人脸识别技术是潘多拉盒子还是阿拉丁神灯？

编者按：

一、对人脸识别技术的反思

人脸识别数据是发展人工智能技术的重要要素，可以广泛应用于公共和私营部门，例如公共安全、安防监控、智慧交通、政企事务、智能家居、新零售和银行业务等场景。在利用人脸识别数据发展人工智能技术过程中，国内外对人脸识别数据的广泛使用甚至滥用可能导致的侵害个人信息后果开始反思。就中国来看，2020年12月1日发布的《天津市社会信用条例》规定，市场信用信息提供单位在天津市内不得采集包括人脸识别在内的生物识别信息。2020年11月20日浙江法院判决野生动物世界败诉，删除原告个人在办理年卡时提交的人脸识别信息。2020年11月和12月间，媒体以个人戴头盔看房防止人脸识别以及人脸识别：不安之术、小区门禁强制“刷脸”等为题材对人脸识别进行报道。

就国外来看，2020年6月8日IBM宣布停止人脸识别技术, 避免种族歧视和违反平等原则，强调负责任的科技和技术应用的评估；受到舆论与投资者压力，亚马逊暂停警方使用人脸识别技术1年， 6月10日亚马逊宣布暂时禁止美国警方使用自己的人脸识别技术Rekognition, 为期一年时间。谷歌在2019年即停止在谷歌云开放通用人脸识别 API，Facebook2019年不再默认开启图片人脸识别功能，微软删除始于2016年的含有10万人1000万张照片的MS Celeb人脸识别数据库。2019年5月15日，美国旧金山市禁止警察和市政府使用人脸识别软件。

二、人脸识别技术的风险

从国内外立法、案例和事件来看，暂停或者禁用人脸识别信息主要基于对隐私和个人信息保护的担忧，例如，IBM停用人脸识别技术特别考虑了：a)政府用人脸识别技术以识别监控个体，更容易侵犯基本权利；b)用以识别（identification）（一对多）的人脸识别进技术涉及集中存储大量人脸模板数据库；c)通用目的（general purpose）的人脸识别技术风险较大。总结起来，人脸识别信息的应用主要风险在于：

1. 个人基本权利。在人工智能技术下，保护隐私和个人信息更具有挑战性。例如，面部信息一旦采集难以修改，容易结合身份信息识别个体，且可以持续、远程监控。例如在欧盟，人脸识别技术被纳入基本权利（fundamental right）考量，人脸识别也需要在GDPR建立的法律框架（regulatory framework）下讨论[1]；在美国，同样强调防止人脸识别技术妨碍自由（civil liberties）。

   
   

2. 公权力部门使用人脸识别的特殊风险。人脸识别技术可以为公权力部门例如执法机构所用，也可以为私营部门所用。由于公权力部门使用人脸识别技术涉及大规模采集、监控人口（例如利用摄像头在公共场所或者集会时在个人不知情情况下即可大量采集）、集中存储大量数据模板以供比对识别等，风险更大。

   
   

3. 人工智能涉及敏感数据。人脸识别信息更加敏感，可以直接判断个人健康体态个体特征、民族种族等，GDPR原则上禁止处理这些信息；收集人脸识别信息的方式更加隐蔽也更加容易，例如未经同意就可以在公共场所“非接触”收集，且可以一次性大量收集。

   
   

4. 平等和歧视。人脸识别技术涉及处理肤色、种族等信息，对妇女、儿童、残疾人、雇员、消费者等弱势群体有歧视和不公平对待的风险。

   
   

5. 风险难以估量和透明度。人工智能技术的风险无法准确估量，人工智能存在黑匣（black box）问题，难以确保充分的透明度。

   
   

6. 人脸识别技术缺陷。人脸识别受到光线、成像质量、环境、动态等影响，可能会有误识别或者漏识别问题。

三、国外对人脸识别技术的限制

尽管有上述风险，欧盟、美国和国际组织在对人脸识别技术进行规制时，也并非一概而论、一蹴而就地禁止。例如，IMB宣布“不再提供通用目的（general purpose）的人脸识别或者分析软件”，Google宣布“不再提供通用目的（general purpose）人脸识别APIs”。与通用目的相对应，小范围、具体场景、实验性、充分估量风险的人脸识别应用是可行的。具体来说，对人脸识别技术的限制措施特点包括：

