AI监管 | 对欧盟AI统一规则条例的详细分析

欧洲议会和欧盟委员会于2021年4月21日发布了关于《欧洲议会和理事会关于制定人工智能统一规则（《人工智能法》）和修正某些欧盟立法的条例》的提案。这份提案旨在为在欧盟境内运行的AI系统设计一个切实可行的监管规则框架。其中的《人工智能法（草案）》（下文简称“《提案》”）以人工智能系统（下文简称“AI系统”）为观察视角，阐述了与AI系统相关的基本概念、监管原则、监管机构以及部分重要的具体的监管规则。《提案》包括12编和9个附件，其中，“高风险AI系统”是其关注的重点。《提案》实际上将AI系统视为一种需要进行监管的产品，因而也可以将其理解为一部具有较高可操作性的“AI系统”规制法案。同时，由于AI系统既可以作为独立的产品，又可以依附于其它产品而存在，因此，《提案》的实际运行需要与其它欧盟产品监管规则密切配合。

本文在尊重《提案》原意的前提下对其中的重点内容进行了摘编，并以一种更易于理解的方式梳理了内容框架，以期帮助读者更便捷的了解《提案》内容。本文共包括十小结：一、被监管对象与AI系统分类；二、高风险AI系统的管理框架；三、高风险AI系统提供方、使用者以及其他各方的义务；四、高风险AI系统的符合性评估机构；五、高风险AI系统的符合性评估流程；六、高风险AI系统入市后的监管；七、罚则；八、对AI系统的一般性规定；九、关于执行《提案》的其他问题；附录：名词解释一览。

一、被监管对象与AI系统分类

欧盟境内的AI系统提供方、使用者均属于被《提案》监管的对象，基于军事目的开发使用的AI系统、第三国公共机构、国际组织除外。其中，“AI系统提供方”是指在欧盟境内将AI系统投放市场或投入服务的提供方，无论其设立在欧盟境内还是第三国。“AI系统使用者”是指位于欧盟境内的AI系统使用者，以及虽然AI系统的提供方及使用者位于第三国，但在欧盟内使用该系统所输出的数据者。

就被监管对象使用的AI系统而言，《提案》将其分为禁止使用的AI系统、高风险AI系统、其它AI系统。《提案》禁用AI系统的情形主要包括以下三类：其一、禁止使用含有有害隐形技术的AI系统，禁止使用针对特定人群弱点的AI系统。此类系统可能借此扭曲个体行为，使之可能对自己或他人的身心健康造成损害。其二、禁止公共机构使用AI系统进行不当的评分。包括在数据收集环境外的情形下使用该评分，以及对特定人或群体造成的不利影响与其行为严重程度不相称的评分。其三、一般禁止执法机关使用实时远程生物识别系统。但是，在有针对性的寻找犯罪受害人、避免自然人身体生命安全受到威胁、搜寻特定较重罪行的嫌疑人时可以使用。在这些情形下需要谨慎评估使用该系统的必要性，并获得欧盟成员国国内司法机构或独立行政机构的授权。

对高风险AI系统的规制是《提案》的重要内容，《提案》用极大的篇幅对这类系统的设计、入市许可、事中监管、事后追责等问题进行了规范，因此下文也将主要介绍对这类系统的规范。高风险AI系统主要包括两个类型。第一类是构成特定产品组件的AI系统。对这类系统的认定需要结合其它欧盟法律法规来判断，相关法规列在《提案》附录二中，其中涉及机械、玩具、水上交通工具、电梯等诸多领域。第二类是《提案》附录三中单独列出的AI系统。其中包括与自然人生物识别和分类、关键基础设施、教育培训、就业、公共服务、执法、移民、司法民主8个领域相关的AI系统。对于除上述两类AI系统外的其它AI系统，《提案》涉及较少，并未进行专门约束。

二、高风险AI系统的管理框架

《提案》第三编第二章规定了高风险AI系统的管理标准，包括基本管理框架和管理原则，该章被《提案》后续章节多次引用。其中涉及的高风险AI系统管理要求主要包括以下内容：

• 建立风险管理体系并做好记录和维护。该体系应贯穿高风险AI系统的整个生命周期并持续迭代。具体内容包括识别、分析、评估AI系统的风险，还应在此基础上通过设计开发、消减控制、使用者培训等方法降低风险。

  
  

• 对高风险AI系统涉及的数据进行管理。在开发阶段，对用于训练、验证、测试系统的数据集进行管理。管理涉及的领域包括：设计选择、数据收集、准备操作、设定模型、可用性评估、偏差检查、缺陷识别。管理的原则包括：数据须有代表性、考虑数据的地域性、保护个人数据。

  
  

• 编制技术文档。技术文档需要在系统投入市场前准备好，并随着系统的使用持续更新。其中需要体现的内容包括：对AI系统的总体描述，对系统具体要素及研发过程的描述，关于该系统监测、运作和控制的内容，风险管理系统，变更说明，入市后的性能评估制度，协调标准清单和复合型说明副本等等。(详见附件四)

  
  

