查看原文
其他

“清洁网络计划”下的APEC跨境隐私保护(CBPR)体系

洪延青 网安寻路人 2022-03-20

编者按:

公号君一直非常关注数据跨境流动。对此议题,本公号曾发表的文章如下:


  1. 构建数据跨境流动安全评估框架:实现发展与安全的平衡

  2. 构建数据跨境流动安全评估框架:实现发展与安全的平衡(二)

  3. 构建数据跨境流动安全评估框架:实现发展与安全的平衡(三)

  4. 构建数据跨境流动安全评估框架:实现发展与安全的平衡(四)

  5. TPP对跨境金融数据“另眼相看”?

  6. 马来西亚拟将我国认定为个人数据跨境流动“白名单”地区

  7. 美国ITIF关于数据跨境流动的研究报告简介

  8. Chatham House举办Cyber 2017大会,关注中国数据跨境流动

  9. 俄罗斯个人信息保护机构对隐私政策和数据跨境流动的新举措

  10. 看清APEC“跨境隐私保护规则”体系背后的政治和经济

  11. 敬请关注“闭门会-数据跨境流通”

  12. “闭门会:数据跨境流动政策分析” 总结

  13. 欧盟个人数据跨境流动机制进展更新(截止201810)

  14. 俄罗斯数据本地化和跨境流动条款解析

  15. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  16. 《个人信息和重要数据出境安全评估办法》实现了安全与发展的平衡

  17. 数据出境安全评估:保护我国基础性战略资源的重要一环

  18. 个人信息和重要数据出境安全评估之“境内运营”

  19. 《数据出境安全评估:保护我国基础性战略资源的重要一环》英文版

  20. 个人信息和重要数据出境安全评估之“向境外提供”

  21. 数据出境安全评估基本框架的构建

  22. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  23. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  24. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  25. 《个人信息出境安全评估办法(征求意见稿)》解读:从中外比较的角度

  26. 数据跨境流动 | 澳大利亚政府提出新的数据本地化要求

  27. 数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答(全文翻译)

  28. 数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑


另外一个与此相关的系列研究是:个人数据与域外国家安全审查系列文章。这个系列具体的文章列表,请见文末。


近日,有一则关于APEC下的CBPRs制度最新进展的报道,引人关注。其中一个重要的原因是美国现任政府在推行“清洁网络计划”的背景【突发 | 特朗普签署关于TIKTOK和WECHAT的行政令】。


对于CBPRs,我们应当有个鲜明的态度。公号君曾在2017年发表文章,分析过CBPR,现在看来,其中的分析公号君认为依旧成立,因此更新了些数据,旧文新发,供大家参考。

新闻报道

外媒:美国欲把中国挤出数据流通体系

原创 参考消息 2020-08-22 10:52:35


据《日本经济新闻》8月21日报道称,美国已经向亚太经合组织(APEC)成员提出了修改有关个人数据规则的方案。修改后的规则将独立于APEC框架之外,目的是将中国排除在外。这可能加速世界在互联网层面的分裂。

报道称,跨境数据使用的规模正在迅速扩大,涉及领域众多,比如基于网购结算数据来精准投放广告,利用出口到海外的汽车行驶数据研发自动驾驶技术等。合理的数据流通在全球经济活动中发挥着重要作用。


报道还称,美国寻求改变的是APEC成员就企业跨境转移数据缔结的跨境隐私保护(CBPR)体系。


企业在处理个人信息时必须符合各成员的规则。将姓名、交易信息等数据带往海外需要庞大的工作量。CBPR体系为各成员设立了统一的标准,获得认证的企业将能够更方便地转移数据。


据多位相关人士透露,美国在6月召开的APEC事务级别磋商中提出,将CBPR体系独立于APEC框架外,据说美方当时给出的理由是让巴西等非APEC成员也有加入的可能。不过其目的更可能是将本为APEC成员的中国排除在外。


