查看原文
其他

数据跨境流动 | 推进“一带一路”数据跨境流动的中国方案(专论)

洪延青

非常感谢《中国法律评论》刊登公号君的拙作。至此,公号君关于数据跨境流动专论三部曲专论已经完成,算是对过去的研究有了个交代。谢谢各位的关注和支持。

The following article is from 中国法律评论 Author 洪延青



目前,欧盟将自己的数据保护模式奉为圭臬,坚持要求其他国家向其看齐,方可与欧盟进行数据流动。美国则从政治经济利益出发,通过推行基于低水平保护的数据跨境流动模式实现数据向美国汇聚,在巩固和强化美国公司对全球数据掌控的同时,压缩了各国自主选择数据保护水平的规制空间。美欧划定数据流动“小圈子”的做法,并不符合中国倡导共建“一带一路”的指导精神。


中国应当在尊重各国主权、安全、发展利益的前提下,通过双多边数据保护合作,切实促进基于“一带一路”的数据跨境流动,充分释放国际合作发展的潜力。


目次一、美国的数据跨境流动范式二、欧盟的数据跨境流动范式三、基于“一带一路”的中国数据跨境制度构想四、结语


本文原题为《推进“一带一路”数据跨境流动的中国方案——以美欧范式为背景的展开》,首发于《中国法律评论》2021年第2期专论(第30-42页),原文13000余字,为阅读方便,脚注从略,如需引用,请参阅原文。


公号君的另外两篇专论分别是:

  1. 数据出境安全评估基本框架的构建

  2. 数据跨境流动 | “法律战”漩涡中的执法跨境调取数据:以美欧中为例



从2013年中国国家领导人提出共建“丝绸之路经济带”和“21世纪海上丝绸之路”的重大倡议,中国就致力于从“政策沟通、设施联通、贸易畅通、资金融通、民心相通”五个重点方面推动“一带一路”的建设和发展。截至2021年1月30日,中国已经同140个国家和31个国际组织签署205份共建“一带一路”合作文件。从地理上看,这些国家遍布亚洲、非洲、大洋洲、欧洲、南美洲、北美洲。在万物互联的智能化时代,“一带一路”除了通信线路的互联互通,必然还伴随数据在“一带一路”之上的跨境流动。


目前,美欧都通过多种举措组合的方式,在全球范围内推行符合其价值观和政治经济利益的数据跨境流动“小圈子”。而我国随着网络安全法的生效,以及《数据安全法(草案)》《个人信息保护法(草案)》向社会公开征求意见,数据跨境流动制度最终方案也呼之欲出。本文将讨论在美欧数据跨境流动范式的影响下,我国为推进“一带一路”数据跨境流动可提出的方案。


美国的数据跨境流动范式


近年来,美国一直借助亚太区域经济合作不断深化自身在数据跨境流动规则制定的话语权,在各个国际场合始终推行以亚太经济合作组织(APEC)的隐私框架(APEC Privacy Framework,APEC隐私框架)为基础构建的跨境隐私规则体系(Cross Border Privacy Rules, CBPRs)。


例如,2017年9月,美国向WTO贸易服务委员会提交了针对我国网络安全法的文件,重点针对的即《网络安全法》第37条所规定的数据出境安全评估制度。在该份文件中,美国认为我国网络安全法所规定的数据跨境安全评估制度将“产生非常繁重的义务要求,阻碍商业运作,对隐私保护也并无裨益”;而目前“已经存在实现隐私保护的且并不烦琐(less burdensome option)的其他选择,包括国际跨境隐私保护框架,例如中国支持的APEC跨境隐私规则”。


及至2020年,外媒报道美国在6月召开的APEC事务级别磋商中,提议将CBPRs体系独立于APEC框架外,从而让巴西等非APEC成员也有加入的可能,不过其目的更可能是将本为APEC成员的中国排除在外,尤其是排除中国参与推进规则的制定。可以看出,APEC的CBPRs制度代表了美国在国际层面对数据跨境流动的利益诉求。同时,在美国国内法层面,美国外国投资委员会(CFIUS)对外商投资审查越来越展现出防范特定国家实体通过投资美国企业得以访问数据的倾向。


因此,本节将从制度设计逻辑、实施情况、政治经济衡量等多个角度对CBPRs进行深入分析,并结合对外商投资审查制度的分析,提炼美国在数据跨境流动方面的总体战略。


1.CBPRs的制度设计逻辑


CBPRs的宗旨是通过特定的机制保障APEC隐私框架中九大原则在成员经济体中得到实现,为亚太地区的个人信息隐私保护提供指导性原则和标准,最终促使区域内个人信息在得到保护的基础上实现无障碍流动,推动亚太地区跨境电子商务的发展。究其实质,CBPRs促进个人数据跨境流动的基本逻辑是,如果位处于不同国家的不同公司,统一承诺并遵循APEC隐私框架提出的九大个人数据保护原则,则个人数据在这些公司之间流动就应该不受阻碍。相应地,由于这些公司都通过同一套原则来保护个人数据,那参与CBPRs的国家就不得再以保护个人数据为理由,阻碍个人数据的跨境流动。


因此,整个CBPRs制度提供的个人数据保护水平,有赖于APEC隐私框架。如果要参与CBPRs,则特定经济体需要首先对此认同。但事实上,APEC隐私框架所提供的个人信息保护水平十分有限。


按照国际个人信息保护的顶尖学者格林利夫(Green leaf)教授的研究,个人信息保护立法已经历经了两代,目前很可能进入了第三代。


第一代个人信息保护立法的典型是经济合作与发展组织(OECD)在1980年发布的《隐私保护和个人数据跨境流动指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data,以下简称“OECD指南”)和欧洲理事会(Council of Europe)1981年发布的“第108号公约”。两份文件在内容上有很大程度重叠,并共同定义了现代意义上的“个人信息保护法”应具备的基本内容。


第二代个人信息保护原则的代表性立法就是欧盟95年的指令。其在第一代原则的基础上进行了扩展,加入了包括“数据最小化”“删除”“敏感信息”“独立的个人信息保护机构”等十个要素。


第三代个人信息保护原则的代表性立法还是由欧盟主导的,即《通用数据保护条例》(General Data Protection Regulation, GDPR)。GDPR与第二代立法相比又有了扩展,新增内容包括“数据保护官”“数据保护影响评估”“发生数据安全事件后对数据保护机构的报告和对个人的通知”“数据可携带权”等。


