查看原文
其他

重要数据 | 国家安全视野中的数据分类分级保护

洪延青 网安寻路人 2022-03-29

编者按:

关于《数据安全法》,本公号发表过的相关文章包括:

  1. 对《数据安全法》的理解和认识 | 立法思路

  2. 对《数据安全法》的理解和认识 | 数据分级分类

  3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

  4. 对《数据安全法》的理解和认识 | 重要数据如何保护

  5. 评《网络安全法》对数据安全保护之得与失

  6. 从立法价值取向出发理解《网络安全法》中的"重要数据"

  7. 欧盟《数据法》构思B2G数据强制共享与我国“重要数据”:公共属性

  8. 重要数据 | 级别概念 vs 类别概念


在《个人信息保护法》《数据安全法》的框架下,可以预期行业监管部门将会制定适用于本行业的数据安全和个人信息保护方面的法律法规,因此,公号君开始一个新的系列:

  1. 行业梳理 | 征信业的十个增强式数据安全保护要求

  2. 行业梳理 | 工信领域数据安全中的分类分级


 今天这篇文章是公号君发表在《中国法律评论》2021年第5期的文章——【洪延青:国家安全视野中的数据分类分级保护|中法评 · 专论】。在此,非常感谢中法评的老师耐心和悉心的指导和编辑。



对数据分类分级,是开展数据安全治理的起始点。目前,在我国网络安全和数据安全相关的法律法规中,数据分类分级的要求多有体现,但基本上这些分类分级的思路和方案均站在组织内部的视角,目的是提升组织的数据安全管理能力和水平。本文将之称为“自下而上”的数据分类分级。而《数据安全法》创造性地提出了“自上而下”的数据分类分级路径,其第21条规定“国家建立数据分类分级保护制度”,其重要意义可以与《网络安全法》第21条的“国家实行网络安全等级保护制度”做类比。本文分析此项制度设计的背景和逻辑,以及其对数据主权国际竞争加剧态势下的重大影响和意义。


目次一、现有数据分类分级的保护路径二、《数据安全法》对数据分类分级保护的制度设计三、数据分类分级的国际竞争意义四、结语


本文来源为《中国法律评论》2021年第5期专论(第71-78页),原文10000余字,为阅读方便,脚注从略。如需引用,可参阅原文。




在网络安全领域,对数字资产(包括信息系统、网络系统、数据等)的安全保护,起始于对数字资产的分类分级。将数字资产划分成不同的类别和不同的级别,就能相应地确定与类别和级别匹配的安全保护水平和措施。在我国,分类分级的思想最早贯彻于网络和信息系统的安全治理工作之中。在《网络安全法》生效之前,我国将“信息安全等级保护制度”作为国家信息安全保障体系中的“一项基本制度”。“信息安全等级保护制度”是指“对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。”


2017年《网络安全法》开始实施,其将网络运营者划分为一般的网络运营者和关键信息基础设施运营者两大类。后者为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”,前者即是“网络的所有者、管理者和网络服务提供者”中的非关键信息基础设施的其他运营者。


同时对于所有的网络运营者,《网络安全法》将“信息安全等级保护制度”升级为“网络安全等级保护制度”。该制度“根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素”,将其划分为五个级别。不同级别的等级保护对象应具备不同的基本安全保护能力。


相对于对网络和信息系统的分类分级,我国从安全保护角度对数据的分类分级要求比较新。《网络安全法》第21条规定,网络运营者为“防止网络数据泄露或者被窃取、篡改”应当履行的最基本的安全保护义务之一,即“采取数据分类、重要数据备份和加密等措施”。此后主管监管部门发布的相关规定,对数据分类分级也做出了要求。


2021年9月1日生效的《数据安全法》,对数据分类分级作出了专门规定,提出:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。


国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”全国人大常委会法制工作委员会对《数据安全法》的立法说明中,将数据分类分级管理制度作为国家数据安全管理制度和体系中的首要制度。


仔细分析《数据安全法》和《网络安全法》中对数据分类分级的规定,可以发现一个显著的区别:《网络安全法》中开展数据分类工作的主体是网络运营者;在《数据安全法》中,数据分类分级的主体却是国家。本文认为,数据分类分级工作的主体不同,蕴含着对数据安全保护思路和工作路径的重大变化,凸显了国家对数据作为基础性战略资源的认识和管理思路的升级,更是服务于数据主权的国际竞争。


本文的内容安排如下:第一部分是对现有数据分类分级保护路径的梳理和分析;第二部分解析《数据安全法》数据分类分级保护的制度设计,并对《数据安全法》中提出的重要数据和核心数据做出解构和重构;第三部分阐释数据分类分级安全管理制度在国际竞争方面的重大意义;最后,本文尝试对数据分类分级工作落地实施提出建议。


现有数据分类分级的保护路径


无论是现行的法律、行政法规还是部门规章,都仅仅止步于提出数据分类分级的要求,并没有对如何分类分级提出进一步的方案。


例如在行政法规层面,国务院2018年3月发布的《科学数据管理办法》第10条规定:“科学数据中心负责科学数据的分级分类”;第20条规定“法人单位要对科学数据进行分级分类,明确科学数据的密级和保密期限、开放条件、开放对象和审核程序等”。


在部门规章或规范性文件层面,例如中国证券监督管理委员会2019年6月实施的《证券基金经营机构信息技术管理办法》第30条规定:“证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排。”中国银保监会办公厅2019年5月发布的《关于开展银行业和保险业网络安全专项治理工作的通知》规定:银行业和保险业机构应当“强化客户信息保护。要制定数据安全分类分级标准,构建覆盖客户信息全生命周期的保护体系,防范数据被窃取”。工业和信息化部办公厅2019年6月印发的《电信和互联网行业提升网络数据安全保护能力专项行动方案》规定,电信和互联网行业应“加快建立网络数据分类分级保护、数据安全风险评估、数据安全事件通报处置、数据对外提供使用报告等制度”。


在国家部委发布的指引性文件,或者国家和行业标准层面,可以看到一些尝试或方案。工业和信息化部2020年2月印发的《工业数据分类分级指南(试行)》中,提出了对工业数据的分类和分级标准。该指南第5条提出:“工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。”


