在萬眾矚目下,我國《個人信息保護法》歷經多年的醞釀,終于和國人乃至世界見面。對這部我國“數字時代的基本法”進行解讀,從不同的角度能看到不一樣的精妙之處。本篇文章關注數據可攜帶權。兩位作者來自于觀韜中茂律師事務所。
引言
8月20號,《個人信息保護法》在經過第三次審議后終于正式頒布,并將于11月1日正式生效,成為繼《網絡安全法》和《數據安全法》之后數據合規領域的重要基本法律。隨著互聯網和大數據技術的不斷發展,數據資源成為企業新的生產要素。企業在利用數據的過程中需要更好地保護個人的數據權利。新出的《個人信息保護法》借鑒了國外個人數據立法,在第45條中首次規定了數據可攜帶權。這一規定將對國內企業數據合規提出新的要求。
一、數據可攜帶權介紹
《個人信息保護法》第四十五條第一款規定“個人有權向個人信息處理者查閱、復制其個人信息”;第四十五條第三款規定“個人請求將其個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑”。根據該規定,數據主體將有權從數據控制者處獲取個人信息副本,以及請求數據控制者直接將其個人信息傳輸給另一實體。至此,數據可攜帶權正式成為一種個人在個人信息處理活動中的權利被納入我國個人信息保護法律體系。個人對其提交給數據處理者的個人信息將擁有更全面的控制。此次《個人信息保護法》雖然首次對數據可攜帶權作出規定,然而從法條內容來看,尚有一些不夠明確的地方,包括可攜帶權適用的數據范圍以及數據傳輸的形式。
2018年歐盟頒布的《通用數據保護條例》對數據可攜帶權(Right to data portability)作出了規定。根據該條例第20條規定,數據可攜帶權是指數據主體有權以結構化、通用的和機器可讀的格式接收其提供給控制者的有關自身的個人數據,并有權不受妨礙地將這些數據傳輸給另一個控制者。類似地,美國《加州消費者隱私法案》(CCPA)也規定經營者有義務根據消費者的訪問請求,立刻以郵寄或可攜帶的和可使用的電子方式向消費者免費披露和傳輸其個人信息,以便消費者能夠將數據不受限制地傳輸給另一實體。[1]
二、數據可攜帶權回應的問題
數據可攜帶權的引入,主要是為了解決數據平臺的數據壟斷問題。一方面,數據可攜帶權被作為數據主體的數據權利之一,加強了數據主體對其個人數據的控制。例如《通用數據保護條例》是在第20條單獨規定了數據可攜帶權,而《加州消費者隱私法案》則是將數據可攜帶權規定在數據訪問權(right to access)中。另一方面,數據可攜帶權也成為反壟斷法中的重要制度,規制數據平臺的壟斷行為。2020 年 12 月,歐盟委員會提出《數字市場法案》(DMA),通過對科技巨頭的行為施加直接限制,以規范數字世界的看門人,包括谷歌、Facebook、亞馬遜、蘋果、微軟和 SAP 等公司。[2]看門人作為數據平臺,充當兩個或多個用戶組(例如買家和賣家)之間的重要紐帶。當他們在平臺的一側(比如買家)吸引大量用戶時,守門人可能會成為通往這些市場或客戶的路上不可避免的收費站——平臺另一端的用戶(比如賣家)可能別無選擇而使用看門人的平臺設施。《數字市場法案》進一步將數據可攜帶權的權利主體擴大至企業用戶,允許企業用戶和個人用戶攜帶并轉移其在平臺上產生的數據。
隨著我國平臺經濟的迅速發展,今年2月7日,《國務院反壟斷委員會關于平臺經濟領域的反壟斷指南》(下稱“《指南》”)發布,以規制平臺經營者利用其壟斷地位進行“大數據殺熟”、強迫商家“二選一”等不公平競爭等行為。根據《指南》第11條,關于市場支配地位的認定,需要考慮經營者的財力和技術條件,包括掌握和處理相關數據的能力;以及其他經營者進入相關市場的難易程度,包括數據獲取的難易程度。可以預見的是,隨著《個人信息保護法》的實施,數據可攜帶權將有利保障數據在不同經營者之間的流動,促進經營者公平競爭。同時,數據可攜帶權的確立也可能會很大程度上降低數據獲取方涉嫌不正當競爭的風險。在用戶同意并授權的情形下,數據獲取方從數據控制者處獲取用戶數據,將不再構成不正當競爭。
三、數據可攜帶權的尚待明確的問題