2004年问世的APEC隐私框架从一开始就建立在OECD指南的基础之上,其在前言部分明确提及“本框架与1980年OECD指南的核心理念保持一致”。虽然OECD指南在2013年发布了新版的隐私框架,但是内容没有太大的改动,主要是增加了“建立数据保护机构”“发生数据安全事件后对数据保护机构的报告和对个人的通知”“问责原则”等内容。


紧随着OECD指南的修改步伐,APEC隐私框架在2016年的改动也主要是向2013年版本的OECD指南看齐。因此,从前文勾勒的代际演进来看,APEC隐私框架中包含的九大原则以及OECD指南,很大程度上依然“冻结于20世纪80年代”,因此属于第一代个人信息保护立法的水准。


2.CBPRs的实施情况


CBPRs在2012年正式启动,向APEC经济体开放。目前,其官方网站上声称美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚、中国台湾、菲律宾等九个经济体已经加入。显然,这九个经济体均可算是美国的盟友国家或地区。但CBPRs在其官网上也承认:“目前,总部设在日本、韩国、新加坡和美国的公司均可获得CBPRs认证。”换句话说,另外5个国家或地区并没有实际开始CBPRs认证的运营。


特别值得注意的是,墨西哥是从2013年就决定加入CBPRs,加拿大是2015年决定加入,但是两个国家拖延了这么长的时间,还没有指定问责机构(accountability agent),所以即便两个最早加入的国家到现在为止都尚未开始运作CBPRs体系,不免让人困惑这背后的原因。


从取得CBPRs认证的企业情况来看,到目前为止,取得CBPRs认证的企业数量为36家,其中有3家日本公司,2家新加坡公司,其余为美国公司。与之形成鲜明对比的是,在欧美隐私盾协议被推翻前,共有5000余家企业加入其中。显然,从参与企业数量来看,差距异常明显。企业如此低的参与度,显然不能简单用APEC经济体之间的贸易量低于美欧之间的贸易量来解释。


3.CBPRs的政治经济考量


美国不懈地推进CBPRs近十年之久,但无论是参与的经济体数量,还是参与的企业,都乏善可陈,恰恰反映了CBPRs在政治经济考量方面并不符合很多国家的利益。换句话说,CBPRs过于彰显了美国的利益。


一方面,CBPRs体系提供的个人数据保护水平实际上仅符合了美国国内目前的隐私立法现状。仍然从前文所述的个人数据立法代际演进的视角来看,“没有哪个APEC经济体维系了与APEC隐私框架持平的低水平个人数据保护立法”。就连已经参与CBPRs的九个经济体,除美国外,其国内立法已经持平或超越第二代立法。在回顾2013年OECD指南更新的过程时,格林利夫教授直言,“在美国尚未能生效自己的全面数据保护立法时,OECD指南(1980年和2013年版本)中的原则已经是美国在国际协议中所能接受的最大限度的隐私保护水平”。


另一方面,参与CBPRs意味着经济体必须放弃对数据出境提出符合其国内水平的保护要求。从原理上来说,一个国家的数据保护制度,一般来说包括两部分,一部分是数据在国内的保护,另一部分是数据跨境制度。综观各国立法和实践,后者的目的不外乎保障数据出境后还享有和国内相同或相似的保护水平。而一旦参与了CBPRs,一个对国内数据保护提出高要求的经济体,在数据跨境时,就不能再要求接收方或接收国的数据保护水平与自身等同或相似,转而只能接受CBPRs提供的第一代个人数据保护立法所提供的保护水平。


这方面最明显的例子是韩国。在全亚洲范围内,韩国的个人信息保护法可谓非常严格,但在加入CBPRs后,当境外获得CBPRs认证的数据接收方只提供了低水平个人数据保护时,韩国也不能禁止数据向其流动。这也是为什么在加入前,韩国必须修改自己国内的法律以适应CBPRs的要求。


综合上述两方面看,美国政府极力宣扬CBPRs体系,并拉拢其坚定盟友的加盟,其核心实质是——通过建立于低水平保护的个人信息跨境流动秩序,确保各国家不会用“自身国内提供了高水平保护”为理由而限制个人信息的跨境流动,最终实现个人信息向美国或美国公司的汇聚。


CBPRs体系使美国目前的个人信息保护水平事实上成为个人数据跨境流动的“金标准”。在有关CBPRs宣讲会中,美国官员极力宣扬CBPRs的好处是参与国家不需要通过、修改自己的国内法;CBPRs可以和各国家国内的个人信息保护法律并行不悖,其潜台词无非是CBPRs制度不像欧盟,无论是在充分性认定的谈判中,还是在美欧之间隐私盾的谈判中,都需要其他国家修改自己的法律向欧盟靠拢,或承诺按照欧盟水准开展数据保护。


但事实上,美国官员有意或无意地模糊了一个非常重要的区分:


CBPRs虽然没有要求参与国修改或降低自己在国内对个人数据的保护水平,但是它强制参与国在管控个人信息出境时,不得要求第三国的数据接收方提供超过APEC隐私框架水准的数据保护水平。


4.美国对外国投资的审查


2018年,美国对外国投资审查制度进行重大改革,颁布《外国投资风险评估现代化法案》(以下简称FIRRMA法案),旨在大幅度扩张美国外国投资委员会(CFIUS)的审查权限,对外国投资者在美国的投资实施更严格监管审查。在FIRRMA法案框架下,CFIUS管辖范围扩张到一些非控制性的投资上。根据美国财政部在2020年生效的“FIRRMA实施条例”中进一步明确,如果满足以下两个条件,该非控制性投资即受CFIUS的管辖:一是涉及某些特定行业的美国企业;二是赋予外国人(foreign person)某些特定权利。


具体来看,CFIUS对非控制性投资的扩大管辖,就网信领域来说,主要是对涉及关键基础设施(critical infrastructure)、关键技术(critical technology)及敏感个人数据(sensitive personal data of United States citizens)的美国企业(以下简称为TID企业)的外国投资。


同时,根据FIRRMA法案,CFIUS所管辖的对美国TID企业的非控制性投资,赋予外国人的某些特定权利主要是指下列权利之一:其一,能够访问任何“重大非公开技术信息”;其二,获得美国商业实体的董事会(或起到类似管理功能的机构)的成员资格或观察员权利,或提名某人担任董事会(或起到类似管理功能的机构)职位的权利;其三,除了通过股权投票外,能够参与到美国商业实体重大决策,如涉及美国公民个人敏感信息的使用、开发、获取、保护或披露,关键技术的使用、开发、获取或披露,或对关键基础设施的管理、运营、制造或供应。


