查看原文
其他

《金融消费者权益保护实施办法》下金融信息合规管理风险(DPO社群成员观点)

王源 网安寻路人 2022-03-20

编者按:

围绕着金融数据,本公号发表了以下文章:


  1. 对《个人金融信息保护技术规范》收集条款的初步认识(DPO社群成员观点)

  2. 个人金融信息收集和共享的基本原理:基于中美欧规则的展开(文字稿+PPT)

  3. 全球视野中的金融数据安全

  4. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  5. 《银行业金融机构数据治理指引》 正式稿与征求意见稿的对比分析

  6. 从数据合规工作开展看 《银行业金融机构数据治理指引》


中国人民银行于2020年9月15日发布《金融消费者权益保护实施办法》(“新规”),将于2020年11月1日起施行,取代2016年12月14日的版本(“旧规”)。


该新规的征求意见稿(“新规征求意见稿”)曾于2019年12月27日发布,相对于新规征求意见稿,新规修改和删除内容比较多。


本文将围绕新规第三章关于消费者金融信息保护的规定,对比新规征求意见稿和旧规的规定,对新规下消费者金融信息合规管理风险进行分析。本文作者为北京高勤律师事务所的王源律师。


一、新规为部门规章,法律位阶更高,增加了金融信息管理中的刑事合规风险。


旧规以“银发[2016]314号”文发布,新规以“中国人民银行令〔2020〕第5号”文发布,新规经中国人民银行2020年第6次行务会议审议通过,发布形式为人民银行令。旧规仅为“规范性文件”,新规为“部门规章”,效力层级更高。


根据国务院办公厅《关于加强行政规范性文件制定和监督管理工作的通知》,行政规范性文件是除国务院的行政法规、决定、命令以及部门规章和地方政府规章外,由行政机关发布的具有普遍约束力,在一定期限内反复适用的公文,效力层级低于规章。


在《刑法》中,针对“信息”的某些罪名的入罪条件,有的为“违反国家有关规定”,有的为“违反国家规定”。


例如,《刑法》第253条之一侵犯公民个人信息罪规定,违反国家有关规定,向他人出售或者提供公民个人信息,构成犯罪;


第285条非法侵入计算机信息系统罪规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,构成犯罪。


根据最高人民法院《关于准确理解和适用刑法中“国家规定”的有关问题的通知》,刑法中的“国家规定”是指,全国人大及人大常委制定的法律和国务院制定的行政法规;根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,“国家有关规定”是指,违反法律、行政法规、部门规章有关公民个人信息保护的规定。从现有的规范来看,刑法语境下的“国家规定”包括法律和行政法规,“国家有关规定”包括法律、行政法规、和规章,在任何情形下均不包括规范性文件,也即规范性文件无法成为刑事犯罪定罪量刑的依据,体现了刑法的审慎性。


新规的位阶由规范性文件上升为规章,旧规无法直接成为定罪量刑的依据,但违反新规有触犯刑法的风险。


二、新规没有对金融消费者的撤回、更正、删除和可携带权进行正面规定,也没有对跨境传输和委托分包处理进行规定,增加了金融信息合规管理中的不确定性风险。


旧规本身即对金融信息的收集和使用有所规定,新规征求意见稿进行了细化:(1)新规征求意见稿增加了间接收集个人信息渠道“合法”要求,间接获取了以非法方式收集的个人信息是不能使用的;(2)明确遵循合法、正当、必要原则下告知信息收集的目的、范围、方式后,收集金融信息需要获得明示同意;(3)更加严格限制“用于营销、用户体验改进、或者市场调查”之目的收集个人信息;(4)不能超出法定或者约定范围使用消费者金融信息;(5)增加确认发生信息安全事件后告知消费者。新规基本采用上述规定,并有所细化和修改。