第一,數據可攜帶權的客體范圍不明確。此次《個人信息保護法》對于數據可攜帶權的規定還比較籠統。關于數據可攜帶權適用的數據范圍尚不明確。按照實踐中的觀點,個人對于其提交給數據控制者的可識別性的原生數據,即基礎數據應該具有所有權。而對于與用戶有關的監測數據是否應當屬于可攜帶權的范圍則未明確規定。此外,對于數據控制者經過算法加工、計算、聚合而成的衍生數據,一般認為獲取該類數據需要獲得數據控制者的同意,[3]即該類數據不屬于數據可攜帶權的范圍。有關數據可攜帶權的適用范圍,可以借鑒歐盟的相關規定。根據第29條工作組(歐盟數據保護委員會前身)制定的《數據可攜權指南》[4],數據可攜帶權的范圍包括兩類情形:(1)數據主體有意和主動提供的個人數據(如收件地址、用戶名、年齡等)(2)數據主體通過使用服務或者設備所提供的觀測數據。
第二,數據可攜帶權下傳輸的數據形式不明確。《個人信息保護法》第45條第3款關于數據轉移的方式,法條表述為“個人信息處理者應當提供轉移的途徑”,條文并未明確傳輸數據格式應當滿足的要求。歐盟《通用數據保護條例》第20條采用的是“以結構化、通用的和機器可讀的格式”(in a structured, commonly used andmachine-readable format)傳輸個人數據。事實上,《個人信息保護法》第45條第1款中“個人有權向個人信息處理者查閱、復制其個人信息”中的“查閱、復制”的表述在文義上充滿了前互聯網時代的意味,似乎未充分考慮到數字時代的大背景——個人信息主體并不會像查閱賬簿一樣去數據控制者那里去查看自己的個人信息,并要求提供其個人信息的復印件。[5]因此,正確的解讀應該是,數據主體可以通過網絡隨時訪問數據控制者處理的個人信息。同理,數據控制者也應當以可攜帶的、通用的、機器可讀的形式向數據主體或者經指定的數據接收方傳輸個人信息。
四、數據可攜帶權對企業的合規啟示
關于可攜帶數據的傳輸格式,根據《個人信息保護法》第45條第1款和第3款,數據可攜帶權的內容包括數據主體獲取個人信息副本權,以及請求數據控制者直接將與數據主體有關的個人信息傳輸給另一數據控制者的權利。在第二種情形下,作為第三方的數據獲取方基于數據主體的同意或基于合同約定而采取自動化的方式處理數據,數據主體可以行使副本獲取權和請求將數據傳輸給第三方的權利。此時,作為數據控制者的企業,在不違反國家網信部門規定條件下,有義務將用戶的個人數據傳輸給第三方數據企業。雖然法律未能明確這樣的數據傳輸應當滿足的電子格式,但為了履行用戶請求之目的,即為了數據獲取方能夠現實地接受并有效利用這些個人信息,數據傳輸方應當以可攜帶的、通用的和機器可讀的格式進行傳輸。
關于數據可攜帶權的客體方面,數據主體提供的基礎數據和通過使用服務或者產品設備而被數據處理者合法收集的觀測數據應當屬于可攜帶范圍。而推測數據和衍生數據是數據控制者在“數據主體提供的數據”的基礎創建的,不在數據可攜權的范圍之內。對此,作為數據控制方的數據平臺公司,應當針對數據可攜帶權的范圍,建立數據分類標記管理制度。對適用于數據可攜帶權的數據類型做相應分類標記,包括用戶基礎數據和與用戶有關的觀測數據。對不屬于數據可攜帶權范圍的衍生數據,應當進行脫敏加工處理,可以拒絕向第三方主體傳輸這類數據。此外,企業應當建立完善的數據傳輸機制,及時評估并處理用戶的數據獲取和傳輸請求。
[1] Cal.Civ. Code§1798.100(d)。
[2] Anderson,J. and M. Mariniello (2021) 'Regulating big tech: the Digital Markets Act‘, Bruegel Blog, 16 February.
[3]徐偉,《企業數據獲取“三重授權原則” 反思及類型化構建》,載《交大法學》2019年第4期。
[4] Guidelineson the right to data portability, Article 29 Data Protection Working Party, WP242 rev.01, 16/EN. WP 242 rev.01, 5April 2017.