• 系统运行日志记录。系统运行时应自动记录日志，该日志需具备全生命周期的可追溯性并达到可监测运行的详细程度，该程度具体包括系统使用时间、系统决策参考的数据库、产出结果的输入数据、特殊系统产出结果的鉴定人。

  
  

• 透明度。主要通过向使用者提供说明的方式保证透明度。说明应便于获取、通俗易懂，其中主要内容包括系统提供方的基本信息、系统的特点和用途、系统可能的变更、对系统进行监督的方式、系统养护。

  
  

• 人为监督。为实现有效监督，高风险AI系统需配备适当的人机交互工具。系统提供方需将交互工具提前嵌入系统中，并确保系统使用者可以操作。特别是在高风险AI系统符合本章要求，但却仍有可能损害人的生命健康权等基本权利时，人为监督具有兜底效果。系统的监督者应当可以有效实施以下操作：处理系统异常、避免自动化偏见、能对系统输出结果进行解释、能否定系统输出结果、能干预系统运行。

  
  

• 高风险AI系统需要具有可靠性。系统应有较高的准确定、鲁棒性和网络安全程度，基于这种可靠性，系统应可以应对运行中发生的错误、避免非法篡改、具备与适用环境相匹配的安全感防护措施。针对投放市场后能够继续学习的高风险AI系统，开发时须确保通过适当措施应对未来可能产生的偏差输出问题。

三、高风险AI系统提供方、使用者以及其他各方的义务

《提案》在很大程度上围绕着高风险AI系统提供方的义务展开，其它各方义务的设定在很大程度上以提供方义务为基准。同时，后续规则也对提供方义务中的技术文档、符合性评估、登记等具体事项进行了展开规定。具体来说，高风险AI系统相关方的义务包括以下几种类型：

• 提供方的义务：高风险AI系统提供方应遵守高风险AI系统管理原则、建立质量体系、制定技术文档、保存自动生成日志、进行符合性评估、登记、对不当行为采取纠正措施并告知主管机构、使用CE标记、按要求证明系统合规。境外提供商应在欧盟境内设置代表，以配合主管机构的工作。

  
  

• 产品制造商义务：对于以自己名义将搭载高风险AI系统产品投放市场的制造商，须遵守《提案》的提供方义务。

  
  

• 进口方义务：高风险AI系统的进口方应确保高风险AI系统符合《提案》规定，标注商标与联系信息，并积极配合主管机构行动。

  
  

• 分销方义务：高风险AI系统的分销方应确保高风险AI系统符合《提案》规定，及时报告风险，负责问题系统的召回，并积极配合主管机构行动。

  
  

• 使用者义务：高风险AI系统的的使用者应按照系统预期目的和附随说明使用系统、监测系统运行并报告异常、保存系统日志。

其它方视同提供方的情形：在以下三种情况下，进口方、分销方、使用者、其它第三方视同本规定中的“提供方”，这些情形包括以自身名义或商标将系统投入市场、修改系统的预期用途、对系统进行重大修改。在后两种情况下，最初将高风险AI系统投放市场或投入服务的提供方不再视为《提案》中所规定的提供方

四、高风险AI系统的符合性评估机构

高风险AI系统在投放市场前需要经过符合性评估机构的评估。在对符合性评估机构的指定与监管方面，《提案》也进行了规定。其中，申请成为符合性评估机构的主体不仅要符合一系列条件，而且要受到公告机构的考察与管理。对于在符合性评估中无法善尽义务的机构，其可能被暂停活动甚至被撤销评估资格。当然，作为主管符合性评估机构的公告机构，其设立与运行也需要遵循一系列规则。

公告机构（指定机构）：公告机构负责建立和执行必要流程以选择、管理、监督符合性性评估机构并处理相关事宜。公告机构需具备的条件包括：与符合性评估机构设置分离且无利益冲突、不得开展营利性咨询活动、履行保密义务、具备人员等基础配备、确保合理开展符合性评估。欧盟委员会须确保根据《提案》积极参与AI系统符合性评估程序的指定机构之间开展适当的协调与合作，并以行业小组的形式规范运作。成员国须确保其指定机构直接参与或通过指定代表参与该小组的工作。

符合性评估机构(被指定机构)：符合性评估机构指开展第三方符合性评估活动(包括测试、认证和稽查)的机构，其职责是依据符合性评估程序，核查高风险AI系统的符合性。欲申请成为符合性评估机构的主体须向公告机构提交申请，申请通过后公告机构须以特定方式通知欧盟委员会及其欧盟成员国，经过一个月公示期后，新晋符合性评估机构可以正式开展活动。符合性评估机构需具备开展评估的条件、保证评估效果、独立于被评估方及其竞争对手、保持公平、履行保密义务、合理展开评估、办理保险、具备评估能力、加入欧洲标准化组织、提交相关材料并接受公告机构监督。符合性评估机构可以将业务分包，但应经被评估系统的提供方同意、告知公告机构，并对结果承担无差别的责任。若第三国与欧盟已签订协议，则根据该国法律设立的符合性评估机构可被授权开展《提案》规定的符合性评估机构的活动。