1. 对政府公权力执法部门限制较多，对私营公司限制较少。例如美国亚马逊暂停警方使用人脸识别技术1年，美国旧金山市禁止警察和市政府使用人脸识别软件。美国联邦层面的立法尝试对政府和私营公司分开立法。“面部识别伦理法案”[2]延缓政府使用人脸识别技术：1. 国会发布指南前，没有获得法院等签发的令状，联邦执法机构不能在摄像头中使用人脸识别技术；2. 无论法律如何规定，联邦政府批给州政府和地方的资金都不能用于人脸识别技术。“2019商用面部识别隐私法案”[3]要求经过最终用户明示同意，才可以使用人脸识别技术。

   
   

2. 对识别（一对多）为目的集中存储大量人脸模板的数据库的担忧较多，对验证（一对一）为目的采用终端边缘存储技术等担忧较少。[4]人脸识别技术应用可以分为验证和识别，一般来讲，以验证为目的的数据存储可以在终端实现，而以识别为目的的数据模板需要集中存储，数据量比较大。因此，从一定程度讲，以验证为目的使用人脸识别技术的风险低于以识别为目的的人脸识别应用。前述政府通过人脸识别在公共场所进行监控等主要涉及以识别为目的的应用，微软删除的信息为始于2016年的含有10万人1000万张照片的MS Celeb人脸识别数据库。此外，以识别为目的的人脸识别应用涉及的实时动态采集场景更多，准确度低于静态活体验证的应用。

   
   

3. 通用性人脸识别慎用，小范围、具体场景、实验性、充分估量风险的人脸识别应用可行。例如美国白宫“Guidance forRegulation of Artificial Intelligence Applications（人工智能应用管理指南）”[5]建议对于人工智能制定细分行业的指南，进行试验性尝试；法国数据保护机构CNIL“FACIAL RECOGNITION for a DEBATELIVING UP TO THE CHALLENGES（法国人脸识别的报告）”[6]强调目的特定，在目的特定基础上才能讨论收集信息的比例原则、存储期限、安全性等，同时强调实验性的尝试，而非先建立宏观大框架。

   
   

四、人脸识别技术对发展人工智能的意义

在充分认知人脸识别技术风险的基础上，仍然应当回归到人脸识别技术的意义和价值。就中国来看，中国国务院在《促进大数据发展行动纲要》（2015）和《新一代人工智能发展规划》（2017）中提出，人工智能成为国际竞争的新焦点和经济发展的新引擎，数据已成为国家基础性战略资源，大数据成为推动经济转型发展的新动力和重塑国家竞争优势的新机遇。中共中央、国务院在《关于构建更加完善的要素市场化配置体制机制的意见》中将数据规定为新时代的生产要素，数据在网络和人工智能时代的作用与土地和劳动力在农业社会的作用、资本和技术在工业社会的作用相比肩。人脸识别数据是将人工智能技术应用于家居安防等典型物联网场景的不可或缺的基础资源。

从国外来看，2020年2月欧盟在《欧洲数据战略》中指出“需要足够的数据用于人工智能开发”[7]，在《人工智能白皮书》中指出“人工智能是数据经济的重要应用，数据是实现人工智能的重要驱动。”[8]欧盟将人工智能技术定位到实现欧洲领先的战略高度。

五、如何规制人脸识别技术

滥用人脸识别技术可能开启潘多拉盒子导致个人信息保护的灾难，但正确使用也将擦亮阿拉丁神灯带来科技进步的福祉。在风险可控的前提下实现人脸识别技术的价值在制度设计上需要考虑：

1. 以人为中心，给予个人充分的权利，促进公平防止歧视。在收集和使用人脸识别信息时，强调个人对其个人信息享有的权益，在给予个人充分说明的基础上由其自愿选择是否提供人脸识别信息的机会以及申请删除信息等。例如在公共场所通过摄像头拍摄人脸识别信息为“非接触”式采集，个人不一定能意识到信息正在被采集，需要增强告知和取得同意的方式。再如青少年和儿童、残疾人、少数民族、年长者、在中国的外国人等，因为涉及民族、种族、宗教信仰等敏感信息，需要有特殊保障措施防止歧视。