[5]汪慶華,《數據可攜帶權的權利結構、法律效果與中國化》,載《中國法律評論》2021年第3期。
數據保護官(DPO)社群主要成員是個人信息保護和數據安全一線工作者。他們主要來自于國內頭部的互聯網公司、安全公司、律所、會計師事務所、高校、研究機構等。在從事本職工作的同時,DPO社群成員還放眼全球思考數據安全和隱私保護的最新動態、進展、趨勢。2018年5月,DPO社群舉行了第一次線下沙龍。沙龍每月一期,集中討論不同的議題。目前DPO社群已超過300人。關于DPO社群和沙龍更多的情況如下:
域外數據安全和個人信息保護領域的權威文件,DPO社群的全文翻譯:
印度《2018個人數據保護法(草案)》全文翻譯(中英對照版)(DPO沙龍出品)
巴西《通用數據保護法》全文中文翻譯(DPO沙龍出品)
“美國華盛頓哥倫比亞特區訴Facebook”起訴書全文翻譯(DPO沙龍出品)
法國數據保護局發布針對與商業伙伴或數據代理共享數據的指南
德國聯邦反壟斷局對Facebook數據收集和融合行為提出嚴格限制(DPO沙龍出品)
德國聯邦反壟斷局審查Facebook數據收集融合行為的背景情況(DPO沙龍出品)
“108號公約”全文翻譯(DPO沙龍出品)
美國司法部“云法案”白皮書全文翻譯(DPO社群出品)
新加坡《防止網絡虛假信息和網絡操縱法案》中文翻譯(DPO沙龍出品)
英國ICO《廣告技術和實時競價的更新報告》中譯文(DPO社群出品)
“FTC與Facebook達成和解令的新聞通告”全文翻譯(DPO社群出品)
CJEU認定網站和嵌入的第三方代碼成為共同數據控制者(DPO沙龍出品)
FTC與Facebook“2019和解令”全文翻譯(DPO社群出品)
英國ICO《數據共享行為守則》中譯文(DPO社群出品)
“hiQ Labs訴LinkedIn案上訴判決”中譯文(DPO社群出品)
法國數據保護監管機構(CNIL)有關cookies和其他追蹤方式的指引(全文翻譯)
美加州消費者隱私法案(CCPA) 修正案匯總中譯文(DPO沙龍出品)
FTC“首次針對追蹤類App提起訴訟”的官方聲明中文翻譯(DPO社群出品)
ICDPPC關于隱私和消費者保護、競爭維護交叉問題決議的中文翻譯(DPO社群出品)
德國關于確定企業GDPR相關罰款數額官方指南的中文翻譯(DPO社群出品)
亞洲十四個國家和地區數據跨境制度報告中譯本(DPO社群出品)
印度《個人數據保護法》(2019年草案)全文翻譯(DPO社群出品)
法國數據保護局(CNIL)關于人臉識別報告的中譯文(DPO社群出品)
AEPD和EDPS | “哈希函數簡介——用于個人數據假名化技術”中譯文(DPO社群出品)
歐盟基本權利局“人臉識別技術”報告中文翻譯(DPO社群出品)
聯合發布 |《2020數字醫療:疫情防控新技術安全應用分析報告》
技術主權視野下的歐盟數字化轉型戰略探析(DPO社群出品)
意大利數據保護機關就新冠疫情聯防聯控中個人信息問題的意見(DPO社群出品)
新版《個人信息安全規范》(35273-2020)正式發布
英國ICO | 《兒童適齡設計準則:在線服務實業準則》全文翻譯之一
英國ICO | 《兒童適齡設計準則:在線服務實業準則》全文翻譯之二
《個人信息安全影響評估指南》(GB/T 39335-2020)正式發布
《英國ICO人工智能與數據保護指引》選譯 | 如何保護人工智能系統中的個人權利?
《英國ICO人工智能與數據保護指引》選譯 | 如何評估AI的安全性和數據最小化?
西班牙數據保護局《默認數據保護指南》全文翻譯(DPO社群出品)
DPO線下沙龍的實錄見:
數據保護官(DPO)沙龍第一期紀實
第二期數據保護官沙龍紀實:個人信息安全影響評估指南
第三期數據保護官沙龍紀實:數據出境安全評估
第四期數據保護官沙龍紀實:網絡爬蟲的法律規制
第四期數據保護官沙龍紀實之二:當爬蟲遇上法律會有什么風險
第五期數據保護官沙龍紀實:美國聯邦隱私立法重要文件討論
數據保護官(DPO)沙龍走進燕園系列活動第一期
第六期數據保護官沙龍紀實:2018年隱私條款評審工作
第八期數據保護官沙龍紀實:重點行業數據、隱私及網絡安全
第九期數據保護官沙龍紀實:《個人信息安全規范》修訂研討
第十期數據保護官沙龍紀實:數據融合可給企業賦能,但不能不問西東
第十一期數據保護官沙龍紀實:企業如何看住自家的數據資產?這里有份權威的安全指南
第十二期數據保護官紀實:金融數據保護,須平衡個人隱私與公共利益
第十三期DPO沙龍紀實:厘清《數據安全管理辦法》中的重點條款
第十四期DPO沙龍紀實:梳理《個人信息出境安全評估辦法(征求意見稿)》的評估流程
第十五期DPO沙龍紀實:SDK非洪水猛獸,但如果“作惡”亂收集信息,誰來管?