对于旧规中没有的规定,新规征求意见稿也进行了增加:(1)增加消费者有权要求停止使用、更正不准确信息和要求删除的权利,金融机构仅在“法律”和“行政法规”另有规定的情形下,才可以拒绝更正和删除;(2)新规征求意见稿和旧规下的跨境传输均必须满足两大条件:其一、均以境内存储为原则;其二、均要求接收方必须是金融机构的关联机构。在此前提下,旧规只有在“法律法规及中国人民银行另有规定”的,才可以向境外提供;新规征求意见稿下只要“业务所必需”且满足一定条件,就可以跨境传输;(3)对分包商/委托处理方的管理义务规定中,旧规和新规征求意见稿均普遍性地要求金融机构必须审查评估外包服务商能力、签订协议明确权利义务、采取审查监督措施、并且最终对外包服务商的行为负责,新规征求意见稿增加规定合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息;(4)新规征求意见稿增加规定数据主体有权获取自己的数据并传输给指定第三方,鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。新规将上述规定全部删除,甚至将以前包含在旧规中的规定删除。


新规第三章中没有金融消费者更正、删除、访问和可携带权的正面规定,但是在第21条中规定,不得以通知、声明、告示等格式条款的方式排除或者限制金融消费者依法对其金融信息进行查询、删除、修改的权利;新规对于跨境传输和委托处理中分包商的管理责任也没有任何规定。中国人民银行在答记者问中说明“在延续原有的金融信息保护专章的基础上,以实现保护金融消费者信息安全权为目的,从信息收集、披露和告知、使用、管理、存储与保密等方面进行了优化。”新规的着眼点在于数据安全,并不过分强调金融消费者对信息控制权的诉求。但是,金融信息属于个人信息的一种,关于个人信息保护的一般性规定,仍然需要适用《消费者权益保护法》、个人信息保护法等一般性规定。


三、新规涉及金融机构、银行、支付机构概念间的关系,应反洗钱要求收集信息,拒绝接收金融营销信息选择权,信息安全事件告知和通知义务的细化,每一项均需要在金融信息合规管理中进行细化落地。


新规征求意见稿和新规均规定适用主体为银行和非银行支付机构,不包括旧规中提供跨市场、跨行业交叉性金融产品和服务的其他金融机构。按照新规的规定,银行和非银行支付机构之外的金融机构或者类金融机构是不适用新规的,例如保险公司、证券公司等。此外,处理金融信息的非金融机构也不在新规的适用主体范围之中,可以参照适用或者应银行和支付机构的要求间接适用新规。


新规结合《民法典》的规定,增加获得同意的例外,即法律、行政法规另有规定的除外。新规新增金融消费者不能或者拒绝提供必要信息,致使银行、支付机构无法履行反洗钱义务的,银行、支付机构可以根据《中华人民共和国反洗钱法》的相关规定对其金融活动采取限制性措施;确有必要时,银行、支付机构可以依法拒绝提供金融产品或者服务。因此反洗钱法为收集处理金融信息的例外规定,如果金融消费者不能或者拒绝提供信息,银行、支付机构可以限制或者拒绝提供服务。


新规和新规征求意见稿均区分“一般目的对外提供”和“用于营销、用户体验改进、或者市场调查对外提供”。 “一般目的对外提供”,银行、支付机构不得以金融消费者不同意处理其金融信息为由拒绝提供金融产品或者服务,但处理其金融信息属于提供金融产品或者服务所必需的除外;“用于营销、用户体验改进、或者市场调查”之目的,则不能要求必须提供,不提供不影响服务,默认“用于营销、用户体验改进、或者市场调查”之目的的对外提供并非提供金融产品或者服务所必需,除非可以证明“用于营销、用户体验改进、或者市场调查”是属于提供金融产品或者服务所必需。新规相对于新规征求意见稿,增加了必需向金融消费者提供拒绝接收营销信息的方式。


