分类目录归档:法律边缘

ENISA报告《数据假名化:先进技术与使用案例》执行摘要

执行摘要

假名化是一种既定的、被接受的数据保护措施,在《通用数据保护条例》(GDPR)通过后,它得到了更多的关注,在该条例中,它被特别定义,并多次作为一种保障措施被提及。

ENISA在之前的工作中对该领域进行了探索,探讨了数据假名化的概念和范围,同时提出了一些基本的技术方法和实例来实现实践中的假名化。在这份新的报告中,ENISA通过讨论先进的假名化技术,以及来自医疗和网络安全等特定领域的具体使用案例,对过去的工作进行了补充。特别是,报告在基本假名化技术的基础上,研究了更复杂场景的高级解决方案,这些解决方案可以基于非对称加密、环签名和组假名、链式模式、基于多个标识符的假名、具有知识证明的假名和安全的多方计算。然后,它将这些技术中的一些技术应用于医疗领域,讨论不同实例中可能的假名化方案,同时也探讨了数据保管模式的可能应用。最后,研究了基本的假名化技术在常见的网络安全用例中的应用,如遥测和信誉系统的使用。

根据报告提供的分析,为所有相关利益方提供以下基本结论和建议。

继续阅读

美国国土安全部《数据安全业务咨询》报告:推荐行动

推荐行动

在中国经营的企业、个人与中国公司、实体合作时应仔细检查任何提供数据访问权限的业务关系——无论是商业机密、商业秘密、客户个人身份信息(PII),还是其他敏感信息。企业应识别其拥有的敏感个人和专有信息。在可能的情况下,企业应尽量减少在中国或中国当局可接触到的地方存储和使用的风险数据的数量。稳健的尽职调查和交易监控对于应对潜在的法律风险、声誉风险以及数据和知识产权窃取给竞争对手带来的不公平优势也是至关重要的。企业应设法彻底了解数据服务提供商的所有权、数据基础设施的位置、任何相关的外国业务关系和重要的外国投资者。服务条款/合同协议应明确说明数据的存储地点、谁能访问数据,以及在不遵守法律要求的情况下如何分配责任。法律选择、法院选择和仲裁条款应列出中国以外的可信司法管辖区。如果数据流的潜在路径未知,则应使用由不在中国境内经营的公司提供的强大加密技术。

对于最敏感的数据,另一个减少风险的步骤是寻找知名的替代服务和设备供应商。在确定一个供应商是否 “值得信赖 “时,应进行严格的评估,考虑到法治、安全环境、供应商的道德做法以及供应商对安全标准和行业最佳做法的遵守情况。以下清单提供了应被视为特别敏感的数据类型的例子:

  1. 与出口管制产品有关的技术和其他数据
  2. 与“中国制造2025”和中国其他规划中确定的新兴技术有关的知识产权,包括商业秘密
  3. 生物技术、基因组数据和医学检验数据
  4. 个人身份信息和其他敏感信息
  5. 地理位置数据

各机构在中国开展业务时应保持警惕,IT运营商应确保将其网络基础设施与任何外部软件的使用进行适当划分。此外,在中国经营的企业应制定协议,以应对中国当局对潜在敏感信息的要求。特别是,美国企业在收到任何此类要求时,应通知美国驻北京大使馆的法律专员。

建议美国企业实施适当的网络安全保障措施。网络安全是一个反复的过程,需要企业识别、检测和优先考虑网络的风险,并不断调整其保障措施。企业应该熟悉美国国家标准与技术研究所(NIST)发布的网络安全框架,这是一个自愿性的框架,包括管理网络安全风险的标准、指南和最佳实践。这些应对措施并不全面,但作为多层次数据安全政策的一部分,将有所帮助。