沿着第5条,该指南在第6条中给出了工业企业的数据分类范例:“工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)。”至于数据分级,该指南根据数据发生“篡改、破坏、泄露或非法利用”后造成的危害——“可能对工业生产、经济效益等带来的潜在影响”作为数据分级的标准,将数据分为三级。


同样,证监会于2018年9月正式公布实施《证券期货业数据分类分级指引》。该指引第6.4条要求:“本标准推荐的分类分级方法,从业务条线出发,首先对业务细分,其次对数据细分,形成从总到分的树形逻辑体系结构,最后,对分类后的数据确定级别;同时,推荐考虑确定数据形态……”具体来说,数据分类“依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类”。数据分级“是以数据分类为基础,采用规范、明确的方法区分数据的重要性和敏感度差异,并确定数据级别”。


秉持类似思路的还有2020年2月中国人民银行正式发布的《个人金融信息保护技术规范》(JR/T0171—2020)。在这些尝试或方案中,数据分类采取的路径主要是一种“实然”(“是什么就是什么”)路径。此种路径的基本思路是不改变企业实际如何组织生产的方式和流程,且客观描述在这个方式和流程中所收集、产生出的数据类型。在完成数据分类的前提下,根据“后果”路径,来对数据进行分级。此种路径的基本思路是根据某类数据的安全属性(完整性、保密性、可用性)遭到破坏后的影响对象、影响范围、影响程度,对数据进行定级。一般来说,有分为三级的,也有分为四级的。本文将上述思路统称为“自下而上”的数据分类分级。


目前部委指导性文件和标准所提出的数据分类分级路径,给企业内部开展数据治理提供了很好的思路。如果企业能按照上述路径开展分类分级工作,就能够对其所掌握的数据建立管理目录,并对目录里面的数据进行“差序有致”的管理,最终达到对数据资产的高效利用和有效保护。


正如《证券期货业数据分类分级指引》对数据分类分级的阐释:“数据分类是数据保护工作中的一个关键部分,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。行业机构按照统一的数据分类方法,依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类,可以全面清晰地厘清数据资产,对数据资产实现规范化管理,并有利于数据的维护和扩充。数据分类为数据分级管理奠定基础”,“数据分级有助于行业机构根据数据不同级别,确定数据在其生命周期的各个环节应采取的数据安全防护策略和管控措施,进而提高机构的数据管理和安全防护水平,确保数据的完整性、保密性和可用性”。


采取“自下而上”的数据分类分级,本质上是站在组织的内部视角来看数据分类分级,目的是防止组织的资产和权益因为数据安全事件而受损。这种“自下而上”的数据分类分级模式有三个问题。第一个问题是,对数据提供何种保护水平仅仅由组织自行决定。以个人信息保护为例,组织出于自身的利益保护,普遍会将个人信息赋予高水平的保护,但其主要考虑的是防止因个人信息保护不利而导致的企业名誉、监管、司法等方面的风险,但对个人信息充分利用的考量(包括分析、与第三方共享、在生态内流转、向境外传输等)始终占据优先级。因此其对个人信息保护的水平并不一定达到组织外部的个人、社会、监管部门所期待的水平。


第二个问题是,很多情况下,掌握在企业手中的数据对国家、社会、个人的价值,要比对企业来说价值更高;或者说,一旦出现安全事件,对国家、社会、个人造成的危害可能比对企业利益的危害更大。例如剑桥分析事件中,Facebook疏于对第三方小程序的管理,导致8700万个人的数据被非法用于政治选举目的,包括影响脱欧公投和美国总统大选等。


这就出现了一个所谓的“外部性”问题。外部性又称为外溢效应,指一个人或一群人的行动和决策使另一个人或另一群人受损或受益的情况。显然,目前站在组织内部角度的“自下而上”的数据分类分级,并不能很好地解决数据安全管理中的“外部性”问题。因此,为了督促或监督企业切实负起数据安全责任,同时对某些“外部性”很强的数据类型给予更高水平的安全保护,就需要国家站在组织的外部,要求组织对具体的、特定的数据类别,比其单纯从自身角度出发所意愿供给的安全水平提供更高水平的保护。


“自下而上”的数据分类分级的第三个问题是,目前的部委指导性文件和标准所提出的数据分类分级路径,在单个行业、单个组织的内部可以适用,但是对于面对不同行业的众多组织的主管监管部门来说,不具备互操作性,即一个组织的数据分类或数据分级,很可能与另外一个组织的数据分类和数据分级截然不同。这种情况下,数据安全主管监管机关很可能无法开展统一的管理和监督工作,更无法判断组织对不同类型和级别数据采取的安全保护措施,是否能够充分维护个人合法权益、公共利益和国家利益。


《数据安全法》对数据分类分级保护的制度设计


在上述背景下,《数据安全法》提出的由国家而非组织来实施数据分类分级的制度设计(本文称之为“自上而下”的数据分类分级),就能得到很好的解释。“自上而下”的数据分类分级,要求国家根据数据对国家、社会的价值(“数据在经济社会发展中的重要程度”)以及出现安全事件后造成的危害后果(“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”),来开展数据分类分级的工作。在分类分级工作完成之后,即可以强制性地配适不同程度的安全保护规则,目的在于要求组织吸收或内化“外部性”效应。


实际上,这种“自上而下”分类分级路径在数据安全之外的领域并不鲜见。例如前文提到的对网络和信息系统,区分为一般运营者和关键信息基础设施运营者这两大类。犹如国家对劳动人口的身份管理,国家就“自上而下”地将劳动人口划分为公务员、事业单位人员、企业员工、务农人员等。这样一种站在全局视角下的相对整齐划一的分类,一直是国家统一管理的有效工具。


《数据安全法》实际上已经“自上而下”地划定了两个主要的数据类型:个人信息和重要数据。虽然《数据安全法》没有界定“重要数据”这个概念,但对其做了丰富的规则设计。例如重要数据的处理者应当明确数据安全负责人和管理机构(第27条);重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估;并向有关主管部门报送风险评估报告(第30条);关键信息基础设施所收集和产生的重要数据的出境安全评估使用《网络安全法》规定,其他数据处理者收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定(第31条)等。


