查看原文
其他

对《数据安全法》的理解和认识 | 数据分级分类

洪延青 网安寻路人 2022-03-20

笔者按:

《数据安全法(草案)》已经正式开始公开征求意见了。前一篇文章关注《数据安全法》的立法思路:对《数据安全法》的理解和认识 | 立法思路

本篇文章将关注《数据安全法》第十九条提出的数据分级分类的要求。在公号君看来,《数据安全法》提出的这条规定,具有重大的意义。本篇文章结合此前开展的一个课题研究【数据安全管理视角下的数据分类研究:研究报告全文】,来探讨《数据安全法》第十九条的重大创新。


先摆出来《数据安全法》第十九条


第十九条 国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。

各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。


一、国家层面开展数据分级分类工作


要特别注意到第十九条第一款中规定的数据分级分类的主体——国家。而在《数据安全法》之前,我国现有的法律法规也有数据分级分类的规定,但是分级分类的主体绝大多数是规范对象自身,而非国家。以下举例说明:


1、国务院2018年3月17日发布的《科学数据管理办法》第十条规定:

“科学数据中心是促进科学数据开放共享的重要载体,由主管部门委托有条件的法人单位建立,主要职责是:(一)承担相关领域科学数据的整合汇交工作;(二)负责科学数据的分级分类、加工整理和分析挖掘;(三)保障科学数据安全,依法依规推动科学数据开放共享;(四)加强国内外科学数据方面交流与合作”。

《科学数据管理办法》第二十条规定:“法人单位要对科学数据进行分级分类,明确科学数据的密级和保密期限、开放条件、开放对象和审核程序等,按要求公布科学数据开放目录,通过在线下载、离线共享或定制服务等方式向社会开放共享”。

2、中国证券监督管理委员会2019年6月1日实施的《证券基金经营机构信息技术管理办法》(第152号令)第三十条规定:

证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排”。

【更完整的例举和相关研究,见:数据安全管理视角下的数据分类研究:研究报告全文

从上述规定可以看到,要求规范对象本身开展数据分类分级(本文称之为自下而上的路径),与国家自己开展数据分级分类工作(本文称之为自上而下的路径),会有这本质的区别。

、自下而上路径的展开和根本目的

相对于法律层面(主要是行政法规和部门规章)止步于提出数据分类分级要求,近两年一些部门在其发布的工作性文件中,提出了数据分类分级的具体标准。以下举例说明:


工业和信息化部2020年2月印发的《工业数据分类分级指南(试行)》中,提出了对工业数据的分类和分级标准。

第五条规定:“工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单”。

第六条中给出了工业企业的数据分类范例:“工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)”。

第七条给出了平台工业企业的数据分类范例:“平台企业工业数据分类维度包括但不限于平台运营数据域(物联采集数据、知识库模型库数据、研发数据等)和企业管理数据域(客户数据、业务合作数据、人事财务数据等)”。

【更完整的例举和相关研究,见:数据安全管理视角下的数据分类研究:研究报告全文


可以看出,《工业数据分类分级指南(试行)》遵循了前面所说的“自下而上的路径”,但其更进一步,提出了“自下而上的路径”可资采取的方法。


从第五、六、七条来看,这是一种所谓的“实然路径”——此种路径的基本思路是不改变企业实际如何组织生产的方式和流程(用大白话说就是:“是什么就是什么”),且客观描述在这个方式和流程中所收集、产生出的数据类型。


此种“实然路径”的另一例证是证监会于2018年9月27日正式公布实施《证券期货业数据分类分级指引》(JR/T0158—2018)。在这个标准中,数据分类的方法是:


《证券期货业数据分类分级指引》6.4要求:“本标准推荐的分类分级方法,从业务条线出发,首先对业务细分,其次对数据细分,形成从总到分的树形逻辑体系结构,最后,对分类后的数据确定级别;同时,推荐考虑确定数据形态”。


从上面的研究可以看出,无论是法律还是部门规章,往往仅仅止步于提出数据分类分级的要求,并没有对如何分类分级提出进一步的方案。近年来,特别是2019年以来,在国家部委发布的指引性文件,或者国家和行业标准层面,可以看到一些尝试或方案。


在这些尝试或方案中,数据分类采取的路径主要是一种所谓的“实然路径”。此种路径的基本思路是不改变企业实际如何组织生产的方式和流程(用大白话说就是:“是什么就是什么”),且客观描述在这个方式和流程中所收集、产生出的数据类型。