新规对于信息安全事件的通知和报告制度进行了分别规定。首先,在确认信息发生泄露、毁损、丢失时,银行、支付机构应当立即采取补救措施;其次,信息泄露、毁损、丢失可能危及金融消费者人身、财产安全的,应当立即向银行、支付机构住所地的中国人民银行分支机构报告并告知金融消费者;再次,信息泄露、毁损、丢失可能对金融消费者产生其他不利影响的,应当及时告知金融消费者,并在72小时以内报告银行、支付机构住所地的中国人民银行分支机构。可以看出,对于可能造成人身、财产损失的信息安全事件,上报和告知金融消费者的时间要求为“立即”;对于可能产生其他不利影响的信息安全事件,上报的时间要求为72小时,告知金融消费者的时间要求为“及时”。简言之,信息安全事件可能危及人身、财产安全,应当立即上报并告知金融消费者;信息安全事件可能产生其他不利影响的,应当72小时内上报并及时告知金融消费者。丰富了新规征求意见稿单一要求确认信息安全事件后72小时内通知金融消费者的规定,增加规定上报主管机关的义务,但是基于区分“人身、财产损失”和“其他不利影响”的上报和通知的“及时”或者“立即”的规定,实践中很难判断。


总结:银行和非银行支付机构的金融信息合规管理需要遵守《金融消费者权益保护实施办法》第三章关于消费者金融信息保护的规定。银行和非银行支付机构之外的处理金融信息的金融机构、类金融机构、非金融机构可以参照适用或者可能应银行和非银行支付机构的要求间接适用。《金融消费者权益保护实施办法》为中国人民银行制定的部门规章,法律位阶和效力层级更高,在部分刑法罪名中可以直接作为定罪量刑的依据,例如侵犯公民个人信息罪。《金融消费者权益保护实施办法》着眼点在于数据安全,包括信息安全制度和信息安全事件管理等,同时更加明确了金融消费者对于信息的控制权等数据保护的规定,例如在明确遵循合法、正当、必要原则下告知信息收集的目的、范围、方式后,收集金融信息需要获得明示同意以及根据反洗钱法收集信息的同意例外规定等,但是没有正面直接规定金融消费者的撤回、更正、删除权,也没有对跨境传输和委托分包处理进行规定,需要适用个人信息保护的其他一般性规定,增加了金融信息合规管理中的不确定性风险。《金融消费者权益保护实施办法》第三章关于消费者金融信息保护的每项具体规定,均需要在金融信息合规管理中细化落地。

 

附:


“旧规”、“新规征求意见稿”和“新规”第三章关于消费者金融信息保护的规定

对比表及简评

 


旧规

新规征求意见稿

新规

简评

注:除非另有说明,指新规征求意见稿和新规相对于旧规的变化或者重点内容

标题

《中国人民银行金融消费者权益保护实施办法》(银发[2016]314)

20161214

《中国人民银行金融消费者权益保护实施办法(征求意见稿)》

 

20191227

《中国人民银行金融消费者权益保护实施办法》(中国人民银行令〔2020〕第5号)

2020915

名称不变

位阶

规范性文件

部门规章

部门规章

主体内容升格为部门规章,以人民银行令形式发布实施

名称

第三章 个人金融信息保护

第三章消费者金融信息保护

 

第三章消费者金融信息保护

 

个人修改为消费者

收集

第二十七条 本办法所称个人金融信息,是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。

第二十七条本办法所称消费者金融信息,是指金融机构通过开展业务或者其他合法渠道获取、加工和存储的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或服务相关的信息。

 

第二十八条本办法所称消费者金融信息,是指银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息。

消费者金融信息的处理包括消费者金融信息的收集、存储、使用、加工、传输、提供、公开等。

1.  均包括直接收集和从第三方间接收集

2.  对间接收集增加合法要求

3.   概括性兜底条款明确限定金融信息为购买、使用金融产品或者服务的信息

4. 将“金融机构”明确为“银行、支付机构”

5. 新规将新规征求意见稿中“获取、加工、存储”修改为“处理”

收集共享转让

第二十八条 金融机构应当严格落实国家网络安全和信息技术安全有关规定,采取有效措施确保个人金融信息安全,至少每半年排查一次个人金融信息安全隐患。

收集个人金融信息时,应当遵循合法、合理、必要原则,按照法律法规要求和业务需要收集个人金融信息,不得收集与业务无关的信息或者采取不正当方式收集信息,不得非法存储个人金融信息; 