符合性评估机构(被指定机构)的监督与变更：公告机构基于怀疑和举报可以对符合性评估机构进行调查，若认为其未正确履行义务则可以限制、暂停、撤回公告，并将该撤回通知欧盟委员会和其他成员国。该评估机构的文件可由另一指定机构接管，或仍在本机构保存且保证可查性。欧盟委员会也可以在必要时调查所符合性评估机构相关情况，必要时要求通知成员国采取包括撤回通知在内的必要纠正措施。

五、高风险AI系统的符合性评估流程

高风险AI系统的符合性评估是入市前的必要程序，不同的高风险AI系统需要经过不同的符合性评估程序。评估原则上都遵循《提案》第三编第二章（高风险AI系统的管理标准）的要求。特定领域中的高风险AI系统只要符合该领域中的相关标准就可以推定符合本规定要求，前提是其依赖的标准涵盖了本规定第二编中的内容。如果没有特定领域的标准，或欧盟委员会认为其标准不充分、存在与安全和基本权利相关的问题，则可以要求适用通用规范。

涉及自然人生物识别和分类的高风险AI系统(附录三第1条涉及的高风险AI系统)。系统提供方需要遵守相关特定领域标准和通用规范中的规定，同时，还需符合以下两项要求之一。其一是基于附录六所述的内部控制符合性评估程序，其二是基于附件7所述的质量管理体系评估和技术文档评估的符合性评估程序。若提供方没有可应用的相关特定领域标准和通用规范，则应基于附件七进行符合性评估，在此评估中提供方一般可以自主选择评估机构。

对于教育、评估等一般的高风险AI系统(附录三第2至8条所提及的高风险AI系统)，提供方须遵循基于内部控制的符合性评估程序（附录六规定的程序）。

对于在机械、游艇、电梯等有单独规制规则的设备中使用的高风险AI系统(如附录二A节所列)，提供方须遵循这些《提案》要求的相关符合性评估，《提案》第三编第二章中规定的要求须成为评估的一部分。

符合性评估机构对通过评估的系统颁发证书，证书有效期不得超过五年。符合性评估机构需及时将相关评估情况告知公告机构和其他符合性评估机构。对于投入市场后经过重大修改的高风险AI系统须重新进行符合性评估。

市场监管机构可出于公共安全或保护人员生命和健康、环境保护和保护关键行业和基础设施资产的特殊原因，授权在相关成员国领土内将特定的高风险AI系统投放市场或投入服务。但是必要的符合性评估程序需要同步、及时进行，该系统须符合《法案》第三编第二章要求，欧盟及各成员国须无异议。

高风险AI系统投放市场或投入服务之前，提供方须在欧盟数据库中登记。高风险AI系统须以合理方式标注“CE”合格标记，该标记须清晰可见、无法移除。在AI系统投放市场后，提供方应将技术文档、关于质量管理体系的文档、指定机构批准的与变更相关的文档（若存在）、指定机构发布的决定和其他文件（若存在）、欧盟符合性声明交由国家主管机构留存10年。

六、高风险AI系统入市后的监管

提供方须基于AI技术的性质和高风险AI系统的风险建立相应的上市后监测系统并做好记录，该系统需保证AI系统持续满足《提案》第三编第二章所规定的要求。若投放在欧盟市场上的高风险AI系统出现违反欧盟基本权利保护法的严重事件或故障，提供方须在15日内向发生该事件或违规行为的成员国市场监管机构报告。

市场监管机构在监管过程中若发现使用欧盟竞争法处理更为妥当的事件，须及时向欧盟委员会和相关国家竞争机构报告。对《提案》中高风险AI系统实施监管的机构应是相关产品条例中规定的监管机构。当欧盟机构、部门和组织属于《提案》的涵盖范围时，欧洲数据保护监管机构须作为其市场监管机构。

应允许市场监管机构在其活动范围内获取数据和文档，并允许其访问提供者使用的所有训练、验证和测试数据集，包括通过API接口或其他允许远程访问的适当技术手段和工具进行访问。在评估高风险AI系统的部分情况下，可以允许市场监管机构获取AI系统的源代码。必要时，监督或执行欧盟法律的国家公共机构或组织有权请求和获取《提案》所述的任何文档，也可向市场监管机构提出合理的请求，通过技术手段组织对高风险AI系统的测试，同时，应将此类请求通知有关成员国的市场监管机构。上述市场监管机构名单须公开。

对于对健康、安全或个人基本权利保护造成风险的AI系统，成员国的市场监管机构须对其进行评估，对不符合《提案》规定或虽符合规定但仍对重要基本权利造成危害的，可要求纠正、召回或撤销。当对基本权利保护造成风险时，还须通知相关国家公共机构或组织。若AI系统的不合规情况已超出其所在国家范围，市场监管机构应将评估结果以及要求经营者所采取的行动通知欧盟委员会和其他成员国。经营者须确保对整个欧盟市场中的所有相关AI系统都采取适当的纠正措施。如果一成员国在收到通知后3个月内对另一成员国采取的措施提出异议，或欧盟委员会认为该国措施违反欧盟法律，欧盟委员会应立即与相关成员国和运营者协商并评估该措施，欧盟委员会对措施是否执行享有最终决定权。