报道称,CBPR体系包括美国、日本、澳大利亚、新加坡等9个国家和地区。各方对于这一体系的利用还处于起步阶段。


报道认为,美国选择此时将CBPR体系独立于APEC之外,应该就是要在排除中国的情况下推进规则的制定。


报道注意到,所谓“自由主义经济圈”也并非铁板一块。欧洲法院在今年7月裁定,禁止欧盟居民的个人信息资料大规模传输给美国公司,“欧盟-美国隐私盾牌”协议无效。为加强对个人隐私的保护,欧盟在2018年开始实施《通用数据保护条例》。


报道指出,未来,美国可能会试探已经脱欧的英国是否有兴趣加入CBPR体系。包括日本在内的APEC各方目前对于美国的提案仍持保留态度,围绕数据流通产生的鸿沟未来有可能进一步加深。


中国的数据跨境流动治理制度正在逐步形成,在此过程中,经常收到美国政府、美国商会等提出的建议。核心建议之一,更准确地说是敦促之一,即是中国采用APEC的“跨境隐私保护规则”(CBPR)体制多好啊,为什么要自己另开一条道路呢?


近日,美国在WTO场合提交了一份针对我国网络安全法的文件,再次提出APEC的CBPR体系,声称这是一项less burdensome option,而且也能够achieve privacy objectives【见文件中的3(C)段,中文译文参见此处。】


简单来说,CBPR促进个人数据跨境流动的基本逻辑是,如果位处于不同国家的不同公司,统一承诺并遵循APEC隐私框架提出的九大个人信息保护原则,则个人数据在这些公司之间流动就应该不受阻碍。由于这些公司都通过同一套原则来保护个人信息,那参与CBPR的国家就不得再以保护个人信息为理由,阻碍个人信息的跨境流动。【请原谅本文没对CBPR给出一定的基础介绍,感兴趣的读者可访问http://www.cbprs.org/,权威的介绍和官方文件均在此处。】


正好在香港参加完第39届的ICDPPC(International Conference of Data Protection and Privacy Commissioners),和不少相关人士探讨了CBPR的问题,形成了一些不成熟的看法和观点,通过此短文写出,算是对美国政府、商会等的回应。


CBPR“成功”吗?


CBPR建立于2011年。其官方网站上声称美国、日本、墨西哥、加拿大已经加入。但实际上,墨西哥和加拿大还没有指定Accountability Agent,所以不能说这两国已经开始实际运作CBPR体系。【注:在ICDPPC上,韩国的个人数据保护机构的官员已经介绍了其加入CBPR的进展,新加坡的个人数据保护机构官员明确表示了加入的意向。】


【公号君注:从2017年至今,又有几个经济体加入了CBPR体系。现在一共有九个经济体,分别是:美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚、中华台北、菲律宾。全是美国的盟友国家和地区。】


所以,准确地说,经过6年,真正开始运作CBPR的只有美国和日本。值得注意的是,日本也仅仅在2016年2月指定了Accountability Agent——the Japan Institute for Promotion of Digital Economy and Community (JIPDEC) ,也就是说,日本真正开始运作CBPR体系的时间,不到两年。而且,墨西哥是从2013年就决定加入CBPR,加拿大是2015年决定加入,但是两个国家拖了这么长的时间,还没有指定Accountability Agent,背后的原因是什么?


【公号君注:在CBPR网站中,有这么一句话:“目前,总部设在日本、韩国、新加坡和美国的公司均可获得CBPR认证”。(CBPR certification is currently available to companies headquartered in Japan, Korea, Singapore and the United States. )换句话说,另外5个国家并没有实际地运营CBPR认证。背后的原因是什么?】


再让我们看看取得CBPR认证的企业数量。到目前为止,只有23家企业。其中,美国22家。日本只有一家——Intasect Communications, Inc。【不知道各位朋友听过这家企业没有,反正我是没听过。】也就是说,日本开始运作CBPR的一年多时间内,只有一家企业取得了CBPR的认证。即便是美国,从2012年至今,也只有22家企业取得了CBPR认证。【注:绝非取得CBPR认证非常困难,这一点下文会解释。】


【公号君注:目前,取得CBPR认证的企业数量为35家。其中有3家日本公司,其余为美国公司。http://cbprs.org/compliance-directory/cbpr-system/】