第十六期DPO沙龍紀實:查詢App收集個人信息類型、禁止收集IMEI號是未來監管趨勢
與歐美一流數據保護專家面對面(DPO沙龍特別活動)
第十七期DPO沙龍紀實:數據統一確權恐難實現 部門立法或是有效途徑
第十八期DPO沙龍紀實:生物識別信息的安全保護
第十九期DPO沙龍紀實:《個人信息保護法(草案)》專題研討會之一
第二十期DPO沙龍紀實:《個人信息保護法(草案)》專題研討會之二
個人數據與域外國家安全審查系列文章
個人數據與域外國家安全審查初探(一):美歐概覽
個人數據與域外國家安全審查初探(二):CFIUS實施條例詳解
個人數據與域外國家安全審查初探(三):從美國《確保ICT技術與服務供應鏈安全》
個人數據與域外國家安全審查初探(四):從美國《2019年安全與可信通信網絡法案》看
個人數據與域外國家安全審查初探(五):禁止中國公司對StayNTouch的收購
個人數據與域外國家安全審查初探(六):《2019國家安全和個人數據保護法案》
個人數據與域外國家安全審查初探(七):美國眾議院荒唐的決議草案
個人數據與域外國家安全審查初探(八):《2020安全的5G和未來通信》法案
個人數據與域外國家安全審查初探(九):澳大利亞《協助和訪問法》
美國司法部狙擊中國內幕(Inside DOJ's nationwide effort to take on China)
美國司法部“中國計劃”的概況介紹
突發 | 特朗普簽署關于TIKTOK和WECHAT的行政令
理解特朗普禁令中的Transactions
白宮決策內幕 | TIKTOK的命運是由一場“擊倒、拖出”的橢圓形辦公室爭斗所形塑
《國際緊急經濟權力法》(IEEPA)的起源、演變和應用
個人數據與域外國家安全審查 | 美國安局對地理位置信息的建議(全文翻譯)
外媒編譯 | 詭秘的美國外國投資委員會如何成為貿易戰的有力武器?
圍繞著TIKTOK和WECHAT的總統令,本公號發表了以下文章:
突發 | 特朗普簽署關于TIKTOK和WECHAT的行政令
理解特朗普禁令中的Transactions
白宮決策內幕 | TIKTOK的命運是由一場“擊倒、拖出”的橢圓形辦公室爭斗所形塑
TikTok和甲骨文合作中的“可信技術提供商” | 微軟和德國電信合作的模式
TikTok和甲骨文合作中的“可信技術提供商” | 蘋果和云上貴州合作模式
外媒編譯 | TikTok 零點時間:最后一刻的交易
TikTok和甲骨文合作中的“可信技術提供商” | 來自EPIC的質疑和兩家公司的回復
第29條工作組/EDPB關于GDPR的指導意見的翻譯:
第29條工作組《對第2016/679號條例(GDPR)下同意的解釋指南》中文翻譯(DPO沙龍出品)
第29條工作組“關于減輕對處理活動進行記錄義務的立場文件”(DPO沙龍出品)
第29條工作組《第2/2017號關于工作中數據處理的意見》(DPO沙龍出品)
第29條工作組《關于自動化個人決策目的和識別分析目的準則》(DPO沙龍出品)
第29條工作組《數據可攜權指南》全文翻譯(DPO沙龍出品)
第29條工作組關于GDPR《透明度準則的指引》全文翻譯(DPO沙龍出品)
EDPB《關于GDPR適用地域范圍(第3條)的解釋指南》全文翻譯(DPO沙龍出品)
EDPB“關于《臨床試驗條例》與GDPR間相互關系”意見的全文翻譯(DPO沙龍出品)
EDPB《車聯網個人數據保護指南》全文翻譯(DPO社群出品)
EDPB關于GDPR中合同必要性指引的中文翻譯(DPO沙龍出品)
EDPB關于“疫情場景中使用位置數據和接觸追蹤工具”指南:全文翻譯(DPO沙龍出品)
EDPB | 《對第2016/679號條例(GDPR)下同意的解釋指南v1》中文翻譯(DPO社群出品)
第29條工作組 | 《關于匿名化技術的意見》中文全文翻譯(DPO社群出品)
歐盟委員會關于GDPR實施兩周年評估報告中文翻譯(DPO社群出品)
EDPB | 《GDPR下數據控制者及數據處理者概念的指南(07/2020)》全文翻譯
EDPB | 《針對向社交媒體用戶定向服務的指南(第8/2020號)》全文翻譯
數據安全的法律要求 | DPB關于數據泄露通知示例的01/2021號指引
關于美國出口管制制度,本公號發表過系列文章:
美國出口管制制度系列文章之一:對“外國生產的產品”的相關規則
美國出口管制制度系列文章之二:適用EAR的步驟
美國出口管制制度系列文章之三:蘇聯油氣管道的“華為”事件
美國出口管制制度 | 允許華為和美國公司共同制定5G標準
美國出口管制 | BIS發布針對“基礎性技術”出口管制的“擬議制定規則預先通知”
《華盛頓郵報》披露《美國對中國的戰略路徑》背后的決策博弈
美國出口管制 | ARM+美國公司收購=更強的出口管制?
供應鏈安全文章:
供應鏈安全 | 白宮發布關于降低依賴外國對手的重要礦產的行政令
供應鏈安全 | 美國從科技供應鏈中剔除中國行動的內幕(外媒編譯)
供應鏈安全 | 英國政府推進《電信(安全)法案》以確保供應鏈安全
數據跨境流動政策、法律、實踐的系列文章:
構建數據跨境流動安全評估框架:實現發展與安全的平衡
構建數據跨境流動安全評估框架:實現發展與安全的平衡(二)
構建數據跨境流動安全評估框架:實現發展與安全的平衡(三)
構建數據跨境流動安全評估框架:實現發展與安全的平衡(四)
TPP對跨境金融數據“另眼相看”?