而对个人信息的保护规则,《数据安全法》第53条规定,“开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定”,直接指向了《个人信息保护法》。由此,“作为数据领域的基础性法律”的《数据安全法》初步完成了“自上而下”的数据分类分级中的数据分类工作,并设计了不同类别的数据的基本保护规则。相较于个人信息,重要数据这个概念极为新颖,因此下文将重点对其内涵做出分析。


实际上,重要数据为《网络安全法》首次提出,回顾“重要数据”的产生过程,可回溯到《网络安全法(草案)》三读与最终稿之间出现的一个微妙变化。三读文本中使用的是“重要业务数据”,对此,可能存在两种理解:一是认为“业务数据”英文为“business data”,是组织机构与外界发生业务交互(transactions)的记录,不包括内部运营数据,例如组织机构人力资源管理方面的数据;二是认为“业务数据”同时包括组织机构“内部运作”和“外部业务交互”的数据。


如果最终“重要业务数据”的定义采用前者,则关键信息基础设施里存在其他类别的数据无需本地存储;如果采用后者,则可认为关键信息基础设施里的所有数据都要本地存储。在2016年11月7日通过的《网络安全法》最终文本中,立法者删除了“业务”两字,体现了立法者最后时刻的考量和决断。


在《网络安全法》生效(2017年6月1日)之前,中央网信办于2017年4月的《个人信息和重要数据出境安全评估办法(征求意见稿)》中第一次对重要数据做出界定。重要数据“是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南”。与其配套的国家标准《信息安全技术数据出境安全评估指南(草案)》在附录A中进一步定义了重要数据。虽然上述规则和标准始终处于征求意见稿的状态,但都明确了一点——重要数据的重要性,针对的是整体层面的利益保护,即保护国家安全、国计民生、公共利益。


因此,只要运营者的数据不涉及整体层面利益,就不属于“重要数据”的范畴。例如,一家互联网广告公司的高层会议纪要,如果不涉及国家、公共利益,显然不属于“重要数据”的范畴,这样的数据能够自由出境;但是一家生产战备物资的企业,其信息系统形成的进出货记录、库存水平等,可能就涉及国家安全事项,应当认定其为“重要数据”,《网络安全法》原则上要求境内存储。因此,从“重要业务数据”转变为“重要数据”,说明立法者摒弃业界熟悉的“个人数据、企业数据、国家数据”的分类方法,进而从数据所影响的价值着手。换句话说,不论是个人数据还是企业数据,只要有可能危及整体层面的利益,也会被认定为“重要数据”。因此,《网络安全法》首提“重要数据”,标志着“自上而下”的数据分类分级思路的雏形初现。


虽然上述规则和标准始终处于征求意见稿的状态,但2021年8月国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合颁布的《汽车数据安全管理若干规定(试行)》,沿着上述思路第一次对重要数据做出了具备法律效力的界定。其第3条规定:“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据”,并在汽车领域对重要数据进行了列举。此外,由工信部发布并于2021年7月生效的《基础电信企业重要数据识别指南》,也将重要数据界定为“企业在运营中收集、产生、控制的不涉及国家秘密,但与国家安全、经济发展、社会稳定,以及公共利益密切相关的数据,特别是与国家基础通信网络安全密切相关的数据”。


仔细分析上述在《数据安全法》文本发布之后出台的关于重要数据的界定,可以发现重要数据并不是从组织内部出发、基于业务的数据分类,而是始终站在数据背后的重要价值的保护之上。在过去,“个人数据、企业数据、国家数据”的分类存在一定的意义,因为国家掌握的数据,往往才有可能影响到整体层面的利益。但在大数据时代,数据收集、汇聚、流转等,大量地发生在公共部门之外,许多企业掌握着海量的数据资源。这些数据已经具备了影响国家、公共利益的可能性。


例如,超大互联网平台所掌握的海量用户信息,首先肯定是个人信息,同时也是企业拥有的数据,但是由于其规模和颗粒度均可比拟公安机关的国家人口基础信息库,准确性甚至更胜一筹,因此对国家来说,互联网平台所掌握的这样规模的人口信息数据一旦泄露,很可能对国家安全造成严重危害。再如为金融、能源、交通、电信等重要行业中的大型企业提供网络安全防护过程中产生的数据,包括系统架构、安全防护计划、策略、实施方案、漏洞等信息。这些数据虽然掌握在安全服务提供者手中,但这些数据一旦泄露,将大幅增加这些企业的网络安全风险。因此从国家层面来说,这些数据肯定属于“重要数据”,哪怕这些数据掌握在企业手中。


综上来说,判定重要数据,应放弃从“谁掌握数据”来着手(即“自下而上”的数据分类),而是从数据可能影响的价值、利益来判断;而全面判断数据可能影响的各种价值和利益,显然需要超越组织内部视角,需要国家“自上而下”地做出决断。因此,由中央国家安全领导机构负责建立的国家数据安全工作协调机制,将来把哪些类型的数据纳入重要数据目录之中,持有或掌握这些数据的组织就需要按照国家规定,“对列入目录的数据进行重点保护”。


数据分类分级的国际竞争意义


前述围绕着“自上而下”的数据分类分级和重要数据的分析显示,由于数据安全保护存在显著的“外部性”效应,因此国家对数据安全保护具有独立于组织、个人的利益,且该利益诉求在国际竞争的压力下越来越凸显。


著名的《外交事务》杂志在2021年第3期发表了一篇在国内广为传播的文章——《数据即是权力》。两位作者直言:“与全球经济的其他要素相比,数据与权力更紧密地交织在一起。作为创新的一个日益必要的投入,国际贸易的一个迅速扩大的元素,企业成功的一个重要因素,以及国家安全的一个重要层面,数据为所有拥有它的人提供了难以置信的优势。它也很容易被滥用。寻求反竞争优势(anticompetitive advantages)的国家和公司试图控制数据。那些希望破坏自由和隐私的人也是如此。”这段话非常清晰、全面地勾勒出数据安全保护对于国家间竞争至关重要的意义。