相比欧盟建立的个人数据跨境各项机制来看,CBPR的成绩真的是小巫见大巫。单单拿被判决无效的安全港协议,多少美国企业加入其中。就算是刚刚经过一年的隐私盾协议,按照ICDPPC会上,美、欧官员确认至少有2400家企业加入其中。


【公号君注:隐私盾在被推翻之际,共有5000余家企业加入其中】


如此大的差异,显然不能用美欧之间贸易量更大来解释。否则奥巴马政府为什么要提出重返亚太计划?否则奥巴马政府为什么要提出覆盖大多数APEC国家的TPP协议?一边是亚太区域内巨大的贸易往来,一边是进展超级缓慢的CBPR制度和企业对CBPR非常低落的兴趣,这中间巨大的反差甚至是裂痕,如何解释?


如何看待CBPR基于的APEC隐私框架?


按照国际上许多学者的研究,个人信息保护基本原则已经历经了两代,目前很可能进入了第三代:


第一代的个人信息保护原则就是OECD1980年发布的隐私框架和Council of Europe 1981年发布的“第108号公约”。基本上,两份文件定义了现代意义上的“个人信息保护法”应具备的基本内容。


第二代个人信息保护原则的主要代表性立法就是欧盟95年的指令。其在第一代原则的基础上进行了扩展,加入了包括“数据最少够用”、“删除”、“敏感信息”、“独立的个人信息保护机构”等等要素。


第三代个人信息保护原则的主要代表性立法还是由欧盟主导,即《通用数据保护条例》(GDPR)。GDPR与第二代相比又有了扩展,包括“企业内部设立数据保护官”、“数据保护影响评估”、“发生数据安全事件后对数据保护机构的报告和对个人的通知”、“集体诉讼制度”等等要素。


除了欧盟主导的演进外,OECD在2013年发布了新版的隐私框架,没有太大的改动,主要是增加了“发生数据安全事件后对数据保护机构的报告和对个人的通知”。APEC隐私框架2016年的改动主要是向OECD2013版本看齐。


通过这三代的演进,我们来看APEC隐私框架中包含的九大原则,显然APEC体现的原则还处于第一代的水准。


当然,我们可以认为,仅仅是欧盟在“一意孤行”地推动个人信息保护,其他国家还是觉得第一代的保护水平足够了。但实证研究却展现出另一幅图景。在ICDPPC会议上,长期跟踪个人信息保护的知名学者Greenleaf教授做了精彩的演讲。他在“欧盟之外”且“通过了统一性的个人信息保护立法”的国家和地区中,选取了GDP前20的国家和地区,发现相当多的国家和地区做到了向第二代个人数据保护原则的靠拢。以打分计算的话,10分为完全符合,结果如下:


Peru (10); South Africa (9);  Korea (South) (9);  Argentina (8); Colombia (8);  Malaysia (8);  Canada (7); Taiwan (7); Australia (6);  Hong Kong (6);  New Zealand (6); Philippines (6); Israel (5); Japan (5); Mexico (5);  Singapore (5); India (4); Vietnam (3); Indonesia (2); and Chile (1).


按照Greenleaf教授的计算,考虑到智利、印度尼西亚、新西兰正在起草新的个人信息保护法,如果通过,则这20个国家和地区向第二代个人数据保护原则的靠拢程度将达到6.5。再考虑到印度最高法院新近做出“隐私是基本人权”的判决,并要求印度政府起草新的个人信息保护法律,则这个平均分将更高。


也就是说,“欧盟之外”且“通过了统一性的个人信息保护立法”的国家和地区,主要是在向欧盟95年的指令靠拢,提供的个人信息保护水平已经显著超越了OECD、APEC提出的保护水平。


这一点也在我和加拿大、墨西哥、韩国、新加坡、香港等国家和地区的个人数据保护官员的交谈中得到证实,他们均认为自己国家的个人数据保护法律,已经明显超过了APEC九大原则提出的保护水平。【这也就解释了获得CBPR的认证其实不难,主要是公司自己觉得是否有必要花费成本加入而已】


CBPR束缚了一国主权吗?