在CFIUS得到强化后,美国政府也不吝使用,特别是针对来自中国的投资。2019年,因为个人数据原因,CFIUS要求我国两家企业出售已控股的PatientsLikeMe(一家为促进疾病诊断和治疗而将患有相似疾病的患者联系起来的在线服务平台)和Grindr(在线交友软件)。同样是个人数据原因,2020年3月,CFIUS要求北京中长石基信息技术有限公司剥离其已经完成的对美国酒店物业管理软件公司StayNTouch的收购。到2020年年中,CFIUS要求字节跳动科技有限公司剥离对Music.ly的投资。及至2020年8月5日,美国政府宣布所谓的“清洁网络计划”。


按照美国政府的说法,该计划是“特朗普政府为保护美国公民的隐私和美国公司最敏感的信息,使其免受中国共产党等恶意行为者的侵略性入侵而采取的综合性策略”。具体来说,“清洁网络计划”包括:清洁的运营商、清洁的应用商店、清洁的移动应用、清洁的云、清洁的光缆。


无论是CFIUS还是清洁网络计划,均是美国通过国家安全例外限制数据被“非美国人”(non U.S person)所访问。换句话说,美国政府现在着力于限制数据流向特定的主体,而对数据流向特定的地区并不那么在意,只要数据持续处于“美国人”的控制之中。


5.小结


总结前文所述,可提炼出美国在数据跨境流动的主要范式:一方面通过在国际层面推行基于低水平保护的CBPRs体系,使其在无须改动其国内立法的情况下,能够尽可能将数据汇聚回美国国内,极大地方便美国跨国公司全球统一运营;另一方面,数据在通过CBPRs体系为美国跨国公司掌握之后,再通过美国国内外商投资审查等制度避免因投资事由导致数据为特定国家实体所访问。换言之,美国政府通过制度性工具同时做到数据方面的“开源”和“节流”,两者相互配合极大强化、巩固了美国企业在全球研发和运营中的优势地位。


欧盟的数据跨境流动范式


最完整体现欧盟数据跨境流动范式的无疑是2018年5月正式实施的《通用数据保护条例》(GDPR)。但本节对欧盟的分析不拘泥于GDPR条文本身,而是深入分析上届欧盟委员会实施GDPR跨境制度的核心诉求、欧盟法院(CJEU)推翻隐私盾协议的缘由,以及本届欧盟委员会提出的技术主权概念,以此勾勒出欧盟在当下及近期将会采取的数据跨境流动范式。


1.GDPR数据跨境流动制度的基本逻辑


GDPR第44条规定了欧盟个人数据跨境流动的基本原则,核心是确保在跨境传输的情形中,GDPR提供的个人数据保护水平“不会减损”(not undermined)。也就是说,GDPR提供的保护水平应该随着个人数据的流动而流动(follow the data)。按照GDPR的逻辑,个人数据受保护是一项基本人权。因此,个人信息在跨境场景下的保护,也主要是为了保障个人合法权益,即便数据已经流出了国境。


在GDPR看来,数据流出国境,与数据在境内流动相比,有三个主要的变化:一是数据流出后适用的法律法规不同了;二是原境内监管机关无法对接收数据的境外主体实施管辖权;三是个人数据主体维护自身合法权益的渠道变少了,且变得更加困难。因此,GDPR数据跨境流动制度的设计,主要着力于解决上述三方面问题。在具体制度设计方面,GDPR在第五章规定了丰富的数据跨境传输机制,由于认证、行为准则等机制尚未正式实施,本节将重点讨论标准格式合同条款、有拘束力公司准则以及充分性认定三种机制。


根据GDPR的规定,标准格式合同条款(Standard Contract Clauses, SCC)是由欧盟委员会或监管机构通过的、企业与企业之间将欧盟公民个人数据跨境传输到欧盟境外所采用的合同模板。SCC通过固定数据出境后所受保护原则,决定数据出境后所受保护水平。同时,SCC也引入问责制,通过法律责任划分的形式,将境内组织明确为主要问责主体,为境内监管机关追究责任提供了便利。当然,境内主体也可以通过合同的形式,继续追究境外主体的责任。此外,SCC还在其合同中规定了个人数据主体可以基于合同拥有一些特定的权利。


有约束力的公司准则(Binding Corporate Rules, BCR),主要适用于跨国公司、集团公司,也是着力于上述三个方面。跨国公司、集团公司可制定约束企业内部之间进行数据跨境传输的个人数据保护规则,如果欧盟认可BCR提供的数据保护水平,便可以在集团内部进行数据跨境传输,无须另行批准。BCR的保障机制在于即便跨国分公司所在国家的保护水平比较低,则该分公司还是需要遵守BCR,根据BCR规定的原则提供数据保护。


具体来说,特定公司在提交BCR申请时,需要确定主申报国家。一旦主申报国家确定,则以该公司在主申报国家的主体作为承担有关于数据出境的所有法律责任的主体——监管机关、个人数据主体,均可以通过境内的公司主体来追究法律责任。


充分性认定是GDPR核心的数据跨境流动机制,只有数据接收方所在国家具有与欧盟实质等同的个人数据保护水平,数据方可向其进行跨境传输。在GDPR第45条明确指出在进行充分性认定时所考虑的相关因素,包括法治和基本人权保护程度、是否存在独立且有效运转的监管机构等。对某个国家或地区进行充分性认定,就意味着对该国家或地区法律法规的认可;意味着认可该国家或地区监管机关对数据保护的执法力度;也意味着对个人行使权利便利程度的认可。因此,充分性认定是个非常慎重的过程,需要全方面的考察。


目前,欧盟确认安道尔、阿根廷、加拿大(商业组织)、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士和乌拉圭等国家或地区具有同等数据保护水平。


此外,GDPR第49条也规定了基于公共利益、为提起、行使或抗辩法律诉求等例外情形,或者仅涉及偶发、少量数据的跨境流动情形,允许在欠缺前述三种机制条件下,进行数据跨境流动。


2.上届欧盟委员会对GDPR跨境制度的政治经济考量


从前文分析来看,GDPR数据跨境流动制度似乎无关政治经济考量,而仅仅关注个人合法权益保护。但2017年1月10日欧盟委员会对外发布的一份通信《在一个全球化的世界中交换和保护个人数据》,展现了欧盟委员会如此制度设计的另外一个视角。


