法进行了修改。在私下交谈中,两位教授还表示,欧盟之所以选择日本和韩国,还希望通过这两个国家与东盟国家大量的经贸往来,影响东盟成员国向GDPR模式靠拢。


GDPR和“非个人数据自由流动框架”,本质上是政府强制要求企业对数据承担了除安全以外的义务,体现了政府对管辖区域内数据所施加的控制。就个人数据而言,欧盟还要求接收数据的组织或该组织所在的第三国和地区,提供和GDPR实质上相当的保护水平,否则数据不得出境。这样的要求,事实上将欧盟对境内数据所施加的控制,投射至境外。


3、占有层面


2018年4月17日,欧盟对外公布了“电子证据立法建议”,推出了欧盟版本的云法案。该建议要求,第一,如果面向欧盟提供服务,服务提供者应当在欧盟境内设立法定代表,以接收调取证据的法令。第二,如果证据调查令指向的是存储在欧盟境外的数据,则在满足两个条件的情况下,服务提供者应当向发出命令的欧盟成员国提供:1)发出调取证据命令的司法机关对刑事侦查具有管辖权限;2)服务提供者确实向欧盟居民提供服务(无论是否在欧盟境内设立了分支机构)。


如果导致了法律冲突怎么办?欧盟指出,在立法中会考虑这样的情况,但最终决定是否应该提供证据的还应该是欧盟成员国的法院。因此,欧盟提供了与美国类似的抗辩途径,允许服务提供者提出撤销调取命令的动议,由成员国法院作出礼让分析(comity analysis)。


4、总结


从控制层面,欧盟建立了其境内28个成员国应统一适用的法律框架,促进个人和非个人数据在欧盟境内自由流动,同时提升对个人数据的保护水平。而对于数据传输至欧盟境外的情形,欧盟将自己的控制要求投射至境外,确保个人对传输至境外的数据保持很强的控制能力。


在占有层面,欧盟效仿美国,要求面向欧盟提供服务的实体,无论数据是否存储在欧盟境内,均应依照调取令,向欧盟执法机构提供数据。


总的来看,由于欧盟没有发达的互联网行业和企业,因此对于组织不在欧盟境内的情况,采取了三类措施:一是境外组织有意识地针对欧盟提供服务,即应该接受欧盟管辖,二是要求上述境外组织在欧盟内部设立法定代表,以接收数据调取命令。三是如果接收了来自欧盟的个人数据,组织应该提供与GDPR“实质上相当”的数据保护水平。上述三种做法,相当于在网络空间中变相地延伸了欧盟自己的领土,超过真实的欧盟地理领土。欧盟以此扩大了自己对全球网络空间中数据的掌控能力。


三、对《数据安全法(草案)》的结构性分析


从上文分析可看出,无论是美国还是欧盟,围绕着数据的法律、政策发展,基本上是沿着“安全—控制—占有”这三层主线展开。很自然,我们要问,我国的《数据安全法(草案)》是否在这三个层面回应了美欧发展的态势。首先看立法说明中“关于制定本法的必要性”


安全层面
“二是,当前,各类数据的拥有主体多样,处理活动复杂,安全风险加大,必须通过立法建立健全各项制度措施,切实加强数据安全保护,维护公民、组织的合法权益。”
控制层面“一是,数据是国家基础性战略资源,没有数据安全就没有国家安全。因此,应当按照总体国家安全观的要求,通过立法加强数据安全保护,提升国家数据安全保障能力,有效应对数据这一非传统领域的国家安全风险与挑战,切实维护国家主权、安全和发展利益。”
占有层面
“四是,为适应电子政务发展的需要,提升政府决策、管理、服务的科学性和效率,应当通过立法明确政务数据安全管理制度和开放利用规则,大力推进政务数据资源开放和开发利用。”


以下,公号君将部分重点条款归类于这三个层面。


安全层面

第二十条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。


第二十一条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。

控制层面

第二十二条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。依法作出的安全审查决定为最终决定。


第三十三条 境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。


第二十三条 国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。


第二十四条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区采取相应的措施。

占有层面

第三十二条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。


第五章 政务数据安全与开放


综上,在公号君看来,《数据安全法(草案)》立法思路大体上也是沿着“安全—控制—占有”这三层主线展开。但该法是否覆盖了三个层面上主要的风险,以及具体条文是否科学严谨,留待后文评述。(完)





数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)

  25. “hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)

  26. 法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)

  27. 美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)

  28. FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)

  29. ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)

  30. 德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)

  31. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  32. 印度《个人数据保护法》(2019年草案)全文翻译(DPO社群出品)

  33. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  34. AEPD和EDPS | “哈希函数简介——用于个人数据假名化技术”中译文(DPO社群出品)

  35. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  36. 联合发布 |《2020数字医疗:疫情防控新技术安全应用分析报告》

  37. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  38. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  39. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  40. 新版《个人信息安全规范》(35273-2020)正式发布


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

  18. 与欧美一流数据保护专家面对面(DPO沙龙特别活动)

  19. 第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径

  20. 第十八期DPO沙龙纪实:生物识别信息的安全保护


人脸识别系列文章

  1. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  2. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  3. 零售门店使用人脸识别技术的主要法律问题(DPO社群成员观点)

  4. 人脸识别技术的规制框架(PPT+讲稿)