在ICDPPC的几场CBPR的宣讲会中,美国官员极力宣扬,CBPR的好处是参与国家不需要通过、修改自己的国内法;CBPR可以和各国家国内的个人信息保护法律并行不悖。美国官员的潜台词是:我们不像欧盟,无论是在充分性认定的谈判中,还是在美欧之间隐私盾的谈判中,都需要其他国家修改自己的法律向欧盟靠拢。


但在日本相关官员的演讲中,展现了另外一幅情形。日本在2015年修改了自己的个人信息保护法,并于2017年正式生效。其中对个人信息跨境流动的条款修改成:

可以看到,日本允许个人信息跨境流动有三种情形:第一是日本认定的白名单国家;第二是位于第三国的数据接收方遵循了“日本个人数据保护法指定的保护标准”。第三是个人信息主体的同意。


在其中第二种情形中,日本个人信息保护机构在解释“the standards prescribed by the PPC rules”时,明确将APEC隐私框架以及CBPR体系纳入其中。也就是说,为了在2016年正式运行CBPR体系,日本专门修改了关于跨境流动的法条,专门认定取得CBPR认证的海外公司算是采用了“合适和合理的方式”(appropriate and reasonable method)来保护个人信息,因此个人信息可以由日本自由地向这些海外公司流动。


同样的,韩国的个人信息保护官员告诉我,在目前韩国法律中(PIPA的article 17)要求,向境外提供个人信息时,需要个人的同意。为了加入CBPR,韩国的KCC(Korean Communication Commission)已经于2017年3月向韩国国会提交了修改该条的提案,但是目前仍然没有结果。


从日本、韩国的例子说明了什么?让我们一步步推演:


一个国家的数据保护制度,一般来说包括两部分,一部分是数据在国内的保护,一部分是数据的跨境制度。对于国内保护部分,你可以把保护水平设计得很高,没问题。但是在设计跨境制度时,你不能要求第三国的水平和你的水平一致。例如,韩国、日本可以把个人信息在其国内的保护,设计得很严格,没问题,甚至达到9分、10分都行,但是只要加入了CBPR体制,你不能要求第三国的数据接收方也达到9分、10分的保护水平;相反,只要该接收方达到了APEC要求的6分的保护水平,个人信息就得放行。


这也是为什么日本、韩国必需修改自己国内的法律,以适应CBPR的要求。因此,美国官员的话有意或无意地模糊了一个非常重要的区分:确实CBPR没有要求参与国修改或降低自己在国内对个人数据的保护水平,但是它强制这个国家在管控个人信息出境时,不得要求第三国的数据接收方提供超过APEC的保护水平。


很明显,这是对主权的一个显著限制。


CBPR和TPP有什么关系?


在我看来,CBPR和TPP一样,都显著体现了美国政府的战略利益。通过强迫各参与国同意一个基于低水平保护的个人信息跨境流动制度【参见本文第二点】,使得各国的个人信息便利地向美国聚拢。


让我们来看看TPP电子商务章节的有关规定:


首先,Article 14.11 Cross-Border Transfer of Information by Electronic Means要求各签署国应当允许个人信息的自由跨境流动,除非是出于“正当的公共政策目标”【“a  legitimate  public policy objective”】。对此,许多朋友肯定会说,保护个人信息,显然属于“正当的公共政策目标”。


没错。让我们再看Article 14.8: Personal Information Protection。该条表面上是说,保护个人信息对于电子商务开展有多重要,各签署国有义务这么做。但实际上的效果是说,各签署国保护的方式、方法、水平肯定是不一致的,但是只要满足一定的低线,那就算做到了对个人信息的保护。


为什么说是低线?确实魔鬼处于细节之中,请各位朋友们和我一起再仔细阅读TPP本章的注释6:For greater certainty, a Party may comply with the obligation in this paragraph by adopting or maintaining measures such as a comprehensive privacy, personal information or personal data protection laws, sector-specific laws covering privacy, or laws that provide for the enforcement of voluntary undertakings by enterprises relating to privacy. 通过该注释,各签署国获得了采取各自偏好的方式来保护个人信息的空间,例如美国,就不需要像韩国、日本那样需要设立高水平的“统一性的个人信息保护立法”,同时也可以对其他TPP签署国声称,其本国法律已经做到了对个人信息的保护了。与此同时,既然美国法律已经做到了对个人信息的保护,那么各签署国就不应该再出于保护个人信息的事由,限制个人信息流向美国。