在这份发向欧洲议会和欧盟理事会的通信中,欧盟委员会阐述了实施GDPR数据跨境流动制度时的四项意图。


一是抓住时机让世界向欧盟看齐。欧盟委员会指出,虽然各国对个人数据保护的路径、立法发展存在差异,但近年来展现出一种趋同——普遍接纳了一些重要的数据保护基本原则。显然,不同的数据保护体系能够更好地相互兼容是件好事,有助于数据的全球自由流动。于是欧盟委员会提出,欧盟应抓住这样的机会,通过推动法律体系趋同,达到推广欧盟数据保护价值和促进数据流动的目的。


二是欧盟的个人数据保护体系和改革理应是世界的标杆。欧盟以GDPR为代表推进个人数据保护改革,赋予数据主体更多的自主控制权,是在数字经济中增强消费者信任的正道,并且GDPR以条例的形式,统一在欧盟境内适用,降低了公司在不同成员国内的合规成本。同时,欧盟成功地结合了最高水平的个人数据保护和开放的国际数据流动,有潜力成为能够同时提供自由流动和信任的数据服务中心。


三是个人数据保护是不容谈判的。在通信中,欧盟委员会多次用了强硬的措辞。例如,隐私不是可以交易的商品;尊重隐私,是稳定、安全、竞争性的全球商业流动的前提条件。在数字时代,高水平的数据保护,应当与国际贸易携手发展。当然,这不是意味着欧盟就放弃数字贸易发展:虽然在贸易协定中,个人数据保护是不容谈判的,但欧盟的数据保护体系提供了一系列不同的工具,可以在高水平保护的同时满足不同场景下数据流动的需求。


四是推动世界向欧盟看齐的最重要抓手是用好“充分性认定”。欧盟委员会在通信中指出,一旦对某个国家给予了“充分性认定”,数据流动到该国就相当于数据在欧盟内部流动,该国也就获得了进入欧盟单一市场的特权(privileged access);尤其是在充分性认定所带来的特权,欧盟委员会在通信中勾勒出是否启动对某个国家的“充分性认定”进程,所考虑的主要方面,包括特定国家与欧盟之间的商贸关系、数据流动情况,特定国家在其所在区域中是否是隐私和数据保护的“领头羊”,以及特定国家与欧盟的政治关系,特别是是否秉持共同的价值和目标。基于上述考虑,2017年开展“充分性认定”对话时,欧盟委员会在东亚首选日本和韩国,并根据印度在数据保护中的立法进步情况,视情决定是否和印度开展对话。


总结此份通信,欧盟委员会将如何战略性地发挥GDPR数据跨境流动制度的功能可见一斑:想要获得来自欧盟的数据,只能向欧盟靠拢,不仅是法律制度和保护水平,而且是基本价值观和总体政治关系。因此综合来看,在亚太地区先是日本、韩国、印度向欧盟靠拢,而秉持不同价值观的中国则暂不被考虑。随后事态的发展也印证了这份通信的观点。近年来,欧盟和日本达成了充分性认定,和韩国的谈判也取得了显著的进展。


3.欧盟法院推翻隐私盾协议


2020年7月16日,欧盟法院就备受关注的SchremsⅡ案作出判决,认定因美国数据保护水平未能达到欧盟标准,欧盟与美国在2016年达成的美欧数据跨境转移机制“隐私盾协议”无效,同时确认欧盟SCC继续有效。这是欧盟法院继2015年认定“美欧安全港框架”(EU-US Safe Harbor Framework)无效以来,废止的第二项美欧间个人数据跨境转移机制。


欧盟法院判决的核心论据在于美国政府根据《外国情报监视法》第702条和《12333号美国情报活动行政令》开展情报监视活动,认为美国把国家安全、公共利益和执法的要求放在首位,其国内法对公权力调取数据的限制,与欧盟类似的法律限制不匹配,主要体现在数据调取不符合比例性原则,监控项目也不符合“严格必要”的原则,没有提供对可能成为目标的非美国人员的保障,未赋予数据主体在法院针对美国当局提起诉讼的权利。因此,美国企业即使加入“隐私盾”,也无法摆脱这些美国法的约束。故“隐私盾协议”无法为欧盟转移到美国的个人数据提供充分保护。


但与此同时,在判决中欧盟法院却支持SCC继续有效。欧盟法院认为,虽然SCC作为合同只能约束数据进出口双方,不能约束数据接收国的政府公共机构,但并不必然导致SCC失效。数据接收国的政府公共机构出于“民主社会”下的国家安全、国防、公共安全目的对个人数据在“必要程度”下的数据访问,并不与SCC冲突。SCC条款的有效性取决于是否具有一个有效的机制确保实践中个人数据在接收国得到欧盟同样标准的保护,以及在SCC的条件不能被遵守时,双方是否会立即中止或禁止数据转移。欧盟法院认为SCC已经建立了这一有效机制。


欧盟法院还特别指出,数据出口方和接收方都有义务,“一事一议”地在数据跨境前去评估第三国是否提供充分数据保护水平;必要时,可以增加额外的保护措施。数据接收方一旦发现自己不能遵守SCC(比如第三国执法协助请求不允许接收方向出口方披露),则接收方有义务立即通知数据出口方自己不能遵守SCC,出口方应该暂停或者终止数据跨境;如果出口方决定继续跨境转移,应该通知本国数据保护监管机构。除非有欧盟委员会对第三国的“数据保护充分性”认定,数据保护监管机构一旦认为SCC不能在当地国家得到遵从,而且也不能通过其他方式提供同等于欧盟的数据保护水平时,监管机构应该暂停或者禁止数据转移到第三国。


4.新一届欧盟委员会提出的技术主权概念


2020年2月,欧盟委员会同时发布了三份重要的数字战略文件,分别是《塑造欧洲的数字未来》、《人工智能白皮书》和《欧洲数据战略》。贯穿着三份战略文件的一个核心概念,用新一届欧盟委员会的主席乌尔苏拉·冯德莱恩(Ursula von der Leyen)自己的话来概括,就是欧盟必须重新夺回自己的“技术主权”。所谓“技术主权”,在冯德莱恩看来,就是“欧洲必须具有的能力,即必须根据自己的价值观并遵守自己的规则来做出自己的选择”。


结合这三份战略文件的内容,欧盟的技术主权概念实际上在三个层面上展开——基础设施和工具、标准和法律规则,以及价值观和社会模式。在基础设施和工具层面,《欧洲数据战略》提出应发展欧盟自己的云服务产业。欧盟认为其经济的数字化转型取决于安全、节能、负担得起的高质量数据处理能力。目前,欧盟高度依赖外部供应商,因此需要采取措施减少对外的技术依赖。在标准和法律规则层面,欧盟一致认为建立优秀的标准和法律规则是其强项。