案例研究:启信宝裁判文书再利用侵犯伊某个人信息权益案

  • 案件名称:苏州贝尔塔数据技术有限公司与伊某一般人格权纠纷案
  • 案号:(2019)苏05民终4745号
  • 审理法院:江苏省苏州市中级人民法院
  • 裁判日期:2020年6月10日
  • 裁判结果:苏州贝尔塔数据技术有限公司应于本判决生效之日起十日内赔偿伊某人民币8000元

一、案件事实

贝尔塔公司系启信宝网站的主办单位。该网站主要提供商业查询服务,公众通过该网站可以查询企业工商登记、涉讼裁判文书等信息。

2017年,贝尔塔公司将中国裁判文书网上发布的(2013)闵民一(民)初字第19030号民事判决书、(2017)京03民终13693号民事判决书、(2017)京0102民初11779号民事裁定书等三篇裁判文书和人民法院公告网上公开发布的(2017)京0102民初22125号案件一篇法院送达判决的公告文书,转载至启信宝网站,任何人均可在该网站上搜索、查询到上述文书。伊某系上述文书的案件当事人,上述法律文书分别记述了伊某涉及的四起纠纷情况。贝尔塔公司转载上述文书时,未获得中国裁判文书网和人民法院公告网主办单位的授权,亦未征询伊某的意见。

贝尔塔公司确认伊某在起诉前曾经与贝尔塔公司联系要求删除文书,贝尔塔公司未予删除。贝尔塔公司一、二审中均未提交证据证明其已删除了涉伊某的相关法律文书。

继续阅读

案例研究:冯春华与中国联通一般人格权纠纷案

案件名称:冯春华与中国联合网络通信有限公司昆山市分公司、中国联合网络通信有限公司一般人格权纠纷案

案号:(2020)苏0583民初11684号

审理法院:江苏省昆山市人民法院

裁判结果:一、被告中国联合网络通信有限公司昆山市分公司于本判决生效之日起一个月内就输错号码行为消除影响,并向原告冯春华书面赔礼道歉,上述义务若被告中国联合网络通信有限公司昆山市分公司不履行的,则由被告中国联合网络通信有限公司继续履行。

二、被告中国联合网络通信有限公司昆山市分公司支付原告冯春华损失1000元,于本判决生效之日起十日内履行。被告中国联合网络通信有限公司对被告中国联合网络通信有限公司昆山市分公司不能清偿部分承担补充清偿责任。

小米的68份隐私政策统计

小米安全中心搞了个好玩的隐私政策“捉虫”活动,一股脑将自己的68份隐私政策摊开,邀请用户就文字错误、语法错误、语义不通、格式错误挑错,并且一处错误算一个隐私漏洞,奖励50元(5个贡献币)。这个思路来自于网络安全众测,也有点吕不韦“一字千金”的意思,可见小米对自己的隐私政策非常自信。

一、68份隐私政策

隐私政策是向用户说明个人信息如何使用的法律文件。我知道大企业的产品复杂,需要多份隐私政策以适用不同产品、不同场景,但68份隐私政策还是让我感觉有些意外。但是,这也提供了一个难得的视角,对某一公司的隐私政策进行全面研究,而不用我辛苦去一份份找来看。

在小米公开的68份隐私政策中,Xiaomi Privacy Policy是唯一的一份英文版隐私政策。另外,《小米贷款隐私政策》列了两次,分别为序号25和序号13。《哎呀宝贝儿童信息保护规则》是列出的唯一一份儿童个人信息保护规则,这主要是履行《儿童个人信息网络保护规定》所规定的义务。

继续阅读

日本经济产业省《利用人工智能和数据的合同指引》:数据生成类合同示范草案

2018年6月,日本经济产业省发布 Contract Guidelines on Utilization of AI and Data,旨在为企业签订数据利用合同或利用人工智能技术开发利用软件合同提供参考。指引规定了:主要问题、争议点、若干合同条款范本、合同编制中应考虑的因素以及有关此类合同的其他内容。

指引由两部分组成:数据部分和AI部分。指引的这两部分旨在为合同各方提供参考,以确定合同条款和其他必要的要点。

2019年4月,日本经济产业省发布了相关指引的英文版。2019年12月,日本经济产业省发布了指引的1.1版本,但1.1版仅有日文版,未提供英文翻译。本文仅根据2019年4月英文版本中的部分内容进行翻译。

如果有空会翻译下其他的合同模板。

继续阅读

后Schrems II时代,SCC模式下数据跨境的“蜀道”

噫吁嚱,危乎高哉!蜀道之难,难于上青天!