七、罚则

欧盟成员国应制定违反《提案》的处罚规则，并采取一切必要措施确保适当和有效地执行处罚规则。规定的处罚应有效、合比例且具有劝诫性。须特别考虑小规模提供商和初创企业的利益及其经济生存能力。成员国须将这些规则和措施通知到欧盟委员会，影响这些规则和措施的后续修正案也须立即通知到欧盟委员会。

对被监管主体的处罚：相关方违反《提案》第5条所述的禁止AI实践的规定，或其AI系统违反第10条规定的要求，可处以最高3000万欧元的行政罚款，如果侵权方是公司，则罚款最高可达上一财政年度全球年营业总额的6%，以较高者为准。AI系统违反《提案》其它条款的规定，应处以最高2000万欧元的行政罚款，如果侵权方是公司，则罚款最高可达上一财政年度全球年营业总额的4%，以较高者为准。在答复请求时向指定机构和国家主管机构提供不正确、不完整或误导性信息，可处以最高1000万欧元的行政罚款，如果侵权方是公司，则罚款最高可达上一财政年度全球年营业总额的2%，以较高者为准。

在决定每起案件的行政罚款数额时，应考虑到具体情况的所有相关情形，并适当考虑被处罚主体违规及其后果的性质、严重性和持续时间、其他市场监管机构是否已经对同一运营者就该违规行为处以行政罚款、违规运营者的规模和市场份额。各成员国应针对在其国内设立的公共机构和组织制定规则，明确行政罚款的执行条件和力度。

对监管主体的处罚：欧洲数据保护监督委员会可对受《提案》约束的欧盟组织、机构和部门处以行政罚款。在决定是否对个案处以行政罚款以及罚款数额时，应考虑具体情况和相关情形，并考虑违规及造成后果的性质、严重性和持续时间，考虑其与欧洲数据保护监督委员会的合作情况，考虑欧盟组织、机构和部门之前的类似侵权行为。对于违反第5条所述禁止AI实践的规定以及AI系统违反第10条规定要求的，可处以最高50万欧元的行政罚款。违反上述两条规定之外的，可处以最高25万欧元的行政罚款。

在根据《提案》做出决定之前，欧洲数据保护监督委员会应给予作为其诉讼对象的欧盟组织、机构和部门就可能的侵权事项进行陈词辩护的机会，在诉讼中须充分尊重当事人的辩护权。当事人有权查阅欧洲数据保护监督委员会的档案，但应尊重个人或企业个人数据或商业秘密保护方面的合法利益。

八、对AI系统的一般性规定

《提案》除了对高风险AI系统进行了重点规定外，还提出了对AI系统具有普适性的规定。这部分规定旨在促进AI系统的健康发展，这些规定主要包括对AI系统普遍的透明度要求、鼓励相关方自主制定一般AI系统的行为准则，以及降低AI创新合规成本的AI监管沙箱制度。

（一）对AI系统的透明度要求

对于与自然人交互的AI系统，提供方应确保自然人知晓他们正与AI系统互动，除非自然人从使用情况和场景能明显感知此种情况。这类系统包括但不限于情绪识别系统、生物识别分类系统、生成或操纵逼真图像、音频或视频的AI系统。但是这种要求一般不适用于法律授权可进行侦查、预防、调查和起诉刑事犯罪的AI系统。

（二）行为准则的制定

欧盟委员会和成员国鼓励和促进各方制定行为准则，促进自愿将第三编第二章规定的要求运用于高风险AI系统以外的其它AI系统。鼓励将环境可持续性、残障人士无障碍使用、利益相关方参与AI系统设计、开发团队多样性等要素纳入准则制定中。在准则的制定中应考虑小规模提供方和初创企业的具体利益和需要。

（三）AI监管沙箱

AI监管沙箱由一个或多个成员国主管机构或欧洲数据保护监管机构建立，须在主管机构的直接监督和指导下进行。对沙箱运行的要求包括：当其中运行的AI系统涉及个人信息时需有特定数据保护机构的参与、主管机构对运行中涉及健康和基本权利的风险应及时处置、在沙箱中运行的程序适用损害责任法、沙箱主管机构需与欧洲人工智能委员会展开合作、沙箱的运作模式和条件须依照《提案》规定制定执行条例进行规制。此外，监管沙箱应对小规模提供方和使用者友好。成员国方面需对小规模主体提供优先访问沙箱的机会、组织相关学习、提供专门沟通渠道并适当降低相关费用。

在沙箱中运行的AI系统若涉及对个人数据的使用则需要遵循以下规则：该AI系统的开发目的应在于保障重大利益，包括预防犯罪、保障公共安全、改善公共卫生、提升环境质量；非匿名的个人数据是系统运行的必要条件；应具备检测预警与响应机制；个人数据应受到特别保护，应限制第三方对此类数据的访问；个人数据不得随意传输、转移；处理过程及结果不得影响数据主体；测试中止后应删除数据；处理日志须在终止后保留一年；应详细完整地记录AI系统训练、测试和验证的过程和理由，并将之作为技术文档的一部分；应公开项目概况。