   
   

2. 规范和限制人脸识别技术应用的目的与场景。区别对待以验证（authentication）为目的的人脸识别技术和以识别（identification）为目的的人脸识别技术涉及的风险；对政务服务、商业利用等不同行业应用场景使用人脸识别技术的必要性进行分别评估；审慎地在真实商业实践中（非实验场景下）使用人脸识别技术识别情绪等（例如课堂表现、求职视频面试状态评估），涉及人的内心活动和私密信息，在深度应用人脸识别信息时加强伦理考量。

   
   

3. 采用特殊管理措施和技术措施保护人脸识别信息。从数据分类分级角度将人脸识别信息规定为需要特殊保护的信息；在可以仅采集面部特征关键信息或者摘要时，不采集全部面部影像信息；要求人脸识别信息与一般信息分开存储，采取更加严密的安全措施；对于涉及自动化处理人脸识别信息情形时，将人工审查或者复审设置为必经环节；在诸如打卡、门禁等商用场景，仅将人脸识别信息存储于智能终端的智能卡中等。

   
   

4. 对人脸识别信息被篡改或者泄露等加强问责。人工智能技术的安全核心要求为“可信（trustworthy）”、“负责任（responsible）”、“可问责（accountability）”。[9]从风险评估角度，人脸识别信息为面临更大风险、一旦泄露对个人权益影响更大的个人信息，因此需要加强对处理和运营人脸识别信息的主体的问责机制。同时，除了采取法律手段，需要强调伦理道德和意识培训，增强主动给予人脸识别信息特殊保护的意识。

综上：人脸识别信息是发展人工智能技术的基础数据资源，人工智能技术是不可阻挡的科技趋势。人脸识别信息的敏感度高、采集方式多样、隐蔽和灵活，需要更加严格的个人信息保护措施，防止对个人隐私和信息保护带来负面影响，防止歧视。《个人信息保护法（草案）》对人脸识别技术进行了规定，规定在共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。在此基础之上，对使用人脸识别信息的场景与目的进行更加细化的规定和限制，采用特殊管理措施和技术措施保护人脸识别信息。

[1]General Data Protection Regulation EUROPEAN PARLIAMENTAND OF THE COUNCIL, 27 April 2016（GDPR，一般数据保护条例）。

GDPR中与人工智能数据处理特别相关的规则有：1. 个人对自动化处理数据有访问知情权，了解数据处理的逻辑、通过识别分析进行的处理的结果（序言第63条）；2. 明确规定GDPR适用全自动或者半自动化的数据处理（第2条）；3. 原则上禁止处理种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据，除非满足例外情形（第9条）。对照片的处理并不能一概认为属于特殊类型个人数据的处理，只有通过允许对自然人进行唯一识别或认证的特定技术手段进行处理时，照片才被认定为生物计量数据（序言第51条）；4. 数据可携带权（第20条）；5. 有权反对包括用户画像在内的自动化决策（第22条）；6. 默认和设计的数据保护（第25条）。

[2] Ethical Use of Facial Recognition Act  A Bill - To create a moratorium on thegovernment use of facial recognition technology until a Commission recommendsthe appropriate guidelines and limitation for use of facial recognitiontechnology (S.3284), IN THE SENATE OF THE UNITED STATES, February 12, 2020（面部识别伦理法案 - 延缓政府使用人脸识别技术，除非委员会推荐使用人脸识别技术的适当指导和限制）。

该法案适用于联邦政府使用人脸识别。将人脸识别定义为通过自动或者半自动方式识别（identify）或者验证（verify）个人面部特征。实践中的问题：1. 执法机构越来越多地使用人脸识别技术，但没有充分论证及考虑其影响；2. 导致肤色、移民等不公平；3. 对妇女、孩童、非裔美国人等种族并不准确；4. 妨碍言论自由；5. 不能违背宪法第一修正案、隐私权和权利自由。禁止措施：1. 国会发布指南前，没有获得法院等签发的令状，联邦执法机构不能在摄像头中使用人脸识别技术；2. 无论法律如何规定，联邦政府批给州政府和地方的资金都不能用于人脸识别技术。