三份战略文件中多处提到了GDPR在统一数据保护规则、推进数字单一市场方面的巨大作用。在GDPR成功经验的基础上,三份文件进一步提出了明确的立法计划。例如旨在激励各方数据共享的数据法案;以及针对科技巨头收集、使用、共享数据中限制创新和竞争问题的数字服务法案等。在价值观和社会模式的层面,欧盟希望继续通过其建立的基本人权(如数据保护、隐私和不得歧视)体系、消费者保护、产品安全和责任规则等法律框架,持续监管包括数据处理和人工智能等在内的技术发展和应用。


聚焦于数据,《欧洲数据战略》实际主导人欧盟内部市场专员蒂埃里·布雷顿(Thierry Breton)在系列文件出台前后发表了一系列“激进”的言论。例如“欧盟的数据就应当留在欧盟境内”;欧盟应当用工业政策来孵化和培训欧盟中的冠军企业,而恰好留住数据、用好数据就是欧盟企业成功的关键;以及“我确信这些帝国将来不可能好日子依旧,他们攫取了太多的价值”。


5.总结


为持续保障个人数据受保护的基本权利,欧盟GDPR围绕着数据保护水平不降低的原则,为数据跨境流动制度提供了多种法律工具。这些法律工具的核心目标均在于要求数据接收国或境外的数据接收方提供与GDPR“实质性等同”(essentially equivalent)的保护水平。可以说,GDPR实现了欧盟数据保护模式和影响力向境外的投射。


而欧盟法院两次对Schrems案件的判决,事实上将“充分性认定”和“有约束力的公司准则”突出为最牢靠和稳定的数据跨境流动工具。前者需要欧盟委员会对数据接收国进行全面详尽的评估,后者同样需要欧盟成员国数据保护机构对所提交的公司准则进行全面详尽的评估,两者均有赖于欧盟单方面的自由裁量。在上届和本届欧盟委员会充分意识到数据对于欧盟对外商贸和数字转型至关重要的角色的情况下,可想而知上述自由裁量在作出时,将更加蕴含除个人权利保障之外的政治经济考量。


基于“一带一路”的中国数据跨境制度构想


作为“一带一路”倡议的发起者,中国的数据跨境制度安排,应当对倡议的推行有所设计。而从前文看来,美国和欧盟都在推行由自身主导的、反映自身利益的数据跨境流动“小圈子”,那中国在推动“一带一路”建设时应该就数据跨境流动做何种战略选择?是效仿美国和欧洲,在“一带一路”中关起门来搞小圈子或者俱乐部,还是坚持“和平合作、开放包容、互学互鉴、互利共赢的丝绸之路精神”。


如果选择前者,不可避免地要和欧美的数据跨境流动发生直接对冲,对特定国家以及特定国家的特定企业来说,就须在“一带一路”、美国商贸圈、欧盟商贸圈中做出选择。


如果选择后者,中国应该采取哪些具体的举措?


1.贸易规则谈判


目前,世界贸易组织(WTO)电子商务规则谈判在进展之中,2019年我国也正式加入其中。数据跨境流动、数据本地化、个人信息保护等具体事项恰在电子商务规则谈判之中。但从WTO相关谈判的过往历史来看,电子商务规则“进展缓慢”,“各成员方纷纷转向签署各类区域贸易协定”。


而区域贸易协定中,“数字贸易国际规则主要体现在美欧等发达国家引领制定的区域贸易协定中。在WTO公布的涉及数字贸易和的40多个区域协定中,32个协定将数字贸易(电子商务)单独设章,其中美国主导13个,欧盟主导7个,其他协定也基本上由已与美欧签署协定后的国家或地区之间互相签署”。


从上述趋势看,在WTO层面的数据跨境流动的谈判,必然会经历美欧之间理念、制度、利益之间的冲突。


如果以正在谈判之中的欧盟与印度尼西亚贸易协定中的数据跨境流动条款为分析样本,可以看到欧盟的基本诉求是在贸易协定中为GDPR的实施留出足够的规制空间。以新近签署的《美加墨贸易协定》(USMCA)中的数据跨境流动条款作为分析样本的话,可以看到美国的基本诉求还是“强迫”各成员国同意一个基于低水平保护的个人信息跨境流动制度,以使各国的个人信息方便地向美国聚拢。显然,美国在贸易谈判中提出的条文,是为CBPRs体系的后续推广而“量体裁衣”。


我国的立场则可以新近签署的《区域全面经济伙伴关系协定》(RCEP)为分析样本。RCEP第十二章为电子商务,其第15条为“通过电子方式跨境传输信息”。与《跨太平洋伙伴关系协定》(TPP)或《全面进步的跨太平洋伙伴关系协定》(CPTPP)的文本相比,RCEP吸纳了其大多数内容,但同时增加了两个显著变化:


一是注释14中的“就本项而言,缔约方确认实施此类合法公共政策的必要性应当由实施的缔约方决定”。换句话说,新增的这个注释赋予了缔约方自主决定何为“合法公共政策”,因此相比于CPTPP和TPP,RCEP更加尊重各个缔约方的规制自由(regulatory autonomy);二是新增了“该缔约方认为对保护其基本安全利益所必需的任何措施。其他缔约方不得对此类措施提出异议”。这一条款相当于在“合法公共政策目标”例外之外,另外开辟了“基本安全利益”(essential security interests)的例外。


可以看出,RCEP条款最显著的特点是给各个缔约方留足了规制空间。由于数据跨境流动是个相对崭新的议题,涉及许多层面且往往相互冲突的利益诉求,因此RCEP中此条款的设计更加尊重各国的主权、安全和发展利益。相比之下,欧盟的条款只允许依据个人数据保护而对数据跨境流动做出限制,拒绝承认其他合法公共政策目标;而美国的条款虽然承认合法公共政策目标,但拒绝了其他国家按照自己的意愿对个人数据保护水平作出设计的自由。


考虑到RCEP此条款的上述特点,以及“一带一路”国家的广泛性,因此笔者的第一个建议是:当我国和其他国家签署共建“一带一路”合作文件时,均可以RCEP中此条款作为数据跨境流动的格式条款,吸纳于合作文件之中。


