数据隐私法实务指南：以跨国公司合规为视角（第三版）

　　《数据隐私法实务指南：以跨国公司合规为视角（第三版）》以简明、清晰的语言讲述跨境数据传播法律合规问题，为读者理解、掌握数据隐私法的核心概念和法律原理提供生动的理论分析，为跨国公司制定数据隐私合规政策提供具体的操作方案，同时为任何对数据隐私法感兴趣的人快速查询相关话题准备好了知识库。

　　狄乐达为数据隐私这个动态多变、富有挑战性的话题提供了务实、可行的建议，为本领域作出了重大贡献。这本实务指南必然会成为隐私专业人员参考书系中的重要一册，很快会成为他们时时翻阅的案头书。  

　　– J.特雷弗·休斯（J.Trevor Huges）

　　国际隐私专业人员协会（International Association of Privacy Professionals）主席兼总裁

　　狄乐达的《数据隐私法实务指南》是国际隐私专业人员不可或缺的参考书。这本由明星律师执笔的专著讲解了如何建立和运行企业的隐私合规项目。本书既描绘了全球隐私问题的”大图景”，也用清晰简洁的方式点出了相关细节。

　　– 保罗·M.施瓦茨（Paul M. Schwartz）

　　美国加州伯克利大学法学院教授、伯克利法律与技术研究中心主任

导言
关键术语
关键概念
    领域：数据保护、数据隐私及数据安全
    法域：欧洲、美国及其他地区

    种类：个人数据、个人可识别信息（PII）及个人敏感数据
    相关行为：数据传输及其他数据处理行为
    监管对象：数据控制者、数据处理者
    守门人：数据保护机关、数据保护官
使用说明及阅读提示
章  创建数据保护合规制度
    1.1 
负责人
    1.2 
与内部利害相关部门和外部顾问协作
    1.3 
任命隐私官
    1.4 
准备任务清单
    1.5 
执行任务
第二章  数据跨国传输：选择恰当的合规机制
    2.1 
三重障碍
    2.2 
突破数据跨国传输限制的各种方式
    2.3 
不同合规机制的对比
    2.4 
合规机制的执行
    2.5 
其他法域的数据跨国传输
第三章  撰写隐私合规文件
    3.1 
为什么创建文件?
    3.2 
读者是谁?
    3.3 
文件类型及示例
    3.4 
通知
    3.5 
同意
    3.6 
获取有效同意的方法
    3.7 
选择加入、选择退出及中间地带
    3.8 
获取数据主体同意后的注意事项
    3.9 
起草同意文书时的其他考虑因素
    3.1 
与数据主体签订协议
    3.11 
办事规程
    3.12  问卷与数据提交表
    3.13 
记录决策及合规工作
    3.14 
向政府提交报告及政府许可
第四章  维护和审核合规制度
第五章  数据隐私知识库：从A到D
    广告（Advertising）
    英国脱欧（Brexit）
    云计算（Cloud
Computing）
    数据住所及数据保留要求（Data
Retention and Data Residency 
Requirements）
    员工数据、员工监控（Employee
Data and Monitoring）
    财务信息（Financial
Information）
    政府调查、信息查询（Government
Investigations，Information Requests）
    健康信息（Health
information）
    物联网、大数据、数据商（Internet
of Everything，Big Data and Data  Brokers）
    法域（Jurisdiction）
    合同（KContracts）
   
位置数据（Location Data）
    未成年人（Minors）
    通报数据安全事件（Notification
of Data Security Breaches）
    所有权（Ownership）
    设计隐私保护（Privacy
by Design）
    问卷调查（Questionnaires）
    权利、救济、执法（Rights，Remedies，Enforcement）
    社交媒体（Social
Media）
    追踪（Tracking）
    垃圾通信（Unsolicited
Communications）
    供应商管理（Vendor
Management）
    监听（Wiretapping）
    生物识别数据：X光、基因、指纹、人脸（X  ray，Genes，Fingerprints，Faces  Biometric Data）
    为何保护数据隐私？（Y？Why Protect Data Privacy?）
    邮政编码、IP地址和其他数据串（Zip Codes，IP Addresses and other  Numbers）
要点清单
相关资料

狄乐达为数据隐私这个动态多变、富有挑战性的话题提供了务实、可行的建议，为本领域作出了重大贡献。这本实务指南必然会成为隐私专业人员参考书系中的重要一册，很快会成为他们时时翻阅的案头书。  
—— J.特雷弗·休斯（J.Trevor Huges）
国际隐私专业人员协会（International Association of Privacy
Professionals）主席兼总裁