在完成数据分类的前提下,根据“后果”路径,来对数据进行分级。此种路径的基本思路是根据某类数据的安全属性(完整性、保密性、可用性)遭到破坏后的影响对象、影响范围、影响程度,对数据进行定级。一般来说,有分为三级的,也有分为四级的。【笔者注:此部分从略,感兴趣的读者见:数据安全管理视角下的数据分类研究:研究报告全文


观察目前部委指导性文件和标准所提出的数据分类分级路径,给规范对象内部开展数据治理提供了很好的思路。规范对象如果能按照上述路径开展分类分级工作,能够对其所掌握的数据建立管理目录,并对目录里面的数据进行“差序有致”的管理。


总的来说,“实然路径”的数据分类,和“后果”路径的数据分级,是站在规范对象的视角来看。但是,如果由规范对象自主开展数据分类分级工作,其第一诉求往往是防止自身权益因为数据安全事件而导致损害。


、自下而上路径不足以支撑国家监管


目前,数据的重要程度越来越高,掌握在企业手中的数据,其对国家、社会、个人的价值,要比对企业来说,价值更高或者说一旦出现安全事件,对国家、社会、个人造成的危害,可能比对企业利益的危害更大。例如剑桥分析事件中,Facebook疏于对第三方的管理,导致大量个人数据被用于政治目的,包括影响脱欧公投和美国总统大选等。


这就出现了一个所谓的“外部性”问题。外部性又称为溢出效应、外部影响、外差效应或外部效应、外部经济,指一个人或一群人的行动和决策使另一个人或一群人受损或受益的情况。然而,目前的“实然”路径的数据分类,和“后果”路径的数据分级,并不能很好地解决数据安全管理中的“外部性问题”


因此为了督促或监督企业切实负起数据安全责任,同时对某些“外部性”很强的数据给与更高水平的安全保护,就需要国家站在企业外部,要求企业对具体的、特定的数据类别,提供更高水平的保护。为了达到这个目的,目前的“实然”路径的数据分类,和“后果”路径的数据分级难以达成。


另一方面的原因是,目前的部委指导性文件和标准所提出的数据分类分级路径,在单个组织内部可以适用,但是对面对众多组织的监管部门来说,不具备互操作性,即一个组织的数据分类或数据分级,很可能与另外一组织的数据分类和数据分级截然不同。这种情况下,数据安全监管机关无法开展统一的管理和监督工作,更无法判断其所维护的国家和公共利益、个人合法权益是否得到充分的保护。


换句话说,完全依赖规范对象的自我管理的“自下而上”的路径,难以服务于监管层面的工作开展。从国家层面,或者站在国家角度,组织或开展数据安全管理工作来说,在“自下而上”路径的基础上,还需要“自上而下”的路径。


在公号君看来,“自下而上”的数据分类分级路径有助于企业自我开展数据安全工作,但不足以支撑国家开展数据安全管理和监督工作的需要。例如,国家对劳动人口的身份管理,国家就“自上而下”划分为公务员、事业单位人员、企业员工、务农人员等。这样一种相对整齐划一的分类,有助于统一管理,这实际上就是本文所谓的“自上而下的路径”。


“自上而下的路径”的展开


在【数据安全管理视角下的数据分类研究:研究报告全文】这项研究中,公号君提出的数据分类思路,正是“自上而下的路径”的展开。如下图:



在这项研究中,公号君提出,数据安全监管存在两个基本命题:第一是为什么要保护,其中“为什么要保护”——即保护的价值,“为什么要保护”同时决定了“如何保护”——即具体的安全责任内容;第二是谁来保护——即谁的保护责任。


因此,从设计、落实数据安全监管的角度来对数据进行分类,可以遵循这两个维度:


  • 数据处理活动(包括收集、使用等)的主体存在哪些?

  • 公权力要保护的价值是什么?


在这两个维度的指引下,就能清晰地确定:


  • 哪些主体的数据处理活动,可能对哪些价值造成危害;

  • 根据造成危害的风险,相应地设计数据安全管理的要求。


具体的例子如下:

注:在实例一、实例二中列举的数据类别,例如外国政府信息、知识产权、商业秘密等,就是所谓的“自下而上”路径的数据分类方法;而国家安全信息、企业专有数据等,是所谓的“自上而下的路径”。


沿着这个思路,在【数据安全管理视角下的数据分类研究:研究报告全文】这项研究中,公号君提出的数据分类框架如下,摘录如下:


数据安全的基本要求存在两个层次:

一是“传统的数据安全”:保障数据作为资产的安全,即保障数据完整性、保密性、可用性。【即第一层安全保护的价值】

二是“新的数据安全”:管控数据处理过程中对外部可能造成的危害。【即第二层安全保护的价值】第二个层次“新的数据安全”中的外部又可以分解为:

个人安全——即数据处理行为危害到个人安全,包括人身、财产、名誉等合法权益。此方面为个人信息保护法律管控的主要内容。

组织安全——即数据处理行为危害到其他组织的合法利益,包括知识产权、商业秘密,以及其他竞争和名誉等方面的利益。例如企业非法爬取其他企业的数据。企业非法窃取其他企业的商业秘密。企业非法使用其他企业的知识产权(比如商标、专利等)。此方面可总结为,数据处理行为不得侵害其他组织的专有数据,具体包括两方面:企事业专有数据和政党社团专有数据。企事业专有数据(proprietary data)可定义为:企事业所持有的可能影响其竞争优势的数据。

公共安全、公共利益、公共秩序——即数据处理行为危害到公共安全、公共利益、公共秩序。例如企业公开发布统计信息影响行政管理、经济秩序。

国家主权、安全、发展利益——即数据处理行为危害到“国家在政治、经济、国防、外交等领域的安全和利益”。例如企业通过数据聚合分析,推论出国家秘密,进而影响国防、国际关系等。

总结起来,数据安全的目标如下表所示:


结合国标31167中的“敏感信息”,以及《国家网络安全事件应急预案》中的“重要敏感信息”的定义,公号君进一步将“个人信息、企事业专有数据、政党社团专有数据、重要数据”,统称为“敏感信息”或“重要敏感信息”,并得到了如下的数据分类框架:


 

五、对《数据安全法》第十九条的理解


《数据安全法》第十九条
正是提出了“自上而下的路径”。该条要求国家根据所保护价值(“国家安全、公共利益或者公民、组织合法权益”),以及对所保护价值的危害后果(“一旦遭到篡改、破坏、泄露或者非法获取、非法利用”......“造成的危害程度”),来开展数据分级分类的工作。


总的看来,笔者在【数据安全管理视角下的数据分类研究:研究报告全文】这项研究中提出的数据分类思路,和《数据安全法》第十九条的思路非常契合。


而且从《数据安全法》的全文,以及正在制定的《个人信息保护法》来看,从数据安全监管的角度,国家对数据的分类思路已经呼之欲出


1、数据——指任何以电子或者非电子形式对信息的记录。
2、个人信息
3、重要数据


对这三类数据,《网络安全法》、《数据安全法》、《个人信息保护法》提出了配套的安全保护要求。限于篇幅原因,本文对这部分就不展开了。【注:对于《数据安全法》中提出的“政务数据”这个类别,公号君认为是从“自下而上”路径提出的。】


以上是公号君对《数据安全法》提出的数据分级分类要求的认识,供大家批评指正。(完)




数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)

  25. “hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)

  26. 法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)

  27. 美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)

  28. FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)

  29. ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)

  30. 德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)

  31. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  32. 印度《个人数据保护法》(2019年草案)全文翻译(DPO社群出品)

  33. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  34. AEPD和EDPS | “哈希函数简介——用于个人数据假名化技术”中译文(DPO社群出品)

  35. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  36. 联合发布 |《2020数字医疗:疫情防控新技术安全应用分析报告》

  37. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  38. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  39. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  40. 新版《个人信息安全规范》(35273-2020)正式发布


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

  18. 与欧美一流数据保护专家面对面(DPO沙龙特别活动)

  19. 第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径

  20. 第十八期DPO沙龙纪实:生物识别信息的安全保护


人脸识别系列文章

  1. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  2. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  3. 零售门店使用人脸识别技术的主要法律问题(DPO社群成员观点)

  4. 人脸识别技术的规制框架(PPT+讲稿)

  5. 人脸识别技术运用的六大场景及法律规制框架的适配(DPO社群成员观点)

  6. 解读世界首例警方使用人脸识别技术合法性判决(DPO社群成员观点)

  7. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  8. 美国联邦隐私保护立法草案研究(四):“生物识别信息”

  9. 美国华盛顿州人脸识别服务法案中文翻译(DPO社群出品)

  10. PAI | 《理解人脸识别系统》全文翻译(DPO社群出品)


美国联邦隐私保护立法草案研究

  1. 美国联邦隐私保护立法草案研究(一):“行为个性化”

  2. 美国联邦隐私保护立法草案研究(二):“个人敏感信息”

  3. 美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则

  4. 美国联邦隐私保护立法草案研究(四):“生物识别信息”