美国占据技术先发优势,有着强大的产业基础和服务贸易量。全球运营的美国企业成为美国数据立法的重要关切和杠杆因素,并据此实现管辖范围的扩张。美国数据主权战略基本上围绕着如何增强本国企业获得和控制企业的能力。一直以来,欧盟互联网产业发展相对落后于美国和我国,产业能力、基础设施、代表性企业相对有限,欧盟企业事实上处于数据弱势地位,欧盟在数字经济中的份额也与其自身的经济体量存在较大差距。


但近年欧盟转换了视角,以整个欧盟市场作为政策施力点,要求所有面向欧盟提供产品或服务的实体(无论是否在欧盟境内有机构存在)均应当接受欧盟的管辖,实现对掌握欧盟数据的跨国公司的有效规制。此外,欧盟高水平的数据保护规则极大地抬高了数据从欧盟流出的门槛,配合欧盟积极推动的“单一数字市场”和“欧洲数据空间”,欧盟走出了符合自身利益发展的数据战略,事实上扩张了欧盟对全球网络空间中数据的掌控能力。


从目前《数据安全法》《个人信息保护法》《网络安全法》等法律法规来看,我国并未提出系统性的符合国家主权、安全和发展利益的数据主权战略,更多的还是应对或对抗美欧“扩张式”的数据权力为主。例如,《数据安全法》《个人信息保护法》均有阻断外国“长臂”数据执法跨境调取的条款。为应对外国在出口管制、投资审查等领域中关于数据且针对我国的各种歧视性、限制性措施,《数据安全法》《个人信息保护法》同样有类似的应对性条款。在激烈的国际竞争中,我国理应配备法律工具来应对来自外国的压力,但在防守之余,我国可以在对外发展方面有所谋划。


“自上而下”的数据分类分级和重要数据,虽然主要服务于境内的数据安全管理工作需要,但其能在构建我国“外向型”数据主权战略之中发挥重要作用。本节提出三个方面的设想抛砖引玉。


其一,数据分类分级本身不是最终目的,对不同类别和级别的数据配适不同的安全保护规则,才是分类分级的落脚点。因此,对于国家主权、安全和发展利益至关重要的数据,可以通过分类分级和列入《数据安全法》提出的“重要数据目录”中,辅以更高要求的安全保护规则,包括数据跨境流动规则,以此实现对重要的数据要素的控制。


其二,在目前已经开展的自贸区试验中,出于实现更高水平的开放和融合的目标,赋予部分自贸试验区根据自身的产业结构、主要的商贸目的地、技术合作对象等因素,动态调整国家层面出台的“重要数据目录”的权力。通过便利的数据跨境规则,再发挥人才、资金等方面的优势因素,取得特色产业集中落地的效果。例如,北京和海南政治经济特点不同,北京的“两区建设”24和海南“自贸岛”建设完全可以因地制宜地实施不同的“重要数据目录”。


其三,为服务我国“一带一路”战略的实施,我国可以基于“一带一路”国家的实际情况,根据政治外交、商贸合作、人文交流等因素,制定面向不同国家的“重要数据目录”,有针对性地调适数据出境的范围宽窄和出境规则的松紧,以此取得对外合作的战略目标。


结语


《数据安全法》改变了我国数据分类分级工作的基本范式。“自下而上”的数据安全治理已不能完全满足数据种类数据量、分析技术、商业模式等爆炸性发展所衍生的新安全风险。“自上而下”的数据分类分级能够使组织有效地吸收其数据处理行为所产生的负面外部性。在法律层面,我国已经确立了个人信息和重要数据的基本分类。任何处理数据的组织应当高度关注国家制定的“重要数据目录”,相应地调整组织内部对数据分类分级的实践,并根据国家制定的个人信息和重要数据安全保护规则,更新组织所采用的安全保护措施。


从统筹安全和发展的角度来看,一方面,我国在开展数据分类分级工作和制定重要数据目录,应当秉持科学、客观、动态的原则,避免将过多的数据纳入重要数据的保护范围之中。另一方面,为更好地参与到数据资源的国际竞争之中,我国还可以灵活地使用数据分类分级和重要数据目的等政策工具,实施因地制宜的数据流动策略,使我国的主权、安全和发展利益最大化。



数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已超过300人。关于DPO社群和沙龙更多的情况如下:


域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  4. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  5. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  6. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  7. “108号公约”全文翻译(DPO沙龙出品)

  8. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  9. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  10. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  11. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  12. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  13. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  14. 英国ICO《数据共享行为守则》中译文(DPO社群出品)

  15. “hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)

  16. 法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)

  17. 美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)

  18. FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)

  19. ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)

  20. 德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)

  21. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  22. 印度《个人数据保护法》(2019年草案)全文翻译(DPO社群出品)

  23. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  24. AEPD和EDPS | “哈希函数简介——用于个人数据假名化技术”中译文(DPO社群出品)

  25. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  26. 联合发布 |《2020数字医疗:疫情防控新技术安全应用分析报告》

  27. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  28. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  29. 新版《个人信息安全规范》(35273-2020)正式发布

  30. 英国ICO | 《儿童适龄设计准则:在线服务实业准则》全文翻译之一

  31. 英国ICO | 《儿童适龄设计准则:在线服务实业准则》全文翻译之二

  32. 《个人信息安全影响评估指南》(GB/T 39335-2020)正式发布

  33. 《英国ICO人工智能与数据保护指引》选译 | 如何保护人工智能系统中的个人权利?

  34. 《英国ICO人工智能与数据保护指引》选译 | 如何评估AI的安全性和数据最小化?