狄乐达的《数据隐私法实务指南》是国际隐私专业人员不可或缺的参考书。这本由明星律师执笔的专著讲解了如何建立和运行企业的隐私合规项目。本书既描绘了全球隐私问题的“大图景”，也用清晰简洁的方式点出了相关细节。
—— 保罗·M.施瓦茨（Paul M. Schwartz）
美国加州伯克利大学法学院教授、伯克利法律与技术研究中心主任

　　中文版序

　　我来自德国一个拥有1200多年历史和不足五千居民的小村庄。18岁后我离开故乡，开始在慕尼黑的德意志银行工作。那时在我眼中，这个拥有150万居民的德国第三大城市无疑是大城市。两年后，我前往伦敦的国民西敏寺银行工作。又四年后，转到纽约的德国领事馆工作。我又觉得伦敦和纽约是相当庞大的城市了。后来，我入职了在48个国家设有77个办事处的贝克麦坚时（Baker
McKenzie）国际律师事务所，并在工作期间前往世界上的很多其他城市。但直到2009年，我次到北京参加贝克麦坚时国际律所全球合伙人会议，次见到北京一望无边的天际线、宏伟的紫禁城和长城，有幸在当地一所大学做关于开源许可的讲座并得知那里有两万多名法学生和1500多位法学教授时，我才真正领教什么叫”大”城市。

　　2009年之后，我多次去过香港、上海和其他中国城市。我的上海客户还给我起了一个中文名：狄乐达。我高兴极了，欣然接受。这就好像我那许多在加州和德国留学的中国学生会取英文名或德文名一样，将有益于彼此间的沟通。本书中文版能由法律出版社引介给中文读者，我深感荣幸。感谢中国读者对本书感兴趣，也希望本书能对大家有所助益。我衷心期待与大家共同探索数据和隐私法这片天地。

　　狄乐达

　　2018年4月

　　原著序

　　自从2015年本书第二版付梓以来，世界各地的数据隐私法发生了重大变化。欧盟在20多年后终于首次修订了其数据保护法。《欧盟通用数据保护条例》于2016年通过，并将于2018年5月25日生效。欧盟法院撤销了其在2015年对美国安全港项目做出的”充分保护”判定。随后，欧盟于2016年批准了新的欧盟-美国隐私盾项目。同时，欧洲各国的数据保护机关增强了数据保护审查和执法活动。俄罗斯、哈萨克斯坦、印度尼西亚、中国和德国纷纷立法规定企业在本地存储个人信息，以利于本地政府机关执法。在美国，民事案件原告的律师们基于数据隐私和安全诉求针对企业和政府提起了大量的集团诉讼；通过基于一般不正当竞争法的起诉状及和解令，美国联邦贸易委员会发展出一系列关于数据隐私和安全的法律规则，并成功说服法院在判决中维持了这些规则；加利福尼亚州（多数大型信息技术公司总部所在地）正积极通过新法，以应对业已察觉的数据威胁和滥用。在这种背景下，作者对第二版的内容进行了全面的修订，确保实务指南总体方向的基本稳定，同时反映时代的变化。作者感谢读者对本书前两版的兴趣和反馈，并期待继续通过本书与读者多多交流。

　　感谢Bethany Lewis（CIPP/US、CIPP/E、尼尔森公司隐私项目经理）对第三版修订提供的宝贵建议。我还要感谢对本书前两版给予帮助的如下人士Ron A.Dolin博士、Diana Francis、Susan Freiwald教授、Emmanuel Fua、Sarah Jain、Sebastian Kraska博士和Christoph Rittweger博士。书中如有错漏，由作者本人承担责任。

　　作者狄乐达专门从事并讲授国际数据隐私法、商法和知识产权法，拥有德国律师和美国加州律师的资格，现为贝克麦坚时律师事务所旧金山办公室、帕罗奥多办公室的合伙人。自1999年起为德国公法教授协会成员，在柏林自由大学（1994年起）、加州大学伯克利分校法学院（2004年起）、加州大学哈斯汀分校法学院（2010年起）、斯坦福大学法学院（2011年起）和旧金山大学法学院（2000~2005年）讲授数据隐私法、计算机法和互联网法。撰写超过100篇论文、书籍章节，出版了《加州隐私法：实务指南和评述》（2017年第二版）等四本书籍。