也正是在看到TPP的该条款和该注释之后,欧盟赶紧在和美国开展的TTIP谈判时一再声称:个人信息保护是基本人权,因此决不能在贸易谈判中谈没了(bargain away)。换句话说,欧盟的这个表态是在坚决杜绝美国通过TPP类似条款,要求欧盟放弃对个人信息出境的高水平保护要求。


也就是说,正是通过建立在低水平保护的CBPR体系,或者通过TPP强迫各签署国承认并认同美国法律对个人信息保护水平,美国努力实现其战略利益——促进个人信息自由地跨境流动,更准确地说,向美国聚拢。


小结


当下,欧盟正在利用95指令、GDPR中提供的各种工具,使得各国向其靠拢,提供高水平的个人信息保护。详见本公号文章“欧盟对数据的战略性“玩法””。

 

而美国政府则极力宣扬CBPR体系,并拉拢其坚定盟友的加盟,其核心实质是——通过建立于低水平保护的个人信息跨境流动秩序,确保各国家不会用“自身国内提供了高水平保护”为理由而限制个人信息的出口,最终实现个人信息向美国聚拢。显然,CBPR体系有很浓的对抗欧盟95指令和GDPR推崇的数据跨境流动体制的意味。

 

在上述两大趋势的对撞中,中国难道不应该从自身利益出发,做出独立自主的选择吗?(完)




数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)

  25. “hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)

  26. 法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)

  27. 美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)

  28. FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)

  29. ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)

  30. 德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)

  31. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  32. 印度《个人数据保护法》(2019年草案)全文翻译(DPO社群出品)

  33. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  34. AEPD和EDPS | “哈希函数简介——用于个人数据假名化技术”中译文(DPO社群出品)

  35. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  36. 联合发布 |《2020数字医疗:疫情防控新技术安全应用分析报告》

  37. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  38. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  39. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  40. 新版《个人信息安全规范》(35273-2020)正式发布


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

  18. 与欧美一流数据保护专家面对面(DPO沙龙特别活动)

  19. 第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径

  20. 第十八期DPO沙龙纪实:生物识别信息的安全保护


人脸识别系列文章

  1. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  2. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  3. 零售门店使用人脸识别技术的主要法律问题(DPO社群成员观点)

  4. 人脸识别技术的规制框架(PPT+讲稿)

  5. 人脸识别技术运用的六大场景及法律规制框架的适配(DPO社群成员观点)

  6. 解读世界首例警方使用人脸识别技术合法性判决(DPO社群成员观点)

  7. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  8. 美国联邦隐私保护立法草案研究(四):“生物识别信息”

  9. 美国华盛顿州人脸识别服务法案中文翻译(DPO社群出品)

  10. PAI | 《理解人脸识别系统》全文翻译(DPO社群出品)

  11. 人脸识别技术研究综述(一):应用场景


美国联邦隐私保护立法草案研究

  1. 美国联邦隐私保护立法草案研究(一):“行为个性化”

  2. 美国联邦隐私保护立法草案研究(二):“个人敏感信息”

  3. 美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则

  4. 美国联邦隐私保护立法草案研究(四):“生物识别信息”

  

传染病疫情防控与个人信息保护系列文章

  1. 传染病疫情防控与个人信息保护初探之一:个人信息的性质

  2. 传染病疫情防控与个人信息保护初探之二:同意的例外

  3. 传染病疫情防控与个人信息保护初探之三:数据技术的应用路径

  4. 传染病疫情防控与个人信息保护初探之四:接触追踪的数据共享安全规范

  5. 传染病疫情防控与个人信息保护初探之五:电信数据的安全规范

  6. 传染病疫情防控与个人信息保护初探之六:GDPR框架下的公共卫生数据共享

  7. 传染病疫情防控与个人信息保护初探之七:美国公共卫生机构的数据调取权力

  8. 传染病疫情防控与个人信息保护初探之完结篇:解读中央网信办通知

  9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总(DPO社群出品)