  35. 西班牙数据保护局《默认数据保护指南》全文翻译(DPO社群出品)


DPO线下沙龙的实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

  18. 与欧美一流数据保护专家面对面(DPO沙龙特别活动)

  19. 第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径

  20. 第十八期DPO沙龙纪实:生物识别信息的安全保护

  21. 第十九期DPO沙龙纪实:《个人信息保护法(草案)》专题研讨会之一

  22. 第二十期DPO沙龙纪实:《个人信息保护法(草案)》专题研讨会之二


个人数据与域外国家安全审查系列文章

  1. 个人数据与域外国家安全审查初探(一):美欧概览

  2. 个人数据与域外国家安全审查初探(二):CFIUS实施条例详解

  3. 个人数据与域外国家安全审查初探(三):从美国《确保ICT技术与服务供应链安全》   

  4. 个人数据与域外国家安全审查初探(四):从美国《2019年安全与可信通信网络法案》看

  5. 个人数据与域外国家安全审查初探(五):禁止中国公司对StayNTouch的收购

  6. 个人数据与域外国家安全审查初探(六):《2019国家安全和个人数据保护法案》

  7. 个人数据与域外国家安全审查初探(七):美国众议院荒唐的决议草案

  8. 个人数据与域外国家安全审查初探(八):《2020安全的5G和未来通信》法案

  9. 个人数据与域外国家安全审查初探(九):澳大利亚《协助和访问法》

  10. 美国司法部狙击中国内幕(Inside DOJ's nationwide effort to take on China)

  11. 美国司法部“中国计划”的概况介绍

  12. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

  13. 理解特朗普禁令中的Transactions

  14. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

  15. 《国际紧急经济权力法》(IEEPA)的起源、演变和应用

  16. 个人数据与域外国家安全审查 | 美国安局对地理位置信息的建议(全文翻译)

  17. 外媒编译 | 诡秘的美国外国投资委员会如何成为贸易战的有力武器?


围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:

  1. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

  2. 理解特朗普禁令中的Transactions

  3. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

  4. TikTok和甲骨文合作中的“可信技术提供商” | 微软和德国电信合作的模式

  5. TikTok和甲骨文合作中的“可信技术提供商” | 苹果和云上贵州合作模式

  6. 外媒编译 | TikTok 零点时间:最后一刻的交易

  7. TikTok和甲骨文合作中的“可信技术提供商” | 来自EPIC的质疑和两家公司的回复


第29条工作组/EDPB关于GDPR的指导意见的翻译:

  1. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  3. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  5. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  7. EDPB《关于GDPR适用地域范围(第3条)的解释指南》全文翻译(DPO沙龙出品)

  8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  9. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  10. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)

  12. EDPB | 《对第2016/679号条例(GDPR)下同意的解释指南v1》中文翻译(DPO社群出品)

  13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译(DPO社群出品)

  14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译(DPO社群出品)

  15. EDPB | 《GDPR下数据控制者及数据处理者概念的指南(07/2020)》全文翻译

  16. EDPB | 《针对向社交媒体用户定向服务的指南(第8/2020号)》全文翻译

  17. 数据安全的法律要求 | DPB关于数据泄露通知示例的01/2021号指引


关于美国出口管制制度,本公号发表过系列文章:

  1. 美国出口管制制度系列文章之一:对“外国生产的产品”的相关规则

  2. 美国出口管制制度系列文章之二:适用EAR的步骤

  3. 美国出口管制制度系列文章之三:苏联油气管道的“华为”事件

  4. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准

  5. 美国出口管制 | BIS发布针对“基础性技术”出口管制的“拟议制定规则预先通知”

  6. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

  7. 美国出口管制 | ARM+美国公司收购=更强的出口管制?


供应链安全文章:

  1. 供应链安全 | 白宫发布关于降低依赖外国对手的重要矿产的行政令

  2. 供应链安全 | 美国从科技供应链中剔除中国行动的内幕(外媒编译)

  3. 供应链安全 | 英国政府推进《电信(安全)法案》以确保供应链安全


数据跨境流动政策、法律、实践的系列文章:

  1. 构建数据跨境流动安全评估框架:实现发展与安全的平衡

  2. 构建数据跨境流动安全评估框架:实现发展与安全的平衡(二)

  3. 构建数据跨境流动安全评估框架:实现发展与安全的平衡(三)

  4. 构建数据跨境流动安全评估框架:实现发展与安全的平衡(四)

  5. TPP对跨境金融数据“另眼相看”?

  6. 马来西亚拟将我国认定为个人数据跨境流动“白名单”地区

  7. 美国ITIF关于数据跨境流动的研究报告简介

  8. Chatham House举办Cyber 2017大会,关注中国数据跨境流动

  9. 俄罗斯个人信息保护机构对隐私政策和数据跨境流动的新举措

  10. 看清APEC“跨境隐私保护规则”体系背后的政治和经济

  11. 敬请关注“闭门会-数据跨境流通”

  12. “闭门会:数据跨境流动政策分析” 总结

  13. 欧盟个人数据跨境流动机制进展更新(截止201810)

  14. 俄罗斯数据本地化和跨境流动条款解析

  15. 亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)

  16. 《个人信息和重要数据出境安全评估办法》实现了安全与发展的平衡

  17. 数据出境安全评估:保护我国基础性战略资源的重要一环

  18. 个人信息和重要数据出境安全评估之“境内运营”

  19. 《数据出境安全评估:保护我国基础性战略资源的重要一环》英文版

  20. 个人信息和重要数据出境安全评估之“向境外提供”

  21. 数据出境安全评估基本框架的构建

  22. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  23. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  24. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  25. 《个人信息出境安全评估办法(征求意见稿)》解读:从中外比较的角度

  26. 数据跨境流动 | 澳大利亚政府提出新的数据本地化要求

  27. 数据跨境流动 | 美欧“隐私盾协议”被判无效背后的逻辑

  28. 数据跨境流动 | 欧盟EDPB对欧盟隐私盾协议被判无效的相关问答(全文翻译)

  29. “清洁网络计划”下的APEC跨境隐私保护(CBPR)体系

  30. 数据跨境流动 | 爱尔兰DPA即将禁止FACEBOOK的数据跨境传输

  31. 数据跨境流动 | 最新判决将显著影响英国与欧洲大陆之间的数据自由流动

  32. 数据跨境流动 | 爱尔兰高等法院暂时允许Facebook继续个人数据跨大西洋传输

  33. 数据跨境流动 | 中国公司基于SCCs开展数据跨境流动的基本策略

  34. 数据跨境流动 | 美国三位高官就Schrems II判决公开向欧盟喊话

  35. 数据跨境流动 | 欧盟EDPS官员敦促美国强化个人救济以达到“实质等同”