  

传染病疫情防控与个人信息保护系列文章

  1. 传染病疫情防控与个人信息保护初探之一:个人信息的性质

  2. 传染病疫情防控与个人信息保护初探之二:同意的例外

  3. 传染病疫情防控与个人信息保护初探之三:数据技术的应用路径

  4. 传染病疫情防控与个人信息保护初探之四:接触追踪的数据共享安全规范

  5. 传染病疫情防控与个人信息保护初探之五:电信数据的安全规范

  6. 传染病疫情防控与个人信息保护初探之六:GDPR框架下的公共卫生数据共享

  7. 传染病疫情防控与个人信息保护初探之七:美国公共卫生机构的数据调取权力

  8. 传染病疫情防控与个人信息保护初探之完结篇:解读中央网信办通知

  9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总(DPO社群出品)

  10. 美国疫情防控中的关键基础设施的识别和认定(DPO社群出品)

  11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译(DPO沙龙出品) 

  13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

  14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

  15. 疫情防控常态化中的接触追踪:中国方案

  16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译(DPO社群出品)

  17. 来自欧洲的接触追踪协议(ROBERT Protocol)的基本原理:漫画图解

  18. 英国信息专员对苹果谷歌接触追踪项目的官方意见:全文翻译(DPO社群出品)

  19. 三百名学者关于接触追踪APP的联合声明

  20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)

  21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

  22. 韩国利用ICT抗疫经验总结:接触追踪部分(中文翻译)

  23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱(DPO沙龙出品)


个人数据与域外国家安全审查系列文章

  1. 个人数据与域外国家安全审查初探(一):美欧概览

  2. 个人数据与域外国家安全审查初探(二):CFIUS实施条例详解

  3. 个人数据与域外国家安全审查初探(三):从美国《确保ICT技术与服务供应链安全》        

  4. 个人数据与域外国家安全审查初探(四):从美国《2019年安全与可信通信网络法案》看

  5. 个人数据与域外国家安全审查初探(五):禁止中国公司对StayNTouch的收购

  6. 个人数据与域外国家安全审查初探(六):《2019国家安全和个人数据保护法案》

  7. 个人数据与域外国家安全审查初探(七):美国众议院荒唐的决议草案

  8. 个人数据与域外国家安全审查初探(八):《2020安全的5G和未来通信》法案

  9. 个人数据与域外国家安全审查初探(九):澳大利亚《协助和访问法》

  10. 美国司法部狙击中国内幕(Inside DOJ's nationwide effort to take on China)

  11. 美国司法部“中国计划”的概况介绍


美国电信行业涉及外国参与的安全审查系列文章

  1. 美国电信行业涉及外国参与的安全审查(一):基本制度介绍

  2. 美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权

  3. 美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令

  4. 美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令


中国的网络安全审查系列文章:

  1. 网络安全审查制度利刃出鞘

  2. 对《网络安全审查办法(征求意见稿)》的几点观察

  3. 网络安全审查制度吹响了向网络安全强国迈进的号角

  4. 我国网络安全审查制度走向前台

  5. 网络安全审查的中欧比较:以5G为例


美国的出口管制制度系列文章:

  1. 美国出口管制制度系列文章之一:对“外国生产的产品”的相关规则

  2. 美国出口管制制度系列文章之二:适用EAR的步骤

  3. 美国出口管制制度系列文章之三:苏联油气管道的“华为”事件

  4. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

  5. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准


自动驾驶系列文章:

  1. 自动驾驶数据共享:效用与障碍

  2. 自动驾驶数据共享:效用与障碍(附文字实录)

  3. 北京市关于自动驾驶车辆道路测试的立法综述及动态(DPO社群成员观点)

  4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡(DPO社群成员观点)

  5. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)


欧盟“技术主权”进展跟踪系列文章:

  1. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  2. 欧盟委员会主席首提“技术主权”概念

  3. 推进欧洲可持续和数字化转型:《欧洲新工业战略》解读(DPO社群成员观点)

  4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

  5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

  6. 欧盟“技术主权”进展 | 关于数字平台监管的建议


第29条工作组/EDPB关于GDPR的指导意见:

  1. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  3. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  5. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  7. EDPB《关于GDPR适用地域范围(第3条)的解释指南》全文翻译(DPO沙龙出品)

  8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  9. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  10. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)

  12. EDPB | 《对第2016/679号条例(GDPR)下同意的解释指南v1》中文翻译(DPO社群出品)

  13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译(DPO社群出品)

  14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译(DPO社群出品)

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存