——李白(唐),《蜀道难》

各国法律中对数据的本地化与跨境的规定是最能影响企业跨国经营策略的内容之一。无论是外企根据中国《网络安全法》《个人信息保护法(草案)》中的本地化与跨境制度进行合规,或是中国企业使用欧盟《通用数据保护条例》(“GDPR”)中“数据跨境工具箱”,都会对企业的IT架构与经营模式造成深远的影响。

一、后Schrems II时代的标准合同条款

在GDPR的诸多跨境合规方案中,中国企业普遍采用签署标准合同条款(“SCC”)的方式确保从欧洲向中国跨境传输合法合规。但是,SCC的效力在2020年7月欧盟法院“Schrems II”案判决后受到了挑战,一时间让包括中国在内的大多数国家从欧洲向本国传输数据面临巨大的不确定性。

“Schrems II”案更为直接的后果是导致美国与欧盟之间的“隐私盾”协议失效,严重影响美国企业从欧洲获取数据。以至于美国司法部、商务部以及国家情报总监办公室在2020年9月共同发布白皮书,试图说明美国现行法律中有关情报机构获取数据的隐私保障措施。

SCC因为标准条款的简单易用、成本低廉,所以为中国企业所青睐。甚至有企业为实现公司内部的数据跨境传输,会让中国总部与欧洲子(分)公司签署多份SCC,虽然增加了合同管理的难度,但除此之外很难找到更好的解决方案。

二、SCC的具体场景

SCC因为标准条款的简单易用、成本低廉,所以为中国企业所青睐。甚至有企业为实现公司内部的数据跨境传输,中国总部与欧洲子(分)公司之间签署多份SCC。

中国企业使用SCC,一个场景是用于企业内部数据跨境传输,将欧洲子公司、分公司、合资公司收集的数据传输中国。虽然GDPR为企业内部的数据跨境传输设置了“有约束力的公司规则”(Binding Corporate Rules)机制,但这一机制成本较高,且需要通过欧洲当地数据保护机关认证,目前尚没有中国企业采用此种方式进行跨境数据传输。因此企业内部通常会使用SCC来确保数据跨境传输的合法性。

中国企业使用SCC的另一场景,是在与欧洲企业合作的过程中,因为可能涉及欧洲境内居民个人信息,所以欧洲企业要求与中国企业签署SCC。

相较于第一个场景仅涉及企业内部数据传输,第二个场景下中国企业使用SCC所面临的合规压力更为迫切,我们已经遇到有欧洲企业要求与之签署SCC的中国企业说明中国有关部门获取企业的情况,作为“Schrems II”案后确保SCC效力的合规措施。

三、答复逻辑与素材

GDPR在数据跨境领域的一个基本逻辑是数据接受国的数据保护水平应当与欧盟大致相同,因此如果国家(地区、行业)能够取得充分性认定,则可以与欧盟之间自由地传输数据,如日本、智利、以色列等国。但包括美国、英国、中国、俄罗斯等绝大多数国家难以通过充分性认定,所以才会选择SCC作为替代方案,但新机制又要求企业对数据接收国立法、司法水平进行评估,实在是有些勉为其难。

“Schrems II”案的关键在于政府部门从企业获取欧洲居民数据的能力,这种能力不仅停留在法律条文的纸面,也体现于法律条文的实践,以及是否有相应的程序能够阻却政府违法获取数据。根据欧盟数据保护委员会(“EDPB”)新发布的标准,中国几乎不可能通过充分性认定,也难以被认定可以达到与欧盟基本同等程度的保护程度。