第二十八条第一款和第二款金融机构收集、使用消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者明示同意。金融机构不得收集与业务无关的消费者金融信息,不得采取不正当方式收集信息,不得变相强制收集消费者金融信息。

金融机构不得将金融消费者同意其将金融信息用于对外提供作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先同意的除外。

 

 

第二十九条银行、支付机构处理消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者或者其监护人明示同意,但是法律、行政法规另有规定的除外。银行、支付机构不得收集与业务无关的消费者金融信息,不得采取不正当方式收集消费者金融信息,不得变相强制收集消费者金融信息。银行、支付机构不得以金融消费者不同意处理其金融信息为由拒绝提供金融产品或者服务,但处理其金融信息属于提供金融产品或者服务所必需的除外。

金融消费者不能或者拒绝提供必要信息,致使银行、支付机构无法履行反洗钱义务的,银行、支付机构可以根据《中华人民共和国反洗钱法》的相关规定对其金融活动采取限制性措施;确有必要时,银行、支付机构可以依法拒绝提供金融产品或者服务。

1.  规范收集原则,将合法、合理、必要按照《网络安全法》修改为合法、正当、必要

2.  增加收集金融信息获得消费者和监护人明示同意规定

3. 新规增加获得同意“法律、行政法规另有规定的除外”

3.  增加原则性规定不得变相强制收集

4. 新规增加因反洗钱要求提供信息的规定

共享转让委托处理

第三十一条 金融机构不得将金融消费者授权或者同意其将个人金融信息用于营销、对外提供等作为与金融消费者建立业务关系的先决条件,但该业务关系的性质决定需要预先做出相关授权或者同意的除外。

第二十八条第三款 金融机构收集消费者金融信息用于营销、用户体验改进或者市场调查的,应当以适当方式供金融消费者自主选择是否同意金融机构将其金融信息用于上述目的。金融消费者不同意的,金融机构不得因此拒绝提供金融产品或服务。

第三十条银行、支付机构收集消费者金融信息用于营销、用户体验改进或者市场调查的,应当以适当方式供金融消费者自主选择是否同意银行、支付机构将其金融信息用于上述目的;金融消费者不同意的,银行、支付机构不得因此拒绝提供金融产品或者服务。银行、支付机构向金融消费者发送金融营销信息的,应当向其提供拒绝继续接收金融营销信息的方式。

1.区分一般目的对外提供用于营销、用户体验改进、或者市场调查对外提供

  “一般目的对外提供,如果为非业务所必需,不能因不提供信息而拒绝提供服务;用于营销、用户体验改进、或者市场调查之目的,不提供不影响服务。

2.新规增加向金融消费者提供拒绝接收营销信息的方式。

收集

第三十条 金融机构通过格式条款取得个人金融信息书面使用授权或者同意的,应当在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,应当在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。

金融机构不得以概括授权的方式,索取与金融产品和服务无关的个人金融信息使用授权或者同意。

第二十九条金融机构应当履行《中华人民共和国消费者权益保护法》规定的明示义务,并保留有关证明资料。

金融机构通过格式条款取得消费者金融信息收集、使用同意的,应当在条款中明确收集的目的、方式、内容和使用范围,并在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后果。

 

第三十一条银行、支付机构应当履行《中华人民共和国消费者权益保护法》第二十九条规定的明示义务,公开收集、使用消费者金融信息的规则,明示收集、使用消费者金融信息的目的、方式和范围,并留存有关证明资料。

银行、支付机构通过格式条款取得消费者金融信息收集、使用同意的,应当在格式条款中明确收集消费者金融信息的目的、方式、内容和使用范围,并在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后果。

1. 明确明示告知才能收集个人信息的原则

2. 明确明示告知内容至少包括收集目的、范围、方式

使用

第三十条金融机构应当按照法律法规的规定和双方约定的用途使用消费者金融信息,不得超出范围使用。

 