馬來西亞擬將我國認定為個人數據跨境流動“白名單”地區
美國ITIF關于數據跨境流動的研究報告簡介
Chatham House舉辦Cyber 2017大會,關注中國數據跨境流動
俄羅斯個人信息保護機構對隱私政策和數據跨境流動的新舉措
看清APEC“跨境隱私保護規則”體系背后的政治和經濟
敬請關注“閉門會-數據跨境流通”
“閉門會:數據跨境流動政策分析” 總結
歐盟個人數據跨境流動機制進展更新(截止201810)
俄羅斯數據本地化和跨境流動條款解析
亞洲十四個國家和地區數據跨境制度報告中譯本(DPO社群出品)
《個人信息和重要數據出境安全評估辦法》實現了安全與發展的平衡
數據出境安全評估:保護我國基礎性戰略資源的重要一環
個人信息和重要數據出境安全評估之“境內運營”
《數據出境安全評估:保護我國基礎性戰略資源的重要一環》英文版
個人信息和重要數據出境安全評估之“向境外提供”
數據出境安全評估基本框架的構建
銀行業金融數據出境的監管框架與脈絡(DPO社群成員觀點)
《網絡安全法》中數據出境安全評估真的那么“另類”嗎
解析《個人信息出境安全評估辦法(征求意見稿)》實體保護規則背后的主要思路
《個人信息出境安全評估辦法(征求意見稿)》解讀:從中外比較的角度
數據跨境流動 | 澳大利亞政府提出新的數據本地化要求
數據跨境流動 | 美歐“隱私盾協議”被判無效背后的邏輯
數據跨境流動 | 歐盟EDPB對歐盟隱私盾協議被判無效的相關問答(全文翻譯)
“清潔網絡計劃”下的APEC跨境隱私保護(CBPR)體系
數據跨境流動 | 愛爾蘭DPA即將禁止FACEBOOK的數據跨境傳輸
數據跨境流動 | 最新判決將顯著影響英國與歐洲大陸之間的數據自由流動
數據跨境流動 | 愛爾蘭高等法院暫時允許Facebook繼續個人數據跨大西洋傳輸
數據跨境流動 | 中國公司基于SCCs開展數據跨境流動的基本策略
數據跨境流動 | 美國三位高官就Schrems II判決公開向歐盟喊話
數據跨境流動 | 歐盟EDPS官員敦促美國強化個人救濟以達到“實質等同”
數據跨境流動 | 美國政府白皮書正式回應歐盟Schrems II判決
數據跨境流動 | EDPB關于標準合同條款之外的“補充措施”的指南終于問世
數據跨境流動 | EDPB提出“評估目的國法律環境”的指南(全文翻譯)
數據跨境流動 | 微軟率先提出對歐盟數據的專屬“保護措施”
數據跨境流動 | 歐盟新版標準合同條款全文翻譯
數據跨境流動 | EDPB和EDPS通過了關于新的SCCs的聯合意見
數據跨境流動 | 東盟跨境數據流動示范合同條款(全文翻譯)
數據跨境流動 | 東盟數據管理框架(全文翻譯)
數據跨境流動 | 推進“一帶一路”數據跨境流動的中國方案(專論)
數據跨境流動 | 歐盟新版標準合同條款(最終版)全文翻譯
數據跨境流動 | 歐盟關于歐盟境內的控制者和處理者間標準合同條款(全文翻譯 )
數據跨境流動 | EDPB關于標準合同條款之外的“補充措施”指南2.0版(全文翻譯)
數據跨境流動 | 兩張圖解讀EDBP“數據跨境轉移補充措施的最終建議”
數據跨境流動 | 推進“一帶一路”數據跨境流動的中國方案(英文本)
傳染病疫情防控與個人信息保護系列文章
傳染病疫情防控與個人信息保護初探之一:個人信息的性質
傳染病疫情防控與個人信息保護初探之二:同意的例外
傳染病疫情防控與個人信息保護初探之三:數據技術的應用路徑
傳染病疫情防控與個人信息保護初探之四:接觸追蹤的數據共享安全規范
傳染病疫情防控與個人信息保護初探之五:電信數據的安全規范
傳染病疫情防控與個人信息保護初探之六:GDPR框架下的公共衛生數據共享
傳染病疫情防控與個人信息保護初探之七:美國公共衛生機構的數據調取權力
傳染病疫情防控與個人信息保護初探之完結篇:解讀中央網信辦通知
歐盟國家和英國的數據保護部門對疫情防控的官方意見匯總(DPO社群出品)
美國疫情防控中的關鍵基礎設施的識別和認定(DPO社群出品)
意大利數據保護機關就新冠疫情聯防聯控中個人信息問題的意見(DPO社群出品)