九、关于执行《提案》的其他问题

欧洲人工智能委员会依据《提案》设立，向欧盟委员会提供建议和协助。人工智能委员会须由国家监管机构(机构的负责人或同等高级官员须作为该委员会成员参与工作)以及欧洲数据保护监管机构组成，根据成员的简单多数原则通过议事规则，主席须由欧盟委员会人员担任。委员会的任务在于促进交流、推动欧洲AI系统的统一治理以及围绕《提案》的实施开展工作。

国家主管机构应由欧盟各成员国依据《提案》指定，以确保《提案》的适用和执行。各成员国应在国家主管机构中指定一个国家监督机构，该监督机构一般充当公告机构和市场监管机构。国家主管机构可就《提案》的执行提供指导和意见，其需具备相应职责履行能力，并与欧盟委员会密切合作。当欧盟机构、部门和组织属于《提案》的调整范围时，欧洲数据保护监管机构须作为其监管的主管机构。

参与适用《提案》的国家主管机构和指定机构应尊重在执法时获得的信息和数据的机密性，特别是应注意保护自然人或法人的知识产权、机密商业信息、商业秘密、源代码，应保护在执行《提案》规定时涉及的有关检查审计、行政和公共安全、刑事诉讼的信息。欧盟委员会须与成员国合作，建立和维护欧盟AI系统数据库。该数据库中收录高风险AI系统注册时提交的信息，包括系统提供者的名称、地址和联系方式等信息，其中的非机密信息应向公众开放。

就《提案》对已投放市场的AI系统的效力而言，若AI系统为附录九所列规则规定的大型IT系统的组成部分，且于《提案》生效日期后12个月内投放市场或投入使用，则不适用《提案》规定。除非所列相关规定被替换或修订，从而导致相关AI系统或AI系统的设计或预期目的发生重大变化。在此时间段外投放市场的，在根据相应规则评估附录九所列规则规定的大型IT系统时，应考虑《提案》中规定的要求。对于在本规定生效前已投放市场或投入使用的、不在附录九所述范围内的高风险AI系统，仅当在《提案》生效后，或AI系统的设计、预期用途会发生重大变化时，才适用《提案》。

附录：名词解释一览

• AI系统：指采用附录一中所列的一种或多种技术和方法开发的软件，该软件能生成影响交互环境的输出(如内容、预测、建议或决定)来，以实现人为指定的特定目标。上述方法包括：机器学习方法，包括有监督、无监督和强化学习，使用包括深度学习在内的各种方法；基于逻辑和知识的方法，包括知识表示、归纳(逻辑)编程、知识库、推理和演绎引擎、(符号)推理和专家系统；统计学方法，贝叶斯估计，搜索和优化方法。

• 提供方：指开发或委托他人开发AI系统的自然人、法人、公共机构、部门或其他组织，其使用自己的名义或商标将AI系统投放市场或投入服务以有偿或无偿提供服务。

• 使用者：指基于授权使用AI系统的任何自然人、法人、公共机构、部门或其他组织，但在个人非专业活动过程中使用AI系统的情况除外。

• 经营者：包含提供方、使用者、授权代表、进口方和分销方。

• 符合性评估：指验证《提案》第三编第二章中针对AI系统的要求是否被执行的过程。

• 符合性评估机构：指开展第三方符合性评估活动(包括测试、认证和稽查)的机构。

• 指定机构：指根据《提案》和欧盟其他相关统一立法指定的符合性评估机构。

• 公告机构：指负责建立和执行必要程序以评估、指定和通知符合性评估机构并对其进行监督的国家机构。

• 市场监管机构：指根据欧盟第2019/1020号条例(“市场监督条例”)开展活动并采取措施的国家机构。

• 国家主管机构：指负责监督、通知和市场监管的国家机构。

• 国家监管机构：指成员国负责执行和应用《提案》的指定机构，该机构对委托给该成员国的活动进行协调，它是成员国面向欧盟的唯一联络机构，并代表该成员国参加欧洲人工智能委员会。