第三十二条银行、支付机构应当按照法律法规的规定和双方约定的用途使用消费者金融信息,不得超出范围使用。

增加不能超出范围使用消费者金融信息

内部访问控制

第二十九条 金融机构应当建立个人金融信息数据库分级授权管理机制,根据个人金融信息的重要性、敏感度及业务开展需要,在不影响其履行反洗钱等法定义务的前提下,合理确定本机构员工调取信息的范围、权限及程序。

第三十一条金融机构应当建立以分级授权为核心的消费者金融信息使用管理制度,根据消费者金融信息的重要性、敏感度及业务开展需要,在不影响其履行反洗钱等法定义务的前提下,合理确定本机构员工调取信息的范围、权限。

金融机构应当严格落实信息使用授权审批程序,采取有效技术措施,确保消费者金融信息安全。

第三十三条银行、支付机构应当建立以分级授权为核心的消费者金融信息使用管理制度,根据消费者金融信息的重要性、敏感度及业务开展需要,在不影响本机构履行反洗钱等法定义务的前提下,合理确定本机构工作人员调取信息的范围、权限,严格落实信息使用授权审批程序。

内部信息访问控制,没有实质变化。

第三十二条 金融机构应当建立个人金融信息使用管理制度。因监管、审计、数据分析等原因需要使用个人金融信息数据的,应当严格内部授权审批程序,采取有效技术措施,确保信息在内部使用及对外提供等流转环节的安全,防范信息泄露风险。

存储泄露报告

第二十八条第二款后半段和第三款

应当采取符合国家档案管理和电子数据管理规定的措施,妥善保管所收集的个人金融信息,防止信息遗失、毁损、泄露或者篡改。在发生或者可能发生个人金融信息遗失、毁损、泄露或者篡改等情况时,应当立即采取补救措施,及时告知用户并向有关主管部门报告。

金融机构及其相关工作人员应当对业务过程中知悉的个人金融信息予以保密,不得非法复制、非法存储、非法使用、向他人出售或者以其他非法形式泄露个人金融信息。

 

第三十二条金融机构应当按照国家档案管理和电子数据管理规定,采取技术措施和其他必要措施,妥善保管和存储所收集的消费者金融信息,防止信息遗失、毁损、泄露或者篡改。

金融机构及其工作人员应当对消费者金融信息严格保密,不得泄露或者非法向他人提供。在确认信息发生泄漏、毁损、丢失时,金融机构应当在72小时以内采取补救措施并告知金融消费者。

 

第三十四条银行、支付机构应当按照国家档案管理和电子数据管理等规定,采取技术措施和其他必要措施,妥善保管和存储所收集的消费者金融信息,防止信息遗失、毁损、泄露或者被篡改。

银行、支付机构及其工作人员应当对消费者金融信息严格保密,不得泄露或者非法向他人提供。在确认信息发生泄露、毁损、丢失时,银行、支付机构应当立即采取补救措施;信息泄露、毁损、丢失可能危及金融消费者人身、财产安全的,应当立即向银行、支付机构住所地的中国人民银行分支机构报告并告知金融消费者;信息泄露、毁损、丢失可能对金融消费者产生其他不利影响的,应当及时告知金融消费者,并在72小时以内报告银行、支付机构住所地的中国人民银行分支机构。中国人民银行分支机构接到报告后,视情况按照本办法第五十五条规定处理。

新规对新规征求意见稿的信息安全事件告知和通知义务进行了细化规定:

1. 危及人身、财产安全:立即上报并告知金融消费者

2.其他不利影响:72小时内上报并及时告知

更正删除

第三十三条金融消费者发现金融机构违反法律法规、监管规定或者双方的约定收集、使用其金融信息的,有权要求金融机构停止使用并删除前述金融信息;发现金融机构收集、存储的消费者金融信息有错误的,有权要求金融机构予以更正。金融机构应当采取措施予以删除或者更正。法律、行政法规另有规定的除外。

 