  10. 美国疫情防控中的关键基础设施的识别和认定(DPO社群出品)

  11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译(DPO沙龙出品) 

  13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

  14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

  15. 疫情防控常态化中的接触追踪:中国方案

  16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译(DPO社群出品)

  17. 来自欧洲的接触追踪协议(ROBERT Protocol)的基本原理:漫画图解

  18. 英国信息专员对苹果谷歌接触追踪项目的官方意见:全文翻译(DPO社群出品)

  19. 三百名学者关于接触追踪APP的联合声明

  20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)

  21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

  22. 韩国利用ICT抗疫经验总结:接触追踪部分(中文翻译)

  23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱(DPO沙龙出品)


美国电信行业涉及外国参与的安全审查系列文章

  1. 美国电信行业涉及外国参与的安全审查(一):基本制度介绍

  2. 美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权

  3. 美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令

  4. 美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令


中国的网络安全审查系列文章:

  1. 网络安全审查制度利刃出鞘

  2. 对《网络安全审查办法(征求意见稿)》的几点观察

  3. 网络安全审查制度吹响了向网络安全强国迈进的号角

  4. 我国网络安全审查制度走向前台

  5. 网络安全审查的中欧比较:以5G为例

  6. 网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨:以5G安全为例


美国的出口管制制度系列文章:

  1. 美国出口管制制度系列文章之一:对“外国生产的产品”的相关规则

  2. 美国出口管制制度系列文章之二:适用EAR的步骤

  3. 美国出口管制制度系列文章之三:苏联油气管道的“华为”事件

  4. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

  5. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准


自动驾驶系列文章:

  1. 自动驾驶数据共享:效用与障碍

  2. 自动驾驶数据共享:效用与障碍(附文字实录)

  3. 北京市关于自动驾驶车辆道路测试的立法综述及动态(DPO社群成员观点)

  4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡(DPO社群成员观点)

  5. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)


欧盟“技术主权”进展跟踪系列文章:

  1. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  2. 欧盟委员会主席首提“技术主权”概念

  3. 推进欧洲可持续和数字化转型:《欧洲新工业战略》解读(DPO社群成员观点)

  4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

  5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

  6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

  7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架


第29条工作组/EDPB关于GDPR的指导意见:

  1. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  3. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  5. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  7. EDPB《关于GDPR适用地域范围(第3条)的解释指南》全文翻译(DPO沙龙出品)

  8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  9. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  10. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)

  12. EDPB | 《对第2016/679号条例(GDPR)下同意的解释指南v1》中文翻译(DPO社群出品)

  13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译(DPO社群出品)

  14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译(DPO社群出品)


数据安全法系列文章:

  1. 对《数据安全法》的理解和认识 | 立法思路

  2. 对《数据安全法》的理解和认识 | 数据分级分类

  3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

  4. 对《数据安全法》的理解和认识 | 重要数据如何保护


个人数据与域外国家安全审查系列文章

  1. 个人数据与域外国家安全审查初探(一):美欧概览

  2. 个人数据与域外国家安全审查初探(二):CFIUS实施条例详解

  3. 个人数据与域外国家安全审查初探(三):从美国《确保ICT技术与服务供应链安全》        

  4. 个人数据与域外国家安全审查初探(四):从美国《2019年安全与可信通信网络法案》看

  5. 个人数据与域外国家安全审查初探(五):禁止中国公司对StayNTouch的收购

  6. 个人数据与域外国家安全审查初探(六):《2019国家安全和个人数据保护法案》

  7. 个人数据与域外国家安全审查初探(七):美国众议院荒唐的决议草案

  8. 个人数据与域外国家安全审查初探(八):《2020安全的5G和未来通信》法案

  9. 个人数据与域外国家安全审查初探(九):澳大利亚《协助和访问法》

  10. 美国司法部狙击中国内幕(Inside DOJ's nationwide effort to take on China)

  11. 美国司法部“中国计划”的概况介绍

  12. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

  13. 理解特朗普禁令中的Transactions

  14. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

  15. 《国际紧急经济权力法》(IEEPA)的起源、演变和应用


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存