• 统一标准：指欧盟第1025/2012号条例(“欧洲标准化法”)第2条第1款(c)项定义的欧洲标准。

• 通用规范：指针对《提案》所规定的某些要求和义务提供的技术解决方案文档(非标准类文件)。

美国电信行业涉及外国参与的安全审查系列文

1. 美国电信行业涉及外国参与的安全审查（一）：基本制度介绍

2. 美国电信行业涉及外国参与的安全审查（二）：国际性的第214节授权

3. 美国电信行业涉及外国参与的安全审查（三）：建立外国参与安全审查的行政令

4. 美国电信行业涉及外国参与的安全审查（四）：FCC对中国企业的陈述理由令

中国的网络安全审查系列文章：

1. 网络安全审查制度利刃出鞘

2. 对《网络安全审查办法（征求意见稿）》的几点观察

3. 网络安全审查制度吹响了向网络安全强国迈进的号角

4. 我国网络安全审查制度走向前台

5. 网络安全审查的中欧比较：以5G为例

6. 网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨：以5G安全为例

自动驾驶系列文章：

1. 自动驾驶数据共享：效用与障碍

2. 自动驾驶数据共享：效用与障碍（附文字实录）

3. 北京市关于自动驾驶车辆道路测试的立法综述及动态（DPO社群成员观点）

4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡（DPO社群成员观点）

5. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

6. EDPB《车联网个人数据保护指南2.0》比较翻译（DPO社群出品）
   

数据安全法系列文章：

1. 对《数据安全法》的理解和认识 | 立法思路

2. 对《数据安全法》的理解和认识 | 数据分级分类

3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

4. 对《数据安全法》的理解和认识 | 重要数据如何保护

个人数据与域外国家安全审查系列文章

1. 个人数据与域外国家安全审查初探（一）：美欧概览

2. 个人数据与域外国家安全审查初探（二）：CFIUS实施条例详解

3. 个人数据与域外国家安全审查初探（三）：从美国《确保ICT技术与服务供应链安全》        

4. 个人数据与域外国家安全审查初探（四）：从美国《2019年安全与可信通信网络法案》看

5. 个人数据与域外国家安全审查初探（五）：禁止中国公司对StayNTouch的收购

6. 个人数据与域外国家安全审查初探（六）：《2019国家安全和个人数据保护法案》

7. 个人数据与域外国家安全审查初探（七）：美国众议院荒唐的决议草案

8. 个人数据与域外国家安全审查初探（八）：《2020安全的5G和未来通信》法案

9. 个人数据与域外国家安全审查初探（九）：澳大利亚《协助和访问法》

10. 美国司法部狙击中国内幕（Inside DOJ's nationwide effort to take on China）
    

11. 美国司法部“中国计划”的概况介绍

12. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

13. 理解特朗普禁令中的Transactions

14. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

15. 《国际紧急经济权力法》（IEEPA）的起源、演变和应用

16. 个人数据与域外国家安全审查 | 美国安局对地理位置信息的建议（全文翻译）

17. 外媒编译 | 诡秘的美国外国投资委员会如何成为贸易战的有力武器？

围绕着TIKTOK和WECHAT的总统令，本公号发表了以下文章：

1. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

2. 理解特朗普禁令中的Transactions

3. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

4. TikTok和甲骨文合作中的“可信技术提供商” | 微软和德国电信合作的模式

5. TikTok和甲骨文合作中的“可信技术提供商” | 苹果和云上贵州合作模式

6. 外媒编译 | TikTok 零点时间：最后一刻的交易

7. TikTok和甲骨文合作中的“可信技术提供商” | 来自EPIC的质疑和两家公司的回复
   

第29条工作组/EDPB关于GDPR的指导意见的翻译：

1. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)
   

2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）
   

3. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

5. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

7. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

9. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

10. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

12. EDPB | 《对第2016/679号条例（GDPR）下同意的解释指南v1》中文翻译（DPO社群出品）

13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译（DPO社群出品）

14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译（DPO社群出品）

15. EDPB | 《GDPR下数据控制者及数据处理者概念的指南（07/2020）》全文翻译

16. EDPB | 《针对向社交媒体用户定向服务的指南（第8/2020号）》全文翻译

17. 数据安全的法律要求 | DPB关于数据泄露通知示例的01/2021号指引
    

关于美国出口管制制度，本公号发表过系列文章：

1. 美国出口管制制度系列文章之一：对“外国生产的产品”的相关规则

2. 美国出口管制制度系列文章之二：适用EAR的步骤

3. 美国出口管制制度系列文章之三：苏联油气管道的“华为”事件

4. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准

5. 美国出口管制 | BIS发布针对“基础性技术”出口管制的“拟议制定规则预先通知”

6. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

7. 美国出口管制 | ARM+美国公司收购=更强的出口管制？

供应链安全文章：

1. 供应链安全 | 白宫发布关于降低依赖外国对手的重要矿产的行政令

2. 供应链安全 | 美国从科技供应链中剔除中国行动的内幕（外媒编译）

3. 供应链安全 | 英国政府推进《电信（安全）法案》以确保供应链安全

数据跨境流动政策、法律、实践的系列文章：

1. 构建数据跨境流动安全评估框架：实现发展与安全的平衡

2. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（二）

3. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（三）

4. 构建数据跨境流动安全评估框架：实现发展与安全的平衡（四）

5. TPP对跨境金融数据“另眼相看”？

6. 马来西亚拟将我国认定为个人数据跨境流动“白名单”地区

7. 美国ITIF关于数据跨境流动的研究报告简介

8. Chatham House举办Cyber 2017大会，关注中国数据跨境流动

9. 俄罗斯个人信息保护机构对隐私政策和数据跨境流动的新举措

10. 看清APEC“跨境隐私保护规则”体系背后的政治和经济

11. 敬请关注“闭门会-数据跨境流通”

12. “闭门会：数据跨境流动政策分析” 总结

13. 欧盟个人数据跨境流动机制进展更新（截止201810）

14. 俄罗斯数据本地化和跨境流动条款解析

15. 亚洲十四个国家和地区数据跨境制度报告中译本（DPO社群出品）

16. 《个人信息和重要数据出境安全评估办法》实现了安全与发展的平衡

17. 数据出境安全评估：保护我国基础性战略资源的重要一环

18. 个人信息和重要数据出境安全评估之“境内运营”