1.  新规征求意见稿增加消费者要求停止使用、更正不准确信息和要求删除的权利

2.  新规征求意见稿规定金融机构仅在法律行政法规另有规定的情形下,才可以拒绝更正和删除。不能根据规章规范性文件等效力层级更低的规定拒绝消费者的请求。

跨境传输

第三十三条 在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,金融机构不得向境外提供境内个人金融信息。

境内金融机构为处理跨境业务且经当事人授权,向境外机构 (含总公司、母公司或者分公司、子公司及其他为完成该业务所必需的关联机构)传输境内收集的相关个人金融信息的,应当符合法律、行政法规和相关监管部门的规定,并通过签订协议、现场核查等有效措施,要求境外机构为所获得的个人金融信息保密。

 

第三十四条在中国境内收集的消费者金融信息的存储、处理和分析应当在中国境内进行。因业务需要,确需向境外提供消费者金融信息的,应当同时符合以下条件:

(一)为处理跨境业务所必需;

(二)经金融消费者书面授权;

(三)信息接收方为完成该业务所必需的关联机构(含总公司、母公司或者分公司、子公司等);

(四)通过签订协议、现场核查等有效措施,要求境外机构为所获得的消费者金融信息保密;

(五)符合法律法规和其他相关监管部门的规定。

1.   旧规和新规征求意见稿均以境内存储为原则。

2.   旧规和新规征求意见稿均要求接收方必须是关联机构。

3.  新规征求意见稿相对于旧规要求放宽:旧规只有在法律法规及中国人民银行另有规定的,才可以向境外提供;新规征求意见稿下只要业务所必需且满足一定条件,就可以跨境传输。

委托处理/分包

第三十四条 金融机构保护消费者个人金融信息安全的义务不因其与外包服务供应商合作而转移、减免。

金融机构应当充分审查、评估外包服务供应商保护个人金融信息的能力,在相关协议中明确外包服务供应商保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务。

 

第三十五条金融机构保护消费者金融信息安全的义务不因其与外包服务供应商合作而转移、减免。

金融机构应当充分审查、评估外包服务供应商保护消费者金融信息的能力,在相关协议中明确外包服务供应商保护消费者金融信息的职责和保密义务,并采取必要措施监督外包服务供应商履行上述职责和义务。合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息。

新规征求意见稿相对于旧规增加合作关系终止后,金融机构应当监督外包服务供应商及时销毁从金融机构获取的消费者金融信息。

共享可携带权

第三十六条鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。

新规征求意见稿相对于旧规增加可携带权,及消费者可以要求把金融信息转给指定的其他金融机构,但为鼓励性规定,不是强制性要求,且要满足技术可行的条件。

 


数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已超过300人。关于DPO社群和沙龙更多的情况如下:



DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)

  25. “hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)

  26. 法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)

  27. 美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)

  28. FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)

  29. ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)

  30. 德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)

  31. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  32. 印度《个人数据保护法》(2019年草案)全文翻译(DPO社群出品)

  33. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  34. AEPD和EDPS | “哈希函数简介——用于个人数据假名化技术”中译文(DPO社群出品)

  35. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  36. 联合发布 |《2020数字医疗:疫情防控新技术安全应用分析报告》

  37. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  38. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  39. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  40. 新版《个人信息安全规范》(35273-2020)正式发布


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

  18. 与欧美一流数据保护专家面对面(DPO沙龙特别活动)

  19. 第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径

  20. 第十八期DPO沙龙纪实:生物识别信息的安全保护


美国联邦隐私保护立法草案研究

  1. 美国联邦隐私保护立法草案研究(一):“行为个性化”

  2. 美国联邦隐私保护立法草案研究(二):“个人敏感信息”

  3. 美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则

  4. 美国联邦隐私保护立法草案研究(四):“生物识别信息”

  