2.双多边数据保护合作


单纯通过前文所述的贸易规则设计,并不足以促成数据在“一带一路”上的互联互通。如果共建“一带一路”的国家出于各种政策目标、安全利益、一般例外和安全例外等而限制数据的跨境流动,必然会限制基于“一带一路”实质性合作的开展。


因此,笔者第二个建议是:我国应主动与共建“一带一路”的国家开展数据保护的双多边合作,尽可能地就数据保护议题沟通各自的诉求和关切点,通过协商一致达成缓解风险的措施,并定期通报各自落实、执法、监督等的情况和进展。


假设特定国家对于个人金融信息出境有较为严格的限制规定,或是出于金融机构的保密义务,或是为了宏观审慎监管所需要——这两者都属于合法公共政策目标,我国能在与该特定国家开展专门的数据保护合作时,承诺通过专门的安全保护措施并保障金融信息的实时访问等措施回应该国家的关切,则将促成个人金融信息的跨境流动。同样,如果我国对某类数据的出境有特殊的限制要求,如果特定国家能够提出切实有效的风险缓解措施,则我国也可考虑通过双边合作的形式允许该类数据流向该国家。


目前我国正在制定过程中的个人信息保护法就“个人信息跨境提供”设立专章,为个人信息出境提供了包括安全评估、认证、订立合同、国际条约和协定等一系列法律工具,也为上述数据保护专项合作开辟了空间。


近期,东盟为推动区域一体化与合作,并建设安全、可持续、转型升级的数字经济,发布了《东盟数据管理框架》(ASEAN Data Management Framework,DMF)以及《东盟跨境数据流动示范合同条款》(ASEAN Model Contractual Clauses for Cross Border Data Flows,MCC),以促成个人数据在东盟成员国之间自由流动。


考虑到东盟国家在共建“一带一路”上的重要意义,以及我国企业出海的第一站往往选择东盟国家等情况,我国完全可以在细致研究上述两份文件的基础上,通过与东盟开展双边合作,设计出针对东盟的数据跨境流动认证和标准合同等工具,主动与东盟做制度性对接,促成来自东盟的个人数据能够顺利流入中国,以及我国的个人信息在流入东盟时能够维持安全的状态。


总之,在笔者看来,只有将双多边数据保护合作与前文所述的贸易规则设计相配套,双管齐下,才能最终促成数据在“一带一路”上真正的互联互通。


结语


中国提出:共建“一带一路”跨越不同国家地域、不同发展阶段、不同历史传统、不同文化宗教、不同风俗习惯,是和平发展、经济合作倡议,不是搞地缘政治联盟或军事同盟;是开放包容、共同发展进程,不是要关起门来搞小圈子或者“中国俱乐部”;不以意识形态划界,不搞零和游戏,只要各国有意愿,都欢迎参与。因此,在推动“一带一路”数据跨境流动时,也应当遵循上述原则和立场。


目前,欧盟将自己的数据保护模式奉为圭臬,坚持要求其他国家向其看齐,数据才可向其流动。而美国则从政治经济利益出发,通过推行基于低水平保护的数据跨境流动模式实现数据向美国汇聚,在巩固和强化美国公司对全球数据掌控的同时,压缩了各国自主选择数据保护水平的规制空间。显然,这两种路径并不符合中国的立场和本色,并不适合用于推进“一带一路”的共建。


本文建议:一方面,中国应当在签署共建“一带一路”合作文件时,纳入以RCEP数据跨境流动条款为蓝本的内容,从贸易规则层面锚定数据应能自由跨境流动的立场,并同时为各国维护各自主权、安全和发展利益留足空间。另一方面,中国应主动与“一带一路”共建国家开展双多边的数据保护专项合作,回应各自的诉求,缓解潜在的风险,尽可能地实现更大范围的数据能够安全有序流动,激发“一带一路”合作的潜力,最终实现“和平合作、开放包容、互学互鉴、互利共赢”。



数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已超过300人。关于DPO社群和沙龙更多的情况如下:


域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  4. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  5. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  6. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  7. “108号公约”全文翻译(DPO沙龙出品)

  8. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  9. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  10. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  11. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  12. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  13. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  14. 英国ICO《数据共享行为守则》中译文(DPO社群出品)

  15. “hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)

  16. 法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)

  17. 美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)

  18. FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)

  19. ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)

  20. 德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)

  21. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  22. 印度《个人数据保护法》(2019年草案)全文翻译(DPO社群出品)

  23. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  24. AEPD和EDPS | “哈希函数简介——用于个人数据假名化技术”中译文(DPO社群出品)

  25. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  26. 联合发布 |《2020数字医疗:疫情防控新技术安全应用分析报告》

  27. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  28. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  29. 新版《个人信息安全规范》(35273-2020)正式发布

  30. 英国ICO | 《儿童适龄设计准则:在线服务实业准则》全文翻译之一

  31. 英国ICO | 《儿童适龄设计准则:在线服务实业准则》全文翻译之二

  32. 《个人信息安全影响评估指南》(GB/T 39335-2020)正式发布

  33. 《英国ICO人工智能与数据保护指引》选译 | 如何保护人工智能系统中的个人权利?

  34. 《英国ICO人工智能与数据保护指引》选译 | 如何评估AI的安全性和数据最小化?

  35. 西班牙数据保护局《默认数据保护指南》全文翻译(DPO社群出品)


DPO线下沙龙的实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

  18. 与欧美一流数据保护专家面对面(DPO沙龙特别活动)

  19. 第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径

  20. 第十八期DPO沙龙纪实:生物识别信息的安全保护

  21. 第十九期DPO沙龙纪实:《个人信息保护法(草案)》专题研讨会之一

  22. 第二十期DPO沙龙纪实:《个人信息保护法(草案)》专题研讨会之二


美国电信行业涉及外国参与的安全审查系列文

  1. 美国电信行业涉及外国参与的安全审查(一):基本制度介绍

  2. 美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权

  3. 美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令

  4. 美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令


中国的网络安全审查系列文章:

  1. 网络安全审查制度利刃出鞘

  2. 对《网络安全审查办法(征求意见稿)》的几点观察

  3. 网络安全审查制度吹响了向网络安全强国迈进的号角

  4. 我国网络安全审查制度走向前台

  5. 网络安全审查的中欧比较:以5G为例

  6. 网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨:以5G安全为例


自动驾驶系列文章:

  1. 自动驾驶数据共享:效用与障碍

  2. 自动驾驶数据共享:效用与障碍(附文字实录)

  3. 北京市关于自动驾驶车辆道路测试的立法综述及动态(DPO社群成员观点)