19. 《数据出境安全评估：保护我国基础性战略资源的重要一环》英文版

20. 个人信息和重要数据出境安全评估之“向境外提供”

21. 数据出境安全评估基本框架的构建

22. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

23. 《网络安全法》中数据出境安全评估真的那么“另类”吗

24. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路

25. 《个人信息出境安全评估办法（征求意见稿）》解读：从中外比较的角度

26. 数据跨境流动 | 澳大利亚政府提出新的数据本地化要求

27. 数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑

28. 数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答（全文翻译）

29. “清洁网络计划”下的APEC跨境隐私保护（CBPR）体系

30. 数据跨境流动 | 爱尔兰DPA即将禁止FACEBOOK的数据跨境传输

31. 数据跨境流动 | 最新判决将显著影响英国与欧洲大陆之间的数据自由流动

32. 数据跨境流动 | 爱尔兰高等法院暂时允许Facebook继续个人数据跨大西洋传输

33. 数据跨境流动 | 中国公司基于SCCs开展数据跨境流动的基本策略

34. 数据跨境流动 | 美国三位高官就Schrems II判决公开向欧盟喊话

35. 数据跨境流动 | 欧盟EDPS官员敦促美国强化个人救济以达到“实质等同”

36. 数据跨境流动 | 美国政府白皮书正式回应欧盟Schrems II判决

37. 数据跨境流动 | EDPB关于标准合同条款之外的“补充措施”的指南终于问世

38. 数据跨境流动 | EDPB提出“评估目的国法律环境”的指南（全文翻译）

39. 数据跨境流动 | 微软率先提出对欧盟数据的专属“保护措施”