传染病疫情防控与个人信息保护系列文章

  1. 传染病疫情防控与个人信息保护初探之一:个人信息的性质

  2. 传染病疫情防控与个人信息保护初探之二:同意的例外

  3. 传染病疫情防控与个人信息保护初探之三:数据技术的应用路径

  4. 传染病疫情防控与个人信息保护初探之四:接触追踪的数据共享安全规范

  5. 传染病疫情防控与个人信息保护初探之五:电信数据的安全规范

  6. 传染病疫情防控与个人信息保护初探之六:GDPR框架下的公共卫生数据共享

  7. 传染病疫情防控与个人信息保护初探之七:美国公共卫生机构的数据调取权力

  8. 传染病疫情防控与个人信息保护初探之完结篇:解读中央网信办通知

  9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总(DPO社群出品)

  10. 美国疫情防控中的关键基础设施的识别和认定(DPO社群出品)

  11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译(DPO沙龙出品) 

  13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

  14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

  15. 疫情防控常态化中的接触追踪:中国方案

  16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译(DPO社群出品)

  17. 来自欧洲的接触追踪协议(ROBERT Protocol)的基本原理:漫画图解

  18. 英国信息专员对苹果谷歌接触追踪项目的官方意见:全文翻译(DPO社群出品)

  19. 三百名学者关于接触追踪APP的联合声明

  20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)

  21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

  22. 韩国利用ICT抗疫经验总结:接触追踪部分(中文翻译)

  23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱(DPO沙龙出品)


美国电信行业涉及外国参与的安全审查系列文章

  1. 美国电信行业涉及外国参与的安全审查(一):基本制度介绍

  2. 美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权

  3. 美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令

  4. 美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令


中国的网络安全审查系列文章:

  1. 网络安全审查制度利刃出鞘

  2. 对《网络安全审查办法(征求意见稿)》的几点观察

  3. 网络安全审查制度吹响了向网络安全强国迈进的号角

  4. 我国网络安全审查制度走向前台

  5. 网络安全审查的中欧比较:以5G为例

  6. 网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨:以5G安全为例


美国的出口管制制度系列文章:

  1. 美国出口管制制度系列文章之一:对“外国生产的产品”的相关规则

  2. 美国出口管制制度系列文章之二:适用EAR的步骤

  3. 美国出口管制制度系列文章之三:苏联油气管道的“华为”事件

  4. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

  5. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准

  6. 美国出口管制 | BIS发布针对“基础性技术”出口管制的“拟议制定规则预先通知”


自动驾驶系列文章:

  1. 自动驾驶数据共享:效用与障碍

  2. 自动驾驶数据共享:效用与障碍(附文字实录)

  3. 北京市关于自动驾驶车辆道路测试的立法综述及动态(DPO社群成员观点)

  4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡(DPO社群成员观点)

  5. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)


欧盟“技术主权”进展跟踪系列文章:

  1. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  2. 欧盟委员会主席首提“技术主权”概念

  3. 推进欧洲可持续和数字化转型:《欧洲新工业战略》解读(DPO社群成员观点)

  4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

  5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

  6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

  7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架


第29条工作组/EDPB关于GDPR的指导意见:

  1. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  3. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  5. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  7. EDPB《关于GDPR适用地域范围(第3条)的解释指南》全文翻译(DPO沙龙出品)

  8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  9. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  10. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)

  12. EDPB | 《对第2016/679号条例(GDPR)下同意的解释指南v1》中文翻译(DPO社群出品)

  13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译(DPO社群出品)

  14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译(DPO社群出品)


数据安全法系列文章:

  1. 对《数据安全法》的理解和认识 | 立法思路

  2. 对《数据安全法》的理解和认识 | 数据分级分类

  3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

  4. 对《数据安全法》的理解和认识 | 重要数据如何保护


人脸识别系列文章:

  1. 盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  2. 国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  3. 售门店使用人脸识别技术的主要法律问题(DPO社群成员观点)

  4. 脸识别技术的规制框架(PPT+讲稿)

  5. 人脸识别技术运用的六大场景及法律规制框架的适配(DPO社群成员观点)

  6. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  7. 美国联邦隐私保护立法草案研究(四):“生物识别信息”