[3] Commercial Facial Recognition Privacy Act of2019  A Bill - To prohibitcertain entities from using facial recognition technology to identify or trackan end user without obtaining the affirmative consent of the end user, and forother purposes (S.847), IN THE SENATE OF THE UNITED STATES, March 14,2019（2019商用面部识别隐私法案 - 未经明示同意，禁止特定主体使用人脸识别技术识别或者追踪个人的法案）。

该法案适用于商业主体使用人脸识别，不适用于政府。将人脸识别技术定义为在静止或者视频图像中分析面部特征，且附上独特和持久的标识符或者被用于识别特定个体，其中任何面部特征数据被称为人脸识别数据。数据控制者使用人脸识别技术必需：1. 获得最终用户明示同意；2. 给予通知；2. 说明人脸识别技术。禁止用于歧视目的，禁止改变使用目的，禁止未经明示同意和非关联企业分享。例外：1. 不为人脸识别目的的个人档案管理，照片视频存储；2. 为公共利益新闻媒体对公共人物的识别；3. 紧急状况等；4. 为了一些防丢失等公共目的，可以使用人脸识别技术。不应在不易觉察的情况下，大量收集人脸信息。需要人工复查。APP等网络程序应当经第三方检测。

[4] Facial recognition technology: fundamental rightsconsiderations in the context of law enforcement  FRA – EUROPEAN UNION AGENCY FOR FUNDAMENTALRIGHTS（人脸识别技术 – 执法中的基本权利考量）。

人脸识别技术可以被应用到公共及私营部门，例如执法和边境管理，欧盟用于执法的例子较少，有一些成员国用于大型体育比赛、交通枢纽、庆典等场景测试或者使用。有官方资助的人脸识别项目。

全球最大的警用摄像头供应商企业（Axon）今年宣布它将不在其任何产品中布署人脸识别技术，美国旧金山市以及其他城市也禁止使用该技术，因为过度的侵犯性会影响人们的隐私，也是为了避免执法机构的滥用。

人脸识别不限于以下几种典型场景：1. 验证（Verification，一对一）；2. 识别（Identification，一对多），包括动态识别，因为识别环境不稳定，容易出错；3.分类（Categorization，匹配一般特征），可用于用户画像；4. 进一步的应用包括情绪、性取向等。

人脸识别引发的问题包括：涉及人的基本权利（隐私和信息保护、透明度、目的限制、采集成比例信息、防止歧视、言论自由和“寒蝉”效应、善政与救济）、容易引发歧视（例如肤色），容易不被觉察的捕获，不容易更改，深度伪造，技术导致误识别或者没有识别到等。

[5] Guidance for Regulation ofArtificial Intelligence Applications WHITE HOUSE （人工智能应用管理指南）。

采用法律与非法律管理路径，管理同时增加人工智能应用与活力创新生态打造，保护个人权利。要点为：1. 鼓励人工智能创新和发展；2. 人工智能应用原则包括公众信任，公众参与，科学水准与信息质量，风险管理，权衡利弊，灵活性，公平非歧视，披露和透明，保障和安全，部门间联动。

[6] FACIAL RECOGNITION for a DEBATE LIVING UP TO THE CHALLENGES CNIL （法国人脸识别的报告）。

人脸识别是生物识别的一种，是一种概率软件应用程序，通过将人脸和预先采集的人脸模板比对实现验证和识别等功能，通过与其他信息结合，可以识别到个人身份。摄影和视频图像并不必然构成人脸识别，例如仅仅检测表情、轮廓等。

用于验证和识别目的的人脸识别技术引发的考量并不相同，例如验证可能仅涉及存储在终端，而识别将实时不被察觉地采集数据与大量集中存储于数据库。

个人识别的应用方式包括：自动识别图像中的人物以识别其社交网络，银行提款访问，跟踪乘客，追踪嫌疑人，公共场所监视、追逃等。要特别重视使用目的，在此基础上才可以讨论比例原则、存储期间、安全性等。

人脸识别的风险包括：1. 处理敏感数据；2. 非接触式数据采集方式容易获取数据；2. 大规模监控带来的负面效应；3. 因为光线、角度、成像质量和分辨率等技术问题会带来重要影响、偏见，并不完全可靠。