  4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡(DPO社群成员观点)

  5. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  6. EDPB《车联网个人数据保护指南2.0》比较翻译(DPO社群出品)


数据安全法系列文章:

  1. 对《数据安全法》的理解和认识 | 立法思路

  2. 对《数据安全法》的理解和认识 | 数据分级分类

  3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

  4. 对《数据安全法》的理解和认识 | 重要数据如何保护


个人数据与域外国家安全审查系列文章

  1. 个人数据与域外国家安全审查初探(一):美欧概览

  2. 个人数据与域外国家安全审查初探(二):CFIUS实施条例详解

  3. 个人数据与域外国家安全审查初探(三):从美国《确保ICT技术与服务供应链安全》        

  4. 个人数据与域外国家安全审查初探(四):从美国《2019年安全与可信通信网络法案》看

  5. 个人数据与域外国家安全审查初探(五):禁止中国公司对StayNTouch的收购

  6. 个人数据与域外国家安全审查初探(六):《2019国家安全和个人数据保护法案》

  7. 个人数据与域外国家安全审查初探(七):美国众议院荒唐的决议草案

  8. 个人数据与域外国家安全审查初探(八):《2020安全的5G和未来通信》法案

  9. 个人数据与域外国家安全审查初探(九):澳大利亚《协助和访问法》

  10. 美国司法部狙击中国内幕(Inside DOJ's nationwide effort to take on China)

  11. 美国司法部“中国计划”的概况介绍

  12. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

  13. 理解特朗普禁令中的Transactions

  14. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

  15. 《国际紧急经济权力法》(IEEPA)的起源、演变和应用

  16. 个人数据与域外国家安全审查 | 美国安局对地理位置信息的建议(全文翻译)

  17. 外媒编译 | 诡秘的美国外国投资委员会如何成为贸易战的有力武器?


围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:

  1. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

  2. 理解特朗普禁令中的Transactions

  3. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

  4. TikTok和甲骨文合作中的“可信技术提供商” | 微软和德国电信合作的模式

  5. TikTok和甲骨文合作中的“可信技术提供商” | 苹果和云上贵州合作模式

  6. 外媒编译 | TikTok 零点时间:最后一刻的交易

  7. TikTok和甲骨文合作中的“可信技术提供商” | 来自EPIC的质疑和两家公司的回复


中国个人信息保护立法系列文章

  1. 中国个人信息保护立法 | 《个人信息保护法(草案)》与GDPR的比较

  2. 中国个人信息保护立法 | 合同所必需:魔鬼在细节之中

  3. 对《常见类型移动互联网应用程序必要个人信息范围规定》的两点理解

  4. 对《常见类型移动互联网应用程序必要个人信息范围规定》的再理解

 

第29条工作组/EDPB关于GDPR的指导意见的翻译:

  1. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  3. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  5. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  7. EDPB《关于GDPR适用地域范围(第3条)的解释指南》全文翻译(DPO沙龙出品)

  8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  9. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  10. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)

  12. EDPB | 《对第2016/679号条例(GDPR)下同意的解释指南v1》中文翻译(DPO社群出品)

  13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译(DPO社群出品)

  14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译(DPO社群出品)

  15. EDPB | 《GDPR下数据控制者及数据处理者概念的指南(07/2020)》全文翻译

  16. EDPB | 《针对向社交媒体用户定向服务的指南(第8/2020号)》全文翻译

  17. 数据安全的法律要求 | DPB关于数据泄露通知示例的01/2021号指引


关于美国出口管制制度,本公号发表过系列文章:

  1. 美国出口管制制度系列文章之一:对“外国生产的产品”的相关规则

  2. 美国出口管制制度系列文章之二:适用EAR的步骤

  3. 美国出口管制制度系列文章之三:苏联油气管道的“华为”事件

  4. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准

  5. 美国出口管制 | BIS发布针对“基础性技术”出口管制的“拟议制定规则预先通知”

  6. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

  7. 美国出口管制 | ARM+美国公司收购=更强的出口管制?


供应链安全文章:

  1. 供应链安全 | 白宫发布关于降低依赖外国对手的重要矿产的行政令

  2. 供应链安全 | 美国从科技供应链中剔除中国行动的内幕(外媒编译)

  3. 供应链安全 | 英国政府推进《电信(安全)法案》以确保供应链安全


数据跨境流动政策、法律、实践的系列文章:

  1. 构建数据跨境流动安全评估框架:实现发展与安全的平衡

  2. 构建数据跨境流动安全评估框架:实现发展与安全的平衡(二)

  3. 构建数据跨境流动安全评估框架:实现发展与安全的平衡(三)

  4. 构建数据跨境流动安全评估框架:实现发展与安全的平衡(四)

  5. TPP对跨境金融数据“另眼相看”?

  6. 马来西亚拟将我国认定为个人数据跨境流动“白名单”地区

  7. 美国ITIF关于数据跨境流动的研究报告简介

  8. Chatham House举办Cyber 2017大会,关注中国数据跨境流动

  9. 俄罗斯个人信息保护机构对隐私政策和数据跨境流动的新举措

  10. 看清APEC“跨境隐私保护规则”体系背后的政治和经济

  11. 敬请关注“闭门会-数据跨境流通”

  12. “闭门会:数据跨境流动政策分析” 总结

  13. 欧盟个人数据跨境流动机制进展更新(截止201810)

  14. 俄罗斯数据本地化和跨境流动条款解析

  15. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  16. 《个人信息和重要数据出境安全评估办法》实现了安全与发展的平衡

  17. 数据出境安全评估:保护我国基础性战略资源的重要一环

  18. 个人信息和重要数据出境安全评估之“境内运营”

  19. 《数据出境安全评估:保护我国基础性战略资源的重要一环》英文版

  20. 个人信息和重要数据出境安全评估之“向境外提供”

  21. 数据出境安全评估基本框架的构建

  22. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  23. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  24. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  25. 《个人信息出境安全评估办法(征求意见稿)》解读:从中外比较的角度

  26. 数据跨境流动 | 澳大利亚政府提出新的数据本地化要求

  27. 数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑

  28. 数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答(全文翻译)