歐委會關于新冠疫情中利用移動數據和應用官方建議的全文翻譯(DPO沙龍出品)
漫畫圖解蘋果和谷歌聯手開發的接觸追蹤應用的基本原理
澳門關于疫情防控中進出場所人員個人資料保護的通告
疫情防控常態化中的接觸追蹤:中國方案
歐委會“支持抗擊新冠疫情的APP的數據保護指引”全文翻譯(DPO社群出品)
來自歐洲的接觸追蹤協議(ROBERT Protocol)的基本原理:漫畫圖解
英國信息專員對蘋果谷歌接觸追蹤項目的官方意見:全文翻譯(DPO社群出品)
三百名學者關于接觸追蹤APP的聯合聲明
EDPB關于“疫情場景中使用位置數據和接觸追蹤工具”指南:全文翻譯(DPO沙龍出品)
新冠疫情防控常態化下的個人信息保護工作的思考和建議
韓國利用ICT抗疫經驗總結:接觸追蹤部分(中文翻譯)
全文翻譯 | 歐盟新冠肺炎“接觸追蹤”APP 共同工具箱(DPO沙龍出品)
EDPB | 關于在COVID-19疫情背景下為科研目的處理健康數據指南(全文翻譯)
關于數據與競爭政策的翻譯和分析:
“法國競爭管理局對蘋果iOS限制APP追蹤措施的初步決定”全文翻譯(上篇)
“法國競爭管理局對蘋果iOS限制APP追蹤措施的初步決定”全文翻譯(下篇)
歐盟與谷歌在反壟斷方面的大事記(競爭法研究筆記一)
Facebook時代的合并政策(競爭法研究筆記二)
“在隱私辯論中關注競爭水平的維護”(競爭法研究筆記三)
歐盟委員會針對亞馬遜開展調查(競爭法研究筆記四)
德國聯邦反壟斷局對Facebook數據收集和融合行為提出嚴格限制(DPO沙龍出品)
德國聯邦反壟斷局審查Facebook數據收集融合行為的背景情況(DPO沙龍出品)
案件摘要:德國反壟斷監管機構對Facebook數據收集融合行為裁決
日本擬效仿德國:對IT巨頭非法收集個人信息適用“反壟斷法”
數據安全法系列文章:
對《數據安全法》的理解和認識 | 立法思路
對《數據安全法》的理解和認識 | 數據分級分類
對《數據安全法》的理解和認識 | 中國版的封阻法令
對《數據安全法》的理解和認識 | 重要數據如何保護
評《網絡安全法》對數據安全保護之得與失
從立法價值取向出發理解《網絡安全法》中的“重要數據”
中國個人信息保護立法系列文章:
中國個人信息保護立法 | 《個人信息保護法(草案)》與GDPR的比較
中國個人信息保護立法 | 合同所必需:魔鬼在細節之中
對《常見類型移動互聯網應用程序必要個人信息范圍規定》的兩點理解
對《常見類型移動互聯網應用程序必要個人信息范圍規定》的再理解
理解《數據安全法》《個人信息保護法》二審稿的實質性修改內容(一)
健康醫療大數據系列文章:
健康醫療大數據系列文章之一:英國健康醫療大數據平臺care.data之殤
健康醫療大數據系列文章之二:安全是健康醫療大數據應用的核心基礎
健康醫療大數據系列文章之三:棘手的健康醫療大數據共享、開放、利用
英美健康醫療大數據安全現狀和合規研究
健康醫療數據 | NHS計劃與第三方共享病人記錄
健康醫療數據 | NHS數據共享計劃的“隱私政策”
健康醫療數據 | NHS數據共享計劃所引發的公眾擔憂
網聯汽車數據和自動駕駛的系列文章:
自動駕駛數據共享:效用與障礙
自動駕駛數據共享:效用與障礙(附文字實錄)
北京市關于自動駕駛車輛道路測試的立法綜述及動態(DPO社群成員觀點)
自動駕駛的基建工程 — 高精地圖產業促進與國家管控的平衡(DPO社群成員觀點)
《汽車數據安全管理若干規定(征求意見稿)》 | 規范對象和基本原則
《汽車數據安全管理若干規定(征求意見稿)》 | 個人信息和重要數據的細化規范
《汽車數據安全管理若干規定(征求意見稿)》 | 數據出境和監管手段
《汽車數據安全管理若干規定(征求意見稿)》 | 配套制度
《汽車數據安全管理若干規定(征求意見稿)》 | “汽車數據”與EDPB指南中的聯網車輛
《汽車數據安全管理若干規定(征求意見稿)》 | “車內處理”與EDPB指南中“終端設備”
《汽車數據安全管理若干規定(征求意見稿)》 | 個人信息的分類分級規則