为了克服这些风险，需要考虑：1. 在测试之前就要划清红线，例如禁止进出校园的学生人脸识别，或者满足条件才可以进行；2. 人本为核心，包括同意、控制权、透明度等；3. 采用实验性方法逐步尝试，而非建立一个大框架。

[7] A European strategy for data  19 February, 2020 (欧洲数据战略)。

阻碍欧洲在数据经济中潜力的重大风险在于成员国的割裂，因素包括：1. 需要足够的数据用于人工智能开发，例如为公共利益目的获得数据，开放政务数据，企业数据共享，政府使用企业数据；2. 大平台的数据优势使得中小企业访问数据时市场力量失衡；3. 人工智能数据可操作性差；4. 加强数据治理；5. 减少欧洲对数据基础架构和技术（例如云服务）依赖，欧洲供需两侧均不占优；6. 个人信息主体行使权利的技术工具和标准缺乏；7. 数据劳动力不足；8. 网络安全、边缘存储、区块链等新技术挑战。

[8] WHITE PAPER - On Artificial Intelligence - AEuropean approach to excellence and trust  EUROPEAN COMMISSION, February 19, 2020（人工智能白皮书）。

人工智能是数据经济的重要应用，数据是实现人工智能的重要驱动。未来将从集中存储数据转向多个设备非集中存储，这有利于欧洲，因为欧洲to B业务强，而to C并不占优。人工智能是增强欧洲竞争力的契机。

欧洲需要建立信任的生态系统，对于高风险行业所实施的高风险行为以及识别出的高风险行为，如使用人工智能技术进行远程生物识别及其他侵扰性质的监控技术，需要符合强制性要求，但是高风险和其他风险的界限并不明晰。

强制性要求具体包括：第一，防止训练数据歧视；第二，记录和存储训练数据算法，可回溯且可查验；第三，保障透明度，防止黑匣风险；第四，人工智能健壮性、负责人，降低风险；第五，为实现以人为本、合乎伦理、可信任的目标，应当包含人类的监督；第六，远程使用生物识别技术应当遵守 GDPR 等特定规定。

[9]ETHICS GUIDELINES FOR TRUSTWORTHY AIHigh-Level ExpertGroup on Artificial Intelligence, April 8, 2019（可信人工智能伦理指南）

可信人工智能应当具备合法、合乎伦理、具有健壮性（robust）三个特性。其中伦理部分的原则包括：尊重人类自治、防止危害、公平和明晰。需要特别关注弱势群体（儿童、残疾人、雇员、消费者）。人工智能的风险难以预料和估量。

可信人工智能有七个要求：人类参与（Agency）和监控（Oversight）、技术健壮性和安全、隐私和数据治理、透明度、多样性和非歧视与公平、环境和社会共益、可问责。其中，隐私和数据治理强调AI系统所有阶段和全生命周期数据管理，包括用户主动提供和系统产生的数据，保证数据质量完整性、强调数据访问权限；透明度强调数据记录和可追溯、可解释。