  36. 数据跨境流动 | 美国政府白皮书正式回应欧盟Schrems II判决

  37. 数据跨境流动 | EDPB关于标准合同条款之外的“补充措施”的指南终于问世

  38. 数据跨境流动 | EDPB提出“评估目的国法律环境”的指南(全文翻译)

  39. 数据跨境流动 | 微软率先提出对欧盟数据的专属“保护措施”

  40. 数据跨境流动 | 欧盟新版标准合同条款全文翻译

  41. 数据跨境流动 | EDPB和EDPS通过了关于新的SCCs的联合意见

  42. 数据跨境流动 | 东盟跨境数据流动示范合同条款(全文翻译)

  43. 数据跨境流动 | 东盟数据管理框架(全文翻译)

  44. 数据跨境流动 | 推进“一带一路”数据跨境流动的中国方案(专论)

  45. 数据跨境流动 | 欧盟新版标准合同条款(最终版)全文翻译

  46. 数据跨境流动 | 欧盟关于欧盟境内的控制者和处理者间标准合同条款(全文翻译 )

  47. 数据跨境流动 | EDPB关于标准合同条款之外的“补充措施”指南2.0版(全文翻译)

  48. 数据跨境流动 | 两张图解读EDBP“数据跨境转移补充措施的最终建议”

  49. 数据跨境流动 | 推进“一带一路”数据跨境流动的中国方案(英文本)

  50. 数据出境安全保障的中国路径


传染病疫情防控与个人信息保护系列文章

  1. 传染病疫情防控与个人信息保护初探之一:个人信息的性质

  2. 传染病疫情防控与个人信息保护初探之二:同意的例外

  3. 传染病疫情防控与个人信息保护初探之三:数据技术的应用路径

  4. 传染病疫情防控与个人信息保护初探之四:接触追踪的数据共享安全规范

  5. 传染病疫情防控与个人信息保护初探之五:电信数据的安全规范

  6. 传染病疫情防控与个人信息保护初探之六:GDPR框架下的公共卫生数据共享

  7. 传染病疫情防控与个人信息保护初探之七:美国公共卫生机构的数据调取权力

  8. 传染病疫情防控与个人信息保护初探之完结篇:解读中央网信办通知

  9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总(DPO社群出品)

  10. 美国疫情防控中的关键基础设施的识别和认定(DPO社群出品)

  11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)

  12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译(DPO沙龙出品) 

  13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

  14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

  15. 疫情防控常态化中的接触追踪:中国方案

  16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译(DPO社群出品)

  17. 来自欧洲的接触追踪协议(ROBERT Protocol)的基本原理:漫画图解

  18. 英国信息专员对苹果谷歌接触追踪项目的官方意见:全文翻译(DPO社群出品)

  19. 三百名学者关于接触追踪APP的联合声明

  20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)

  21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

  22. 韩国利用ICT抗疫经验总结:接触追踪部分(中文翻译)

  23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱(DPO沙龙出品)

  24. EDPB | 关于在COVID-19疫情背景下为科研目的处理健康数据指南(全文翻译)


关于数据与竞争政策的翻译和分析:

  1. "法国竞争管理局对苹果iOS限制APP追踪措施的初步决定"全文翻译(上篇)

  2. "法国竞争管理局对苹果iOS限制APP追踪措施的初步决定"全文翻译(下篇)

  3. 欧盟与谷歌在反垄断方面的大事记(竞争法研究笔记一)

  4. Facebook时代的合并政策(竞争法研究笔记二)

  5. “在隐私辩论中关注竞争水平的维护”(竞争法研究笔记三)

  6. 欧盟委员会针对亚马逊开展调查(竞争法研究笔记四)

  7. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  8. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  9. 案件摘要:德国反垄断监管机构对Facebook数据收集融合行为裁决

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”


健康医疗大数据系列文章:

  1. 健康医疗大数据系列文章之一:英国健康医疗大数据平台care.data之殇

  2. 健康医疗大数据系列文章之二:安全是健康医疗大数据应用的核心基础

  3. 健康医疗大数据系列文章之三:棘手的健康医疗大数据共享、开放、利用

  4. 英美健康医疗大数据安全现状和合规研究

  5. 健康医疗数据 | NHS计划与第三方共享病人记录

  6. 健康医疗数据 | NHS数据共享计划的“隐私政策”

  7. 健康医疗数据 | NHS数据共享计划所引发的公众担忧


网联汽车数据和自动驾驶的系列文章:

  1. 自动驾驶数据共享:效用与障碍

  2. 自动驾驶数据共享:效用与障碍(附文字实录)

  3. 北京市关于自动驾驶车辆道路测试的立法综述及动态(DPO社群成员观点)

  4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡(DPO社群成员观点)

  5. 《汽车数据安全管理若干规定(征求意见稿)》 | 规范对象和基本原则

  6. 《汽车数据安全管理若干规定(征求意见稿)》 | 个人信息和重要数据的细化规范

  7. 《汽车数据安全管理若干规定(征求意见稿)》 | 数据出境和监管手段

  8. 《汽车数据安全管理若干规定(征求意见稿)》 | 配套制度

  9. 《汽车数据安全管理若干规定(征求意见稿)》 | “汽车数据”与EDPB指南中的联网车辆

  10. 《汽车数据安全管理若干规定(征求意见稿)》 | “车内处理”与EDPB指南中“终端设备”