40. 数据跨境流动 | 欧盟新版标准合同条款全文翻译

41. 数据跨境流动 | EDPB和EDPS通过了关于新的SCCs的联合意见

42. 数据跨境流动 | “法律战”漩涡中的执法跨境调取数据：以美欧中为例

43. 数据跨境流动 | 东盟跨境数据流动示范合同条款（全文翻译）

44. 数据跨境流动 | 东盟数据管理框架（全文翻译）

45. 数据跨境流动 | 推进“一带一路”数据跨境流动的中国方案（专论）

46. 数据跨境流动 | 欧盟新版标准合同条款（最终版）全文翻译

47. 数据跨境流动 | 欧盟关于欧盟境内的控制者和处理者间标准合同条款（全文翻译 ）

48. 数据跨境流动 | EDPB关于标准合同条款之外的“补充措施”指南2.0版（全文翻译）
    

传染病疫情防控与个人信息保护系列文章

1. 传染病疫情防控与个人信息保护初探之一：个人信息的性质
   

2. 传染病疫情防控与个人信息保护初探之二：同意的例外

3. 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

4. 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

5. 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范

6. 传染病疫情防控与个人信息保护初探之六：GDPR框架下的公共卫生数据共享

7. 传染病疫情防控与个人信息保护初探之七：美国公共卫生机构的数据调取权力

8. 传染病疫情防控与个人信息保护初探之完结篇：解读中央网信办通知

9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总（DPO社群出品）

10. 美国疫情防控中的关键基础设施的识别和认定（DPO社群出品）

11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）

12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译（DPO沙龙出品） 

13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

15. 疫情防控常态化中的接触追踪：中国方案

16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译（DPO社群出品）

17. 来自欧洲的接触追踪协议（ROBERT Protocol）的基本原理：漫画图解

18. 英国信息专员对苹果谷歌接触追踪项目的官方意见：全文翻译（DPO社群出品）

19. 三百名学者关于接触追踪APP的联合声明

20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

22. 韩国利用ICT抗疫经验总结：接触追踪部分（中文翻译）

23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱（DPO沙龙出品）

24. EDPB | 关于在COVID-19疫情背景下为科研目的处理健康数据指南（全文翻译）

人脸识别系列文章：

1. 欧盟基本权利局“人脸识别技术”报告中文翻译（DPO社群出品）

2. 法国数据保护局（CNIL）关于人脸识别报告的中译文（DPO社群出品）

3. 零售门店使用人脸识别技术的主要法律问题（DPO社群成员观点）

4. 人脸识别技术的规制框架（PPT+讲稿）

5. 人脸识别技术运用的六大场景及法律规制框架的适配（DPO社群成员观点）
   

6. 人脸识别技术的法律规制研究初探（DPO社群成员观点）
   

7. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

8. 美国华盛顿州人脸识别服务法案中文翻译（DPO社群出品）

9. PAI | 《理解人脸识别系统》全文翻译（DPO社群出品）

10. 解读世界首例警方使用人脸识别技术合法性判决二审判决（DPO社群成员观点）

11. 人脸识别技术研究综述（一）：应用场景

12. 人脸识别技术研究综述（二）：技术缺陷和潜在的偏见

13. 美国人脸识别技术的法律规范研究综述 | 拼凑式（Patchwork）的范式

14. 美国《2020年国家生物识别信息隐私法案》中译文

15. 人脸识别技术是潘多拉盒子还是阿拉丁神灯？

16. 人脸识别 | “第108号公约+”咨询委员会发布《关于人脸识别的指南》（全文翻译）

17. 人脸识别 | EDPB“关于通过视频设备处理个人数据的指南”（全文翻译）

关于欧盟技术主权相关举措的翻译和分析：

1. 技术主权视野下的欧盟数字化转型战略探析（DPO社群出品）
   

2. 欧盟委员会主席首提“技术主权”概念

3. 推进欧洲可持续和数字化转型：《欧洲新工业战略》解读（DPO社群成员观点）
   

4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架

8. 欧盟《数字市场法》选译之一：解释性备忘录

9. 欧盟《数字市场法》选译之二：序言和条文

10. 欧盟《数字服务法》选译之一：解释性备忘录

11. 欧盟《数字服务法》选译之二：序言

12. 欧盟《数字服务法》选译之三：（实体规则方面的）条文

13. 欧盟《数字服务法》《数字市场法》简评

14. 欧洲法院：欧盟成员国的数据保护机构都可对Facebook提出隐私方面的诉讼

15. 欧盟技术主权 | 《电子隐私条例》（e-Privacy Regulation）全文翻译

关于数据与竞争政策的翻译和分析：

1. "法国竞争管理局对苹果iOS限制APP追踪措施的初步决定"全文翻译（上篇）

2. "法国竞争管理局对苹果iOS限制APP追踪措施的初步决定"全文翻译（下篇）

3. 欧盟与谷歌在反垄断方面的大事记（竞争法研究笔记一）

4. Facebook时代的合并政策（竞争法研究笔记二）

5. “在隐私辩论中关注竞争水平的维护”（竞争法研究笔记三）

6. 欧盟委员会针对亚马逊开展调查（竞争法研究笔记四）

7. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

8. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

9. 案件摘要：德国反垄断监管机构对Facebook数据收集融合行为裁决

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

关于人工智能监管指导文件的翻译：

1. 《英国ICO人工智能与数据保护指引》选译 | 如何保护人工智能系统中的个人权利？

2. 《英国ICO人工智能与数据保护指引》选译 | 如何评估AI的安全性和数据最小化？

3. 英国ICO人工智能指导 | 数据分析工具包（全文翻译）

数据安全法系列文件：

1. 对《数据安全法》的理解和认识 | 立法思路

2. 对《数据安全法》的理解和认识 | 数据分级分类

3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

4. 对《数据安全法》的理解和认识 | 重要数据如何保护
   

   
   

中国个人信息保护立法系列文章：

1. 中国个人信息保护立法 | 《个人信息保护法(草案)》与GDPR的比较

2. 中国个人信息保护立法 | 合同所必需：魔鬼在细节之中

3. 对《常见类型移动互联网应用程序必要个人信息范围规定》的两点理解

4. 对《常见类型移动互联网应用程序必要个人信息范围规定》的再理解

5. 理解《数据安全法》《个人信息保护法》二审稿的实质性修改内容（一）

健康医疗大数据系列文章：

1. 健康医疗大数据系列文章之一：英国健康医疗大数据平台care.data之殇
   

2. 健康医疗大数据系列文章之二：安全是健康医疗大数据应用的核心基础
   

3. 健康医疗大数据系列文章之三：棘手的健康医疗大数据共享、开放、利用
   

4. 英美健康医疗大数据安全现状和合规研究

5. 健康医疗数据 | NHS计划与第三方共享病人记录

6. 健康医疗数据 | NHS数据共享计划的“隐私政策”

7. 健康医疗数据 | NHS数据共享计划所引发的公众担忧

网联汽车数据的系列文章：

1. 《汽车数据安全管理若干规定（征求意见稿）》 | 规范对象和基本原则
   

2. 《汽车数据安全管理若干规定（征求意见稿）》 | 个人信息和重要数据的细化规范
   

3. 《汽车数据安全管理若干规定（征求意见稿）》 | 数据出境和监管手段
   

4. 《汽车数据安全管理若干规定（征求意见稿）》 | 配套制度
   

5. 《汽车数据安全管理若干规定（征求意见稿）》 | “汽车数据”与EDPB指南中的联网车辆
   

6. 《汽车数据安全管理若干规定（征求意见稿）》 | “车内处理”与EDPB指南中“终端设备”
   

7. 《汽车数据安全管理若干规定（征求意见稿）》 | 个人信息的分类分级规则

8. 《汽车数据安全管理若干规定（征求意见稿）》 | 向车外提供数据的规则
   

9. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

10. EDPB《车联网个人数据保护指南2.0》比较翻译（DPO社群出品）
    

11. 网联车辆 | 网联车辆采集和产生的数据类型概览

12. 网联车辆 | 美国联邦贸易委员会（FTC）对数据隐私的原则性观点

13. 网联车辆 | 德国官方和行业协会在数据保护方面的联合声明

14. 网联车辆 | 英国信息专员办公室(ICO)就个人数据保护的立场和意见

15. 网联车辆 | 法国数据保护局（CNIL）的一揽子合规方案

16. 网联车辆 | 电信领域国际数据保护工作组的工作文件（全文翻译）

17. 《汽车数据安全管理若干规定（征求意见稿）》 | 运营者概念