传染病疫情防控与个人信息保护系列文章

1. 传染病疫情防控与个人信息保护初探之一：个人信息的性质
   

2. 传染病疫情防控与个人信息保护初探之二：同意的例外

3. 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

4. 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

5. 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范

6. 传染病疫情防控与个人信息保护初探之六：GDPR框架下的公共卫生数据共享

7. 传染病疫情防控与个人信息保护初探之七：美国公共卫生机构的数据调取权力

8. 传染病疫情防控与个人信息保护初探之完结篇：解读中央网信办通知

9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总（DPO社群出品）

10. 美国疫情防控中的关键基础设施的识别和认定（DPO社群出品）

11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）

12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译（DPO沙龙出品） 

13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

15. 疫情防控常态化中的接触追踪：中国方案

16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译（DPO社群出品）

17. 来自欧洲的接触追踪协议（ROBERT Protocol）的基本原理：漫画图解

18. 英国信息专员对苹果谷歌接触追踪项目的官方意见：全文翻译（DPO社群出品）

19. 三百名学者关于接触追踪APP的联合声明

20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

22. 韩国利用ICT抗疫经验总结：接触追踪部分（中文翻译）

23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱（DPO沙龙出品）

美国电信行业涉及外国参与的安全审查系列文章

1. 美国电信行业涉及外国参与的安全审查（一）：基本制度介绍

2. 美国电信行业涉及外国参与的安全审查（二）：国际性的第214节授权

3. 美国电信行业涉及外国参与的安全审查（三）：建立外国参与安全审查的行政令

4. 美国电信行业涉及外国参与的安全审查（四）：FCC对中国企业的陈述理由令

中国的网络安全审查系列文章：

1. 网络安全审查制度利刃出鞘

2. 对《网络安全审查办法（征求意见稿）》的几点观察

3. 网络安全审查制度吹响了向网络安全强国迈进的号角

4. 我国网络安全审查制度走向前台

5. 网络安全审查的中欧比较：以5G为例

6. 网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨：以5G安全为例

自动驾驶系列文章：

1. 自动驾驶数据共享：效用与障碍

2. 自动驾驶数据共享：效用与障碍（附文字实录）

3. 北京市关于自动驾驶车辆道路测试的立法综述及动态（DPO社群成员观点）

4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡（DPO社群成员观点）

5. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

欧盟“技术主权”进展跟踪系列文章：

1. 技术主权视野下的欧盟数字化转型战略探析（DPO社群出品）
   

2. 欧盟委员会主席首提“技术主权”概念

3. 推进欧洲可持续和数字化转型：《欧洲新工业战略》解读（DPO社群成员观点）
   

4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架
   

数据安全法系列文章：

1. 对《数据安全法》的理解和认识 | 立法思路

2. 对《数据安全法》的理解和认识 | 数据分级分类

3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

4. 对《数据安全法》的理解和认识 | 重要数据如何保护

个人数据与域外国家安全审查系列文章

1. 个人数据与域外国家安全审查初探（一）：美欧概览

2. 个人数据与域外国家安全审查初探（二）：CFIUS实施条例详解

3. 个人数据与域外国家安全审查初探（三）：从美国《确保ICT技术与服务供应链安全》        

4. 个人数据与域外国家安全审查初探（四）：从美国《2019年安全与可信通信网络法案》看

5. 个人数据与域外国家安全审查初探（五）：禁止中国公司对StayNTouch的收购

6. 个人数据与域外国家安全审查初探（六）：《2019国家安全和个人数据保护法案》

7. 个人数据与域外国家安全审查初探（七）：美国众议院荒唐的决议草案

8. 个人数据与域外国家安全审查初探（八）：《2020安全的5G和未来通信》法案

9. 个人数据与域外国家安全审查初探（九）：澳大利亚《协助和访问法》

10. 美国司法部狙击中国内幕（Inside DOJ's nationwide effort to take on China）
    

11. 美国司法部“中国计划”的概况介绍

12. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

13. 理解特朗普禁令中的Transactions

14. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

15. 《国际紧急经济权力法》（IEEPA）的起源、演变和应用

16. 个人数据与域外国家安全审查 | 美国安局对地理位置信息的建议（全文翻译）

17. 外媒编译 | 诡秘的美国外国投资委员会如何成为贸易战的有力武器？

围绕着TIKTOK和WECHAT的总统令，本公号发表了以下文章：

1. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

2. 理解特朗普禁令中的Transactions

3. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

4. TikTok和甲骨文合作中的“可信技术提供商” | 微软和德国电信合作的模式

5. TikTok和甲骨文合作中的“可信技术提供商” | 苹果和云上贵州合作模式

6. 外媒编译 | TikTok 零点时间：最后一刻的交易

7. TikTok和甲骨文合作中的“可信技术提供商” | 来自EPIC的质疑和两家公司的回复
   

美国方面的个人信息保护立法：

1. 美加州消费者隐私法案（CCPA） 修正案汇总中译文（DPO沙龙出品）

2. 美国联邦隐私保护立法草案研究（一）：“行为个性化”

3. 美国联邦隐私保护立法草案研究（二）：“个人敏感信息”

4. 美国联邦隐私保护立法草案研究（三）：“个人敏感信息”的保护规则

5. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

6. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

7. 美国隐私立法 | 加州《CCPA实施条例》全文翻译（DPO社群出品）
   

中国个人信息保护立法系列文章

1. 中国个人信息保护立法 | 《个人信息保护法(草案)》与GDPR的比较

2. 中国个人信息保护立法 | 合同所必需：魔鬼在细节之中

第29条工作组/EDPB关于GDPR的指导意见的翻译：

1. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)
   