  11. 《汽车数据安全管理若干规定(征求意见稿)》 | 个人信息的分类分级规则

  12. 《汽车数据安全管理若干规定(征求意见稿)》 | 向车外提供数据的规则

  13. EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)

  14. EDPB《车联网个人数据保护指南2.0》比较翻译(DPO社群出品)

  15. 网联车辆 | 网联车辆采集和产生的数据类型概览

  16. 网联车辆 | 美国联邦贸易委员会(FTC)对数据隐私的原则性观点

  17. 网联车辆 | 德国官方和行业协会在数据保护方面的联合声明

  18. 网联车辆 | 英国信息专员办公室(ICO)就个人数据保护的立场和意见

  19. 网联车辆 | 法国数据保护局(CNIL)的一揽子合规方案

  20. 网联车辆 | 电信领域国际数据保护工作组的工作文件(全文翻译)

  21. 《汽车数据安全管理若干规定(征求意见稿)》 | 运营者概念


关于中美与国家安全相关的审查机制的系列文章:

  1. 美国电信行业涉及外国参与的安全审查(一):基本制度介绍

  2. 美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权

  3. 美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令

  4. 美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令

  5. 网络安全审查制度利刃出鞘

  6. 对《网络安全审查办法(征求意见稿)》的几点观察

  7. 网络安全审查制度吹响了向网络安全强国迈进的号角

  8. 我国网络安全审查制度走向前台

  9. 网络安全审查的中欧比较:以5G为例

  10. 网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨:以5G安全为例

  11. ICTS安全审查 | 美国针对“信息和通信技术及服务”和“联网应用”安全审查的两个行政令

  12. ICTS安全审查 | 美国智库学者的分析和呼吁

  13. ICTS安全审查 | 美国商务部确保ICTS供应链安全实施规则(全文翻译)


网络空间的国际法适用问题系列文章:

  1. 塔林手册2.0是如何看待数据的?

  2. 国际法适用网络空间 | 德国立场文件如何看待具有国家背景的网络攻击


赴美上市网络、数据安全风险系列文章如下:

  1. 赴美上市与网络、数据安全 | 美国SEC对赴美上市公司披露义务的指导意见

  2. 赴美上市与网络、数据安全 | 时任美国SEC的领导层对上市公司网络安全披露的观点

  3. 赴美上市与网络、数据安全 | 美国SEC强制或自愿性要求信息提供的权力

  4. 赴美上市与网络、数据安全 | 美国SEC针对会计师事务所从域外调取信息的权力和实践

  5. 赴美上市与网络、数据安全 | 美国SEC关于网络安全事项披露的2018指南(全文翻译)

  6. 赴美上市与网络、数据安全 | 美国《外国公司问责法案》(全文翻译)

  7. 赴美上市与网络、数据安全 | 美国SEC关于非财务报告要求的概览

  8. 赴美上市与网络、数据安全 | 美国SEC关于“重大合同”的披露要求

  9. 赴美上市与网络、数据安全 | PCAOB落实《外国公司问责法案》的规则草案

  10. 赴美上市与网络、数据安全 | 美国政客推动加速《外国公司问责法案》的执行

  11. 赴美上市与网络、数据安全 | 美国法下获取我国赴美上市企业数据的可能性(上)

  12. 赴美上市与网络、数据安全 | SEC主席对中国监管措施的最新表态


人脸识别系列文章:

  1. 欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)

  2. 法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)

  3. 零售门店使用人脸识别技术的主要法律问题(DPO社群成员观点)

  4. 人脸识别技术的规制框架(PPT+讲稿)

  5. 人脸识别技术运用的六大场景及法律规制框架的适配(DPO社群成员观点)

  6. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  7. 美国联邦隐私保护立法草案研究(四):“生物识别信息”

  8. 美国华盛顿州人脸识别服务法案中文翻译(DPO社群出品)

  9. PAI | 《理解人脸识别系统》全文翻译(DPO社群出品)

  10. 解读世界首例警方使用人脸识别技术合法性判决二审判决(DPO社群成员观点)

  11. 人脸识别技术研究综述(一):应用场景

  12. 人脸识别技术研究综述(二):技术缺陷和潜在的偏见

  13. 美国人脸识别技术的法律规范研究综述 | 拼凑式(Patchwork)的范式

  14. 美国《2020年国家生物识别信息隐私法案》中译文

  15. 人脸识别技术是潘多拉盒子还是阿拉丁神灯?

  16. 人脸识别 | “第108号公约+”咨询委员会发布《关于人脸识别的指南》(全文翻译)

  17. 人脸识别 | EDPB“关于通过视频设备处理个人数据的指南”(全文翻译)

  18. 人脸识别 | EDPS关于面部情绪识别的观点

  19. 人脸识别 | 保护人脸信息 规范行业健康发展的有效司法路径

  20. 人脸识别 | 对我国“人脸识别技术民事案件司法解释”中“单独同意”的理解


关于欧盟技术主权相关举措的翻译和分析:

  1. 技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)

  2. 欧盟委员会主席首提“技术主权”概念

  3. 推进欧洲可持续和数字化转型:《欧洲新工业战略》解读(DPO社群成员观点)

  4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

  5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

  6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

  7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架

  8. 欧盟《数字市场法》选译之一:解释性备忘录

  9. 欧盟《数字市场法》选译之二:序言和条文

  10. 欧盟《数字服务法》选译之一:解释性备忘录

  11. 欧盟《数字服务法》选译之二:序言

  12. 欧盟《数字服务法》选译之三:(实体规则方面的)条文

  13. 欧盟《数字服务法》《数字市场法》简评

  14. 欧洲法院:欧盟成员国的数据保护机构都可对Facebook提出隐私方面的诉讼

  15. 欧盟技术主权 | 《电子隐私条例》(e-Privacy Regulation)全文翻译

  16. 欧盟技术主权 | “欧盟在全球数据争夺战中的位置”:欧盟副主席采访实录

  17. 欧盟技术主权 | “技术的地缘政治”:欧盟内部市场委员的演讲


数据要素治理的相关文章包括:

  1. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  2. 简析欧盟《数字市场法》关于数据方面的规定

  3. 数据流通障碍初探——以四个场景为例

  4. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点

  5. 对“数据共享合法化”的分析与思考 系列之二 ——欧盟B2B数据共享的案例研究

  6. 对“数据共享合法化”的分析与思考 系列之三 ——更好的保护才能更好的共享

  7. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)

  8. 数据爬取的法律风险综述(DPO社群成员观点)