  5. 人脸识别技术运用的六大场景及法律规制框架的适配(DPO社群成员观点)

  6. 解读世界首例警方使用人脸识别技术合法性判决(DPO社群成员观点)

  7. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  8. 美国联邦隐私保护立法草案研究(四):“生物识别信息”

  9. 美国华盛顿州人脸识别服务法案中文翻译(DPO社群出品)

  10. PAI | 《理解人脸识别系统》全文翻译(DPO社群出品)


美国联邦隐私保护立法草案研究

  1. 美国联邦隐私保护立法草案研究(一):“行为个性化”

  2. 美国联邦隐私保护立法草案研究(二):“个人敏感信息”

  3. 美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则

  4. 美国联邦隐私保护立法草案研究(四):“生物识别信息”

  

传染病疫情防控与个人信息保护系列文章

  1. 传染病疫情防控与个人信息保护初探之一:个人信息的性质

  2. 传染病疫情防控与个人信息保护初探之二:同意的例外

  3. 传染病疫情防控与个人信息保护初探之三:数据技术的应用路径

  4. 传染病疫情防控与个人信息保护初探之四:接触追踪的数据共享安全规范

  5. 传染病疫情防控与个人信息保护初探之五:电信数据的安全规范

  6. 传染病疫情防控与个人信息保护初探之六:GDPR框架下的公共卫生数据共享

  7. 传染病疫情防控与个人信息保护初探之七:美国公共卫生机构的数据调取权力

  8. 传染病疫情防控与个人信息保护初探之完结篇:解读中央网信办通知

  9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总(DPO社群出品)

  10. 美国疫情防控中的关键基础设施的识别和认定(DPO社群出品)

  11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译(DPO沙龙出品) 

  13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

  14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

  15. 疫情防控常态化中的接触追踪:中国方案

  16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译(DPO社群出品)

  17. 来自欧洲的接触追踪协议(ROBERT Protocol)的基本原理:漫画图解

  18. 英国信息专员对苹果谷歌接触追踪项目的官方意见:全文翻译(DPO社群出品)

  19. 三百名学者关于接触追踪APP的联合声明

  20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)

  21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

  22. 韩国利用ICT抗疫经验总结:接触追踪部分(中文翻译)

  23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱(DPO沙龙出品)


个人数据与域外国家安全审查系列文章

  1. 个人数据与域外国家安全审查初探(一):美欧概览

  2. 个人数据与域外国家安全审查初探(二):CFIUS实施条例详解

  3. 个人数据与域外国家安全审查初探(三):从美国《确保ICT技术与服务供应链安全》        

  4. 个人数据与域外国家安全审查初探(四):从美国《2019年安全与可信通信网络法案》看

  5. 个人数据与域外国家安全审查初探(五):禁止中国公司对StayNTouch的收购

  6. 个人数据与域外国家安全审查初探(六):《2019国家安全和个人数据保护法案》

  7. 个人数据与域外国家安全审查初探(七):美国众议院荒唐的决议草案

  8. 个人数据与域外国家安全审查初探(八):《2020安全的5G和未来通信》法案

  9. 个人数据与域外国家安全审查初探(九):澳大利亚《协助和访问法》

  10. 美国司法部狙击中国内幕(Inside DOJ's nationwide effort to take on China)

  11. 美国司法部“中国计划”的概况介绍


美国电信行业涉及外国参与的安全审查系列文章

  1. 美国电信行业涉及外国参与的安全审查(一):基本制度介绍

  2. 美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权

  3. 美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令

  4. 美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令


中国的网络安全审查系列文章:

  1. 网络安全审查制度利刃出鞘

  2. 对《网络安全审查办法(征求意见稿)》的几点观察

  3. 网络安全审查制度吹响了向网络安全强国迈进的号角

  4. 我国网络安全审查制度走向前台

  5. 网络安全审查的中欧比较:以5G为例


美国的出口管制制度系列文章:

  1. 美国出口管制制度系列文章之一:对“外国生产的产品”的相关规则

  2. 美国出口管制制度系列文章之二:适用EAR的步骤

  3. 美国出口管制制度系列文章之三:苏联油气管道的“华为”事件

  4. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

  5. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准


自动驾驶系列文章:

  1. 自动驾驶数据共享:效用与障碍

  2. 自动驾驶数据共享:效用与障碍(附文字实录)

  3. 北京市关于自动驾驶车辆道路测试的立法综述及动态(DPO社群成员观点)

  4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡(DPO社群成员观点)

  5. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)


欧盟“技术主权”进展跟踪系列文章:

  1. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  2. 欧盟委员会主席首提“技术主权”概念

  3. 推进欧洲可持续和数字化转型:《欧洲新工业战略》解读(DPO社群成员观点)

  4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

  5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

  6. 欧盟“技术主权”进展 | 关于数字平台监管的建议


第29条工作组/EDPB关于GDPR的指导意见:

  1. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  3. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  5. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  7. EDPB《关于GDPR适用地域范围(第3条)的解释指南》全文翻译(DPO沙龙出品)

  8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  9. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  10. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)

  12. EDPB | 《对第2016/679号条例(GDPR)下同意的解释指南v1》中文翻译(DPO社群出品)

  13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译(DPO社群出品)

  14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译(DPO社群出品)


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存