《汽車數據安全管理若干規定(征求意見稿)》 | 向車外提供數據的規則
EDPB《車聯網個人數據保護指南》全文翻譯(DPO社群出品)
EDPB《車聯網個人數據保護指南2.0》比較翻譯(DPO社群出品)
網聯車輛 | 網聯車輛采集和產生的數據類型概覽
網聯車輛 | 美國聯邦貿易委員會(FTC)對數據隱私的原則性觀點
網聯車輛 | 德國官方和行業協會在數據保護方面的聯合聲明
網聯車輛 | 英國信息專員辦公室(ICO)就個人數據保護的立場和意見
網聯車輛 | 法國數據保護局(CNIL)的一攬子合規方案
網聯車輛 | 電信領域國際數據保護工作組的工作文件(全文翻譯)
《汽車數據安全管理若干規定(征求意見稿)》 | 運營者概念
關于中美與國家安全相關的審查機制的系列文章:
美國電信行業涉及外國參與的安全審查(一):基本制度介紹
美國電信行業涉及外國參與的安全審查(二):國際性的第214節授權
美國電信行業涉及外國參與的安全審查(三):建立外國參與安全審查的行政令
美國電信行業涉及外國參與的安全審查(四):FCC對中國企業的陳述理由令
網絡安全審查制度利刃出鞘
對《網絡安全審查辦法(征求意見稿)》的幾點觀察
網絡安全審查制度吹響了向網絡安全強國邁進的號角
我國網絡安全審查制度走向前臺
網絡安全審查的中歐比較:以5G為例
網絡安全審查 | 中國《網絡安全審查辦法》的邏輯和要旨:以5G安全為例
ICTS安全審查 | 美國針對“信息和通信技術及服務”和“聯網應用”安全審查的兩個行政令
ICTS安全審查 | 美國智庫學者的分析和呼吁
ICTS安全審查 | 美國商務部確保ICTS供應鏈安全實施規則(全文翻譯)
網絡空間的國際法適用問題系列文章:
塔林手冊2.0是如何看待數據的?
國際法適用網絡空間 | 德國立場文件如何看待具有國家背景的網絡攻擊
赴美上市網絡、數據安全風險系列文章如下:
赴美上市與網絡、數據安全 | 美國SEC對赴美上市公司披露義務的指導意見
赴美上市與網絡、數據安全 | 時任美國SEC的領導層對上市公司網絡安全披露的觀點
赴美上市與網絡、數據安全 | 美國SEC強制或自愿性要求信息提供的權力
赴美上市與網絡、數據安全 | 美國SEC針對會計師事務所從域外調取信息的權力和實踐
赴美上市與網絡、數據安全 | 美國SEC關于網絡安全事項披露的2018指南(全文翻譯)
赴美上市與網絡、數據安全 | 美國《外國公司問責法案》(全文翻譯)
赴美上市與網絡、數據安全 | 美國SEC關于非財務報告要求的概覽
赴美上市與網絡、數據安全 | 美國SEC關于“重大合同”的披露要求
赴美上市與網絡、數據安全 | PCAOB落實《外國公司問責法案》的規則草案
赴美上市與網絡、數據安全 | 美國政客推動加速《外國公司問責法案》的執行
赴美上市與網絡、數據安全 | 美國法下獲取我國赴美上市企業數據的可能性(上)
赴美上市與網絡、數據安全 | SEC主席對中國監管措施的最新表態
人臉識別系列文章:
歐盟基本權利局“人臉識別技術”報告中文翻譯(DPO社群出品)
法國數據保護局(CNIL)關于人臉識別報告的中譯文(DPO社群出品)
零售門店使用人臉識別技術的主要法律問題(DPO社群成員觀點)
人臉識別技術的規制框架(PPT+講稿)
人臉識別技術運用的六大場景及法律規制框架的適配(DPO社群成員觀點)
人臉識別技術的法律規制研究初探(DPO社群成員觀點)
美國聯邦隱私保護立法草案研究(四):“生物識別信息”
美國華盛頓州人臉識別服務法案中文翻譯(DPO社群出品)
PAI | 《理解人臉識別系統》全文翻譯(DPO社群出品)
解讀世界首例警方使用人臉識別技術合法性判決二審判決(DPO社群成員觀點)
人臉識別技術研究綜述(一):應用場景
人臉識別技術研究綜述(二):技術缺陷和潛在的偏見
美國人臉識別技術的法律規范研究綜述 | 拼湊式(Patchwork)的范式
美國《2020年國家生物識別信息隱私法案》中譯文
人臉識別技術是潘多拉盒子還是阿拉丁神燈?