2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）
   

3. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

5. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

7. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

9. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

10. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

12. EDPB | 《对第2016/679号条例（GDPR）下同意的解释指南v1》中文翻译（DPO社群出品）

13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译（DPO社群出品）

14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译（DPO社群出品）

15. EDPB | 《GDPR下数据控制者及数据处理者概念的指南（07/2020）》全文翻译

16. EDPB | 《针对向社交媒体用户定向服务的指南（第8/2020号）》全文翻译
    

关于美国出口管制制度，本公号发表过系列文章：

1. 美国出口管制制度系列文章之一：对“外国生产的产品”的相关规则

2. 美国出口管制制度系列文章之二：适用EAR的步骤

3. 美国出口管制制度系列文章之三：苏联油气管道的“华为”事件

4. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准

5. 美国出口管制 | BIS发布针对“基础性技术”出口管制的“拟议制定规则预先通知”

6. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

7. 美国出口管制 | ARM+美国公司收购=更强的出口管制？

数据跨境流动的文章如下：

1. 构建数据跨境流动安全评估框架：实现发展与安全的平衡

2. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（二）

3. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（三）

4. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（四）

5. TPP对跨境金融数据“另眼相看”？

6. 马来西亚拟将我国认定为个人数据跨境流动“白名单”地区

7. 美国ITIF关于数据跨境流动的研究报告简介

8. Chatham House举办Cyber 2017大会，关注中国数据跨境流动

9. 俄罗斯个人信息保护机构对隐私政策和数据跨境流动的新举措

10. 看清APEC“跨境隐私保护规则”体系背后的政治和经济

11. 敬请关注“闭门会-数据跨境流通”

12. “闭门会：数据跨境流动政策分析” 总结

13. 欧盟个人数据跨境流动机制进展更新（截止201810）

14. 俄罗斯数据本地化和跨境流动条款解析

15. 亚洲十四个国家和地区数据跨境制度报告中译本（DPO社群出品）

16. 《个人信息和重要数据出境安全评估办法》实现了安全与发展的平衡

17. 数据出境安全评估：保护我国基础性战略资源的重要一环

18. 个人信息和重要数据出境安全评估之“境内运营”

19. 《数据出境安全评估：保护我国基础性战略资源的重要一环》英文版

20. 个人信息和重要数据出境安全评估之“向境外提供”

21. 数据出境安全评估基本框架的构建

22. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

23. 《网络安全法》中数据出境安全评估真的那么“另类”吗

24. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路

25. 《个人信息出境安全评估办法（征求意见稿）》解读：从中外比较的角度

26. 数据跨境流动 | 澳大利亚政府提出新的数据本地化要求

27. 数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑

28. 数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答（全文翻译）

29. “清洁网络计划”下的APEC跨境隐私保护（CBPR）体系

30. 数据跨境流动 | 爱尔兰DPA即将禁止FACEBOOK的数据跨境传输

31. 数据跨境流动 | 最新判决将显著影响英国与欧洲大陆之间的数据自由流动

32. 数据跨境流动 | 爱尔兰高等法院暂时允许Facebook继续个人数据跨大西洋传输

33. 数据跨境流动 | 中国公司基于SCCs开展数据跨境流动的基本策略

34. 数据跨境流动 | 美国三位高官就Schrems II判决公开向欧盟喊话

35. 数据跨境流动 | 欧盟EDPS官员敦促美国强化个人救济以达到“实质等同”

36. 数据跨境流动 | 美国政府白皮书正式回应欧盟Schrems II判决

37. 数据跨境流动 | EDPB关于标准合同条款之外的“补充措施”的指南终于问世

38. 数据跨境流动 | EDPB提出“评估目的国法律环境”的指南（全文翻译）

39. 数据跨境流动 | 微软率先提出对欧盟数据的专属“保护措施”

供应链安全文章：

1. 供应链安全 | 白宫发布关于降低依赖外国对手的重要矿产的行政令

2. 供应链安全 | 美国从科技供应链中剔除中国行动的内幕（外媒编译）

3. 供应链安全 | 英国政府推进《电信（安全）法案》以确保供应链安全