  8. 美国华盛顿州人脸识别服务法案中文翻译(DPO社群出品)

  9. PAI | 《理解人脸识别系统》全文翻译(DPO社群出品)

  10. 解读世界首例警方使用人脸识别技术合法性判决二审判决(DPO社群成员观点)

  11. 人脸识别技术研究综述(一):应用场景

  12. 人脸识别技术研究综述(二):技术缺陷和潜在的偏见

  13. 美国人脸识别技术的法律规范研究综述 | 拼凑式(Patchwork)的范式


数据跨境流动系列文章:

  1. 构建数据跨境流动安全评估框架:实现发展与安全的平衡

  2. 构建数据跨境流动安全评估框架:实现发展与安全的平衡(二)

  3. 构建数据跨境流动安全评估框架:实现发展与安全的平衡(三)

  4. 构建数据跨境流动安全评估框架:实现发展与安全的平衡(四)

  5. TPP对跨境金融数据“另眼相看”?

  6. 马来西亚拟将我国认定为个人数据跨境流动“白名单”地区

  7. 美国ITIF关于数据跨境流动的研究报告简介

  8. Chatham House举办Cyber 2017大会,关注中国数据跨境流动

  9. 俄罗斯个人信息保护机构对隐私政策和数据跨境流动的新举措

  10. 看清APEC“跨境隐私保护规则”体系背后的政治和经济

  11. 敬请关注“闭门会-数据跨境流通”

  12. “闭门会:数据跨境流动政策分析” 总结

  13. 欧盟个人数据跨境流动机制进展更新(截止201810)

  14. 俄罗斯数据本地化和跨境流动条款解析

  15. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  16. 《个人信息和重要数据出境安全评估办法》实现了安全与发展的平衡

  17. 数据出境安全评估:保护我国基础性战略资源的重要一环

  18. 个人信息和重要数据出境安全评估之“境内运营”

  19. 《数据出境安全评估:保护我国基础性战略资源的重要一环》英文版

  20. 个人信息和重要数据出境安全评估之“向境外提供”

  21. 数据出境安全评估基本框架的构建

  22. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  23. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  24. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  25. 《个人信息出境安全评估办法(征求意见稿)》解读:从中外比较的角度

  26. 数据跨境流动 | 澳大利亚政府提出新的数据本地化要求

  27. 数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑

  28. 数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答(全文翻译)

  29. “清洁网络计划”下的APEC跨境隐私保护(CBPR)体系

  30. 数据跨境流动 | 爱尔兰DPA即将禁止FACEBOOK的数据跨境传输


关于TIKTOK和WECHAT总统令和审查相关的文章:

  1. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

  2. 理解特朗普禁令中的Transactions

  3. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

  4. TikTok和甲骨文合作中的“可信技术提供商” | 微软和德国电信合作的模式

  5. TikTok和甲骨文合作中的“可信技术提供商” | 苹果和云上贵州合作模式


CFIUS审查相关文章:

  1. 个人数据与域外国家安全审查初探(一):美欧概览

  2. 个人数据与域外国家安全审查初探(二):CFIUS实施条例详解

  3. 个人数据与域外国家安全审查初探(三):从美国《确保ICT技术与服务供应链安全》        

  4. 个人数据与域外国家安全审查初探(四):从美国《2019年安全与可信通信网络法案》看

  5. 个人数据与域外国家安全审查初探(五):禁止中国公司对StayNTouch的收购

  6. 个人数据与域外国家安全审查初探(六):《2019国家安全和个人数据保护法案》

  7. 个人数据与域外国家安全审查初探(七):美国众议院荒唐的决议草案

  8. 个人数据与域外国家安全审查初探(八):《2020安全的5G和未来通信》法案

  9. 个人数据与域外国家安全审查初探(九):澳大利亚《协助和访问法》

  10. 美国司法部狙击中国内幕(Inside DOJ's nationwide effort to take on China)

  11. 美国司法部“中国计划”的概况介绍

  12. 《国际紧急经济权力法》(IEEPA)的起源、演变和应用


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存