  29. “清洁网络计划”下的APEC跨境隐私保护(CBPR)体系

  30. 数据跨境流动 | 爱尔兰DPA即将禁止FACEBOOK的数据跨境传输

  31. 数据跨境流动 | 最新判决将显著影响英国与欧洲大陆之间的数据自由流动

  32. 数据跨境流动 | 爱尔兰高等法院暂时允许Facebook继续个人数据跨大西洋传输

  33. 数据跨境流动 | 中国公司基于SCCs开展数据跨境流动的基本策略

  34. 数据跨境流动 | 美国三位高官就Schrems II判决公开向欧盟喊话

  35. 数据跨境流动 | 欧盟EDPS官员敦促美国强化个人救济以达到“实质等同”

  36. 数据跨境流动 | 美国政府白皮书正式回应欧盟Schrems II判决

  37. 数据跨境流动 | EDPB关于标准合同条款之外的“补充措施”的指南终于问世

  38. 数据跨境流动 | EDPB提出“评估目的国法律环境”的指南(全文翻译)

  39. 数据跨境流动 | 微软率先提出对欧盟数据的专属“保护措施”

  40. 数据跨境流动 | 欧盟新版标准合同条款全文翻译

  41. 数据跨境流动 | EDPB和EDPS通过了关于新的SCCs的联合意见

  42. 数据跨境流动 | “法律战”漩涡中的执法跨境调取数据:以美欧中为例

  43. 数据跨境流动 | 东盟跨境数据流动示范合同条款(全文翻译)

  44. 数据跨境流动 | 东盟数据管理框架(全文翻译)


传染病疫情防控与个人信息保护系列文章

  1. 传染病疫情防控与个人信息保护初探之一:个人信息的性质

  2. 传染病疫情防控与个人信息保护初探之二:同意的例外

  3. 传染病疫情防控与个人信息保护初探之三:数据技术的应用路径

  4. 传染病疫情防控与个人信息保护初探之四:接触追踪的数据共享安全规范

  5. 传染病疫情防控与个人信息保护初探之五:电信数据的安全规范

  6. 传染病疫情防控与个人信息保护初探之六:GDPR框架下的公共卫生数据共享

  7. 传染病疫情防控与个人信息保护初探之七:美国公共卫生机构的数据调取权力

  8. 传染病疫情防控与个人信息保护初探之完结篇:解读中央网信办通知

  9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总(DPO社群出品)

  10. 美国疫情防控中的关键基础设施的识别和认定(DPO社群出品)

  11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译(DPO沙龙出品) 

  13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

  14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

  15. 疫情防控常态化中的接触追踪:中国方案

  16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译(DPO社群出品)

  17. 来自欧洲的接触追踪协议(ROBERT Protocol)的基本原理:漫画图解

  18. 英国信息专员对苹果谷歌接触追踪项目的官方意见:全文翻译(DPO社群出品)

  19. 三百名学者关于接触追踪APP的联合声明

  20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)

  21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

  22. 韩国利用ICT抗疫经验总结:接触追踪部分(中文翻译)

  23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱(DPO沙龙出品)

  24. EDPB | 关于在COVID-19疫情背景下为科研目的处理健康数据指南(全文翻译)


人脸识别系列文章:

  1. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  2. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  3. 零售门店使用人脸识别技术的主要法律问题(DPO社群成员观点)

  4. 人脸识别技术的规制框架(PPT+讲稿)

  5. 人脸识别技术运用的六大场景及法律规制框架的适配(DPO社群成员观点)

  6. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  7. 美国联邦隐私保护立法草案研究(四):“生物识别信息”

  8. 美国华盛顿州人脸识别服务法案中文翻译(DPO社群出品)

  9. PAI | 《理解人脸识别系统》全文翻译(DPO社群出品)

  10. 解读世界首例警方使用人脸识别技术合法性判决二审判决(DPO社群成员观点)

  11. 人脸识别技术研究综述(一):应用场景

  12. 人脸识别技术研究综述(二):技术缺陷和潜在的偏见

  13. 美国人脸识别技术的法律规范研究综述 | 拼凑式(Patchwork)的范式

  14. 美国《2020年国家生物识别信息隐私法案》中译文

  15. 人脸识别技术是潘多拉盒子还是阿拉丁神灯?

  16. 人脸识别 | “第108号公约+”咨询委员会发布《关于人脸识别的指南》(全文翻译)

  17. 人脸识别 | EDPB“关于通过视频设备处理个人数据的指南”(全文翻译)


关于欧盟技术主权相关举措的翻译和分析:

  1. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  2. 欧盟委员会主席首提“技术主权”概念

  3. 推进欧洲可持续和数字化转型:《欧洲新工业战略》解读(DPO社群成员观点)

  4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

  5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

  6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

  7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架

  8. 欧盟《数字市场法》选译之一:解释性备忘录

  9. 欧盟《数字市场法》选译之二:序言和条文

  10. 欧盟《数字服务法》选译之一:解释性备忘录

  11. 欧盟《数字服务法》选译之二:序言

  12. 欧盟《数字服务法》选译之三:(实体规则方面的)条文

  13. 欧盟《数字服务法》《数字市场法》简评

  14. 欧洲法院:欧盟成员国的数据保护机构都可对Facebook提出隐私方面的诉讼

  15. 欧盟技术主权 | 《电子隐私条例》(e-Privacy Regulation)全文翻译


关于数据与竞争政策的翻译和分析:

  1. "法国竞争管理局对苹果iOS限制APP追踪措施的初步决定"全文翻译(上篇)

  2. "法国竞争管理局对苹果iOS限制APP追踪措施的初步决定"全文翻译(下篇)

  3. 欧盟与谷歌在反垄断方面的大事记(竞争法研究笔记一)

  4. Facebook时代的合并政策(竞争法研究笔记二)

  5. “在隐私辩论中关注竞争水平的维护”(竞争法研究笔记三)

  6. 欧盟委员会针对亚马逊开展调查(竞争法研究笔记四)

  7. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  8. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  9. 案件摘要:德国反垄断监管机构对Facebook数据收集融合行为裁决

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”


关于人工智能监管指导文件的翻译:

  1. 《英国ICO人工智能与数据保护指引》选译 | 如何保护人工智能系统中的个人权利?

  2. 《英国ICO人工智能与数据保护指引》选译 | 如何评估AI的安全性和数据最小化?

  3. 英国ICO人工智能指导 | 数据分析工具包(全文翻译)


关于iOS对APP追踪限制的功能及其法律探讨,见:

  1. "法国竞争管理局对苹果iOS限制APP追踪措施的初步决定"全文翻译(上篇)

  2. "法国竞争管理局对苹果iOS限制APP追踪措施的初步决定"全文翻译(下篇)

  3. "法国竞争管理局对苹果iOS限制APP追踪措施的初步决定"的简要概括


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存