  9. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  10. 澳《消费者数据权利法案》对数据共享与数据可携权的探索(DPO社群成员观点)

  11. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架

  12. 数据要素治理 | 欧盟《数据法》初始影响评估(全文翻译)


关于保护网络和信息系统安全的相关文章包括:

  1. 以风险治理的思想统筹设计关键信息基础设施保护工作

  2. 中德两国在识别关键信息基础设施方面的一点比较

  3. 美国疫情防控中的关键基础设施的识别和认定(DPO社群出品)

  4. 美国《关于改善国家网络安全的行政命令》分析之一

  5. 美国《关于改善国家网络安全的行政命令》之五大“看点”

  6. 网络和信息系统安全 | 网络安全信息共享:为什么和怎么做

  7. 网络和信息系统安全 | 主体责任与综合共治 关键信息基础设施保护的新格局


数据执法跨境调取的相关文章

  1. 微软起诉美国司法部:封口令违法!

  2. 网络主权的胜利?再评微软与FBI关于域外数据索取的争议

  3. 微软与FBI关于域外数据索取的争议暂告一段落

  4. 美国Cloud Act法案到底说了什么

  5. Cloud Act可能本周就得以通过!

  6. 修改版的Cloud Act终成为法律

  7. 欧盟推出自己的“Cloud Act”

  8. 美国快速通过Cloud法案 清晰明确数据主权战略

  9. 德国最高数据保护官员就美国“云法案”提出警告

  10. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  11. TikTok和甲骨文合作中的“可信技术提供商” | 微软和德国电信合作的模式

  12. TikTok和甲骨文合作中的“可信技术提供商” | 苹果和云上贵州合作模式

  13. 欧洲将立法允许执法跨境直接调取数据

  14. 数据跨境流动 | “法律战”漩涡中的执法跨境调取数据:以美欧中为例

  15. 赴美上市与网络、数据安全 | 美国SEC针对会计师事务所从域外调取信息的权力和实践

  16. 跨境数据调取 | 针对中资银行的数据调取行为概览

  17. 跨境数据调取 | 中美欧的模式冲突(耶鲁大学翻译版)


关于人工智能安全和监管,本公号发布过以下文章:

  1. 《英国ICO人工智能与数据保护指引》选译 | 如何评估AI的安全性和数据最小化?

  2. 英国ICO人工智能指导 | 数据分析工具包(全文翻译)

  3. 《英国ICO人工智能与数据保护指引》选译 | 如何保护人工智能系统中的个人权利?

  4. 人工智能 vs. 个人信息保护之“个人同意”

  5. 《以伦理为基础的设计:人工智能及自主系统以人类福祉为先的愿景(第一版)》

  6. AI监管 | EDPB和EDPS对欧盟AI条例的联合意见书(全文翻译)

  7. AI监管 | 对欧盟AI统一规则条例的详细分析

  8. AI监管 | 欧盟《AI统一规则条例(提案)》(全文翻译)

  9. AI监管 | 意大利因骑手算法歧视问题对两个食物配送公司处于高额罚款

  10. AI监管 | 用户数据用于AI模型训练场景的合规要点初探

  11. 我国信息服务算法推荐管理 | 与个人信息保护的耦合和差异

  12. 我国信息服务算法推荐管理 | 条文背后的技术逻辑“想象”

  13. 我国信息服务算法推荐管理 | 分类分级管理

  14. 我国信息服务算法推荐管理 | 合规的基础性工作:技术说明


数据的安全、个人信息保护、不正当竞争等方面的重大案例:

  1. 因隐私政策不合规,西班牙对Facebook开出巨额罚单

  2. 英法两国对 AdTech和广告类SDK的监管案例分析

  3. Facebook事件多层次影响 及中美欧三地监管展望

  4. FTC vs Facebook:50亿美元和解令的来龙去脉

  5. FTC与Facebook“2019和解令”全文翻译

  6. 案件摘要:德国反垄断监管机构对Facebook数据收集融合行为裁决

  7. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况

  8. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制

  9. GDPR与相关数据保护法律处罚案例调研

  10. 他山之石:美国20年间33个儿童信息保护违法案例分析

  11. 重大案件 | 分析WhatsApp的2.25亿欧元罚款决定:合法利益事项

  12. “脸书文件” | 爆料人的美国会听证会开场白、欧盟“数字服务法”推动人的表态


数字贸易协定的相关文章有:

  1. TPP对跨境金融数据“另眼相看”?

  2. 数字贸易协定 | 欧盟GDPR与WTO的必要性测试

  3. 数字贸易协定 |  GATS/GATT中“一般性例外条款”的援引实践

  4. 数字贸易协定 | 贸易谈判中的中美欧数据跨境流动博弈概览

  5. 数字贸易协定 | DEPA和CPTPP给国内数据本地化和跨境流动管控预留的“自由度”


中国个人信息保护立法的相关文章包括:

  1. 中国个人信息保护立法 | 《个人信息保护法(草案)》与GDPR的比较

  2. 中国个人信息保护立法 | 合同所必需:魔鬼在细节之中

  3. 对《常见类型移动互联网应用程序必要个人信息范围规定》的两点理解

  4. 对《常见类型移动互联网应用程序必要个人信息范围规定》的再理解

  5. 理解《数据安全法》《个人信息保护法》二审稿的实质性修改内容(一)

  6. 个保法解读之数据可携带权(DPO社群成员观点)

  7. 《个人信息保护法》与《个人信息安全规范》对照比较表

  8. 过度收集个人信息如何破解

  9. 中国个人信息保护立法 | 解析GDPR中的风险路径

  10. 中国个人信息保护立法 | 善用个人信息保护影响评估 灵活实现创新和个人保护的平衡

  11. 中国个人信息保护立法 | 《个人信息保护法》与GDPR 条文对比

  12. 中国个人信息保护立法 | 合规审计:英国ICO的指南(全文翻译)

  13. 个人信息保护 | 欧盟第29条工作组《关于网络行为广告的2/2010号意见》(全文翻译)

  14. 关于个人信息处理者用户规模的量级

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存