人臉識別 | “第108號公約+”咨詢委員會發布《關于人臉識別的指南》(全文翻譯)
人臉識別 | EDPB“關于通過視頻設備處理個人數據的指南”(全文翻譯)
人臉識別 | EDPS關于面部情緒識別的觀點
人臉識別 | 保護人臉信息 規范行業健康發展的有效司法路徑
人臉識別 | 對我國“人臉識別技術民事案件司法解釋”中“單獨同意”的理解
關于歐盟技術主權相關舉措的翻譯和分析:
技術主權視野下的歐盟數字化轉型戰略探析(DPO社群出品)
歐盟委員會主席首提“技術主權”概念
推進歐洲可持續和數字化轉型:《歐洲新工業戰略》解讀(DPO社群成員觀點)
歐盟“技術主權”進展 | 德國和法國推出歐盟自主可控的Gaia-X云平臺計劃
歐盟“技術主權”進展 | 歐盟如何在科技領域能主導下一個十年
歐盟“技術主權”進展 | 關于數字平臺監管的建議
歐盟“技術主權”進展 | 歐洲共同數據空間治理立法框架
歐盟《數字市場法》選譯之一:解釋性備忘錄
歐盟《數字市場法》選譯之二:序言和條文
歐盟《數字服務法》選譯之一:解釋性備忘錄
歐盟《數字服務法》選譯之二:序言
歐盟《數字服務法》選譯之三:(實體規則方面的)條文
歐盟《數字服務法》《數字市場法》簡評
歐洲法院:歐盟成員國的數據保護機構都可對Facebook提出隱私方面的訴訟
歐盟技術主權 | 《電子隱私條例》(e-Privacy Regulation)全文翻譯
歐盟技術主權 | “歐盟在全球數據爭奪戰中的位置”:歐盟副主席采訪實錄
歐盟技術主權 | “技術的地緣政治”:歐盟內部市場委員的演講
數據要素治理的相關文章包括:
《非個人數據在歐盟境內自由流動框架條例》全文中文翻譯(DPO沙龍出品)
簡析歐盟《數字市場法》關于數據方面的規定
數據流通障礙初探——以四個場景為例
對“數據共享合法化”的分析與思考系列之一:以《關于歐洲企業間數據共享的研究》為起點
對“數據共享合法化”的分析與思考 系列之二 ——歐盟B2B數據共享的案例研究
對“數據共享合法化”的分析與思考 系列之三 ——更好的保護才能更好的共享
用戶授權第三方獲取自己在平臺的數據,可以嗎?不可以嗎?(DPO沙龍線上討論第三期)
數據爬取的法律風險綜述(DPO社群成員觀點)
第29條工作組《數據可攜權指南》全文翻譯(DPO沙龍出品)
澳《消費者數據權利法案》對數據共享與數據可攜權的探索(DPO社群成員觀點)
歐盟“技術主權”進展 | 歐洲共同數據空間治理立法框架
數據要素治理 | 歐盟《數據法》初始影響評估(全文翻譯)
人工智能安全和監管的系列文章:
《英國ICO人工智能與數據保護指引》選譯 | 如何評估AI的安全性和數據最小化?
英國ICO人工智能指導 | 數據分析工具包(全文翻譯)
《英國ICO人工智能與數據保護指引》選譯 | 如何保護人工智能系統中的個人權利?
人工智能 vs. 個人信息保護之“個人同意”
《以倫理為基礎的設計:人工智能及自主系統以人類福祉為先的愿景(第一版)》
AI監管 | EDPB和EDPS對歐盟AI條例的聯合意見書(全文翻譯)
AI監管 | 對歐盟AI統一規則條例的詳細分析
AI監管 | 歐盟《AI統一規則條例(提案)》(全文翻譯)
AI監管 | 意大利因騎手算法歧視問題對兩個食物配送公司處于高額罰款
AI監管 | 用戶數據用于AI模型訓練場景的合規要點初探
關于保護網絡和信息系統安全的相關文章包括:
以風險治理的思想統籌設計關鍵信息基礎設施保護工作
中德兩國在識別關鍵信息基礎設施方面的一點比較
美國疫情防控中的關鍵基礎設施的識別和認定(DPO社群出品)
美國《關于改善國家網絡安全的行政命令》分析之一
美國《關于改善國家網絡安全的行政命令》之五大“看點”
網絡和信息系統安全 | 網絡安全信息共享:為什么和怎么做
網絡和信息系統安全 | 主體責任與綜合共治 關鍵信息基礎設施保護的新格局
數據執法跨境調取的相關文章:
微軟起訴美國司法部:封口令違法!
網絡主權的勝利?再評微軟與FBI關于域外數據索取的爭議
微軟與FBI關于域外數據索取的爭議暫告一段落
美國Cloud Act法案到底說了什么
Cloud Act可能本周就得以通過!
修改版的Cloud Act終成為法律
歐盟推出自己的“Cloud Act”
美國快速通過Cloud法案 清晰明確數據主權戰略
德國最高數據保護官員就美國“云法案”提出警告
美國司法部“云法案”白皮書全文翻譯(DPO社群出品)
TikTok和甲骨文合作中的“可信技術提供商” | 微軟和德國電信合作的模式
TikTok和甲骨文合作中的“可信技術提供商” | 蘋果和云上貴州合作模式
歐洲將立法允許執法跨境直接調取數據
數據跨境流動 | “法律戰”漩渦中的執法跨境調取數據:以美歐中為例
赴美上市與網絡、數據安全 | 美國SEC針對會計師事務所從域外調取信息的權力和實踐
跨境數據調取 | 針對中資銀行的數據調取行為概覽