但是根据我们的经验,中国企业在面临欧洲合作方(数据提供方)问询时,仍然可以准备一些可供答复的素材,不至于向欧洲监管部门或合作伙伴交付“白卷”。以下是我们总结的可以在进行答复时的法条及依据:

1.国家情报法

在政府部门获取数据领域,最为欧美所关切的是《国家情报法》第七条:

任何组织和公民都应当依法支持、协助和配合国家情报工作,保守所知悉的国家情报工作秘密。

国家对支持、协助和配合国家情报工作的个人和组织给予保护。

为此,在2019年2月18日外交部记者会上,发言人耿爽就《国家情报法》第七条给出了“标准答案”:

第一,美方有关说法是对中国有关法律的错误和片面解读。中国《国家情报法》不仅规定了组织和公民依法支持、协助和配合国家情报工作的义务,同时也规定了国家情报工作应当依法进行、尊重和保障人权、维护个人和组织合法权益的义务。同时,中国其它法律对于保障公民和组织的合法权益,包括数据安全和隐私权利等,也作了许多规定。这些规定都适用于国家情报工作。美方对此应全面、客观理解,而不应断章取义,片面、错误解读。

第二,以立法形式维护国家安全,要求组织和个人配合国家情报工作是国际通行做法,美国、英国、加拿大、澳大利亚、新西兰等“五眼联盟”国家以及法国、德国等西方国家均有类似规定。

第三,中国政府一贯要求中国企业在外国开展业务时要严格遵守当地法律法规,这一立场不会改变。中国一贯坚持相互尊重主权、平等互利等国际法基本原则,中国宪法和相关法律对此均有体现。基于这一原则,中国一向明确反对别国绕过正常合作渠道,单方面适用其国内法,强迫企业和个人向其提供位于中国境内的数据、信息、情报等做法;同样,中国没有也不会要求企业或个人以违反当地法律的方式、通过安装“后门”等形式为中国政府采集或提供位于外国境内的数据、信息和情报。

第四,美方及其个别盟友在此问题上搞双重标准,混淆视听,实质是为打压中国企业的正当发展权利和利益编织借口,是以政治手段干预经济行为,是虚伪的、不道德、不公平的霸凌行径。

https://www.fmprc.gov.cn/web/wjdt_674879/fyrbt_674889/t1638751.shtml

2.《网络安全法》

《网络安全法》中也存在企业协助政府有关部门的条款:

第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

但另一方面,《网络安全法》也规定了政府部门获取数据的限制:

第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。

3.《密码法》

在EDPB发布的指南中,将加密视为一种有效的补充措施。比如数据虽然存储在欧洲境外的第三国,但数据经过可靠地加密,密钥由欧洲境内掌握,那么就可以被视为一种有效的补充措施。但是,这样的加密措施可能会在中国遇到《密码法》的挑战。

根据《密码法》,除非是大众消费类产品所采用的商用密码,否则需要根据商用密码进出口许可程序提交商用秘密的技术说明。如果密码进口需要向中国密码管理部门提交审批,这样的操作可能很难得到欧盟的认可,但我们仍可根据《密码法》第三十一条第二款主张密码的安全性:

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。

4.其他文件与渠道

在2020年9月,中国外交部发布《全球数据安全倡议》也从侧面说明中国政府并不要求本国企业将数据存储在中国境内,也不会要求企业调取位于他国的数据:

……

——各国应要求企业严格遵守所在国法律,不得要求本国企业将境外产生、获取的数据存储在境内。

——各国应尊重他国主权、司法管辖权和对数据的安全管理权,未经他国法律允许不得直接向企业或个人调取位于他国的数据。

——各国如因打击犯罪等执法需要跨境调取数据,应通过司法协助渠道或其他相关多双边协议解决。国家间缔结跨境调取数据双边协议,不得侵犯第三国司法主权和数据安全。

……

另外一个可供参考的信息是苹果公司发布的透明度报告。根据统计,在2019年7月至12月期间,中国政府、法院等机构共781次向苹果公司要求提供数据,同期英国568次、美国5271次、日本1245次向苹果公司索要数据,中国索取数据的次数并未有明显异常。

四、可以开始的前瞻性思考

尽管目前为止中国企业还不是欧洲数据监管机构的关注重点。欧洲数据监管机构因为执法力量有限,所以更关注本国企业与美国互联网巨头在欧洲的经营。但是随着美国拜登政府就职在即,欧美政治、经济关系趋于缓和,让中国企业可能成为欧洲数据保护机构下一轮监管重点。

2020年12月,荷兰消费者与市场管理局(ACM)发布公告表示,对智能手机支付市场发起反垄断调查,并且已经调研了几家主要大型科技公司,除了苹果、亚马逊、Facebook和谷歌等西方企业外,蚂蚁集团和腾讯也成为被调查对象。这或许会成为欧盟执法机关关注中国企业在欧经营的起点。

随着EDPB开始推动SCC的改革,开始征求意见,并且SCC在中欧数据传输中呈现出“一夫当关”的状态。那么中国企业需要密切留意这位“当关之夫”,即欧盟在SCC适用方面的动态,并且着重关注执法趋势,充分评估可能对自己业务的影响。我们推荐在欧洲经营的企业可以从以下角度着手:

  1. 面对欧盟数据跨境监管的压力,尤其是对数据接收方所在国法律环境的苛责,单一企业很难全面论证数据接收国的法律与执法环境,且同一行业、同一产业链的企业可能都会面临同样的问题,因此企业应当向行业协会、商会、上级主管部门进行呼吁,联合应对来自欧洲的评估要求。
  2. 联邦学习等“可用不可见”隐私计算技术、加密技术的探索与使用,可以将个人数据转化为非个人数据,从而实现有效降低数据跨境的风险。
  3. 此外,面临欧洲数据跨境规则的升级,数据跨境的成本也被抬高,甚至企业可能因为无法通过评估而无法向中国回传数据,故企业可能需要考虑重新调整自己的IT架构,减少数据从欧洲向中国回传的数量,增加欧洲子公司、分公司或合作伙伴处理数据的决定权。

【综述翻译】CIPL就《个人信息保护法(草案)》的意见

信息政策领导中心(CIPL)成立于2001年,是一家设在华盛顿特区、布鲁塞尔和伦敦的全球隐私和安全智库。

CIPL针对中国《个人信息保护法(草案)》发布了反馈意见,可以视为欧美对中国个人信息立法的一个典型代表,这里通过翻译软件DeepL对综述部分进行翻译,全面的修订意见请参见原文。


本概述列出了本报告中最重要的建议。这些建议按具体主题排列。关于按《个人信息保护法》中的条款排列的整套建议,请见下面的评论全文。处理数据的隐私原则与法律依据

  • 在《个人信息保护法》中纳入合法利益处理的依据。
  • 明确指出,如果处理个人信息的目的发生变化,而这种变化又与原来的目的相一致,各组织可以依据原来的处理理由来处理这些个人信息。如果新的目的不符合,则需要有新的法律依据。

儿童个人信息

  • 使各组织能够采用基于风险的方法来确定他们是否在混合受众网站的情况下处理未成年人的个人信息,并且必须获得监护人的同意。

敏感个人信息

  • 采用基于风险的方法处理敏感个人信息,而不是提供预先界定的敏感信息的固定类别。
  • 如果《个人信息保护法》中保留了预先定义的敏感信息类别,则从定义中删除金融账户信息和个人行踪,并澄清如何定义“其他”形式的敏感个人信息以及由谁来定义。
  • 澄清敏感个人信息可以根据《个人信息保护法》中列出的所有法律理由进行处理,而且处理这些信息不限于同意的理由,例如在紧急情况下为保护个人的生命或健康而进行的处理。

个人信息的国际转移

  • 澄清所需的监督范围,以确保来自中国的个人信息的海外接收方符合《个人信息保护法》所列举的保护标准。
  • 解释何种情况下要通过网信部门的安全评估,才能将个人信息转移到海外。
  • 澄清第三十八条中提及的个人信息转移认证是否可以使中国参与APEC跨境隐私规则体系,并努力加入CBPR体系,以符合《个人信息保护法》第十二条的要求。
  • 在《个人信息保护法》所列的可用转移机制中增加行为准则和公司规则。
  • 在《个人信息保护法》的其他转让要求之外,取消获得同意的要求。

任命数据保护官和中国代表

  • 修订向有关机构披露及登记个人信息保护负责人的联络资料的规定,只要求登记是否已委任该个人信息保护负责人,并保持该申述的准确性及更新。
  • 将触发指定个人信息保护负责人规定的门槛与《个人信息安全规范》的门槛一致。
  • 根据其他隐私法律(如GDPR)的规定,在中国任命代表的要求中增加豁免条款。

风险评估

  • 澄清对第五十四条所列的处理活动进行初步的预先筛选,如果筛选结果显示对个人有高风险,则进行全面的风险评估,就足以满足第五十四条关于进行“预先风险评估”的要求。

数据泄露通知

  • 增加并提高触发向有关当局和个人报告违规行为的通知要求的危害阈值。
  • 修订通知违规事件的规定,由“在确定泄露事件后立即”改为尽可能在最短时间内通报,不得有不合理的延误,但不得迟于实体知悉资料违规事件后的指定天数(例如30天或45天)。

向第三方提供数据

  • 澄清第三方服务提供者在《个人信息保护法》下的作用。

匿名化

  • 修订匿名的定义,以反映更现实的合理匿名标准,并辅以程序、法律和行政保障措施。

公开提供的信息

  • 修订《个人信息保护法》,确保公开信息的使用规则与亚太经合组织隐私框架和中国的《个人信息安全规范》保持一致。

惩罚措施

  • 澄清什么是《个人信息保护法》规定的 “严重”非法行为。
  • 澄清什么时候的罚款会是一个固定的货币金额或收入的百分比,以及有关的收入与在中国的收入有关。
  • 澄清第六十二条规定的个人责任只适用于公司高层管理人员或董事为获取经济利益而故意或严重过失的行为。

生效日期

  • 明确规定各组织将在《个人信息保护法》通过之日起两年内完全遵守法律。

【可视化】:App专项治理工作组三次检查结果

2020年11月,App专项治理工作组发布了35款App存在个人信息收集使用问题的通告。此前,2020年9月,App专项治理工作组发布了81款App存在个人信息收集使用问题。2019年12月,工作组也对57款存在收集使用个人信息问题的App进行过检查

通过对检查结果以可视化的方式呈现,可以发现:

  • 自启动方式收集个人信息、明文上传账户密码、个人敏感信息处理、儿童个人信息处理、剪切板读取成为新的关注点。
  • “在申请打开某可收集个人信息的权限时,未同步告知用户其目的”、“未逐一列出嵌入的第三方SDK收集使用个人信息的目的、类型”始终是普遍存在的问题。
  • 检查对象开始关注官方、政务App的合规问题。
  • ……

除了App专项治理工作组,工信部也在推进App检查工作,检查如火如荼:

目前已完成国内用户使用率较高的44万款APP的技术检测工作,责令1336款违规APP进行整改,公开通报377款整改不到位的APP,下架94款拒不整改的APP,有效震慑了违法违规行为。

工信部点名:“一些企业经过多次整改仍存在问题,部分头部企业APP在个人信息保护的整改上存在思想漠视、侥幸心理、技术对抗等问题。”