在过去的一年中，数据保护官（DPO）沙龙针对数据保护中的多项热点，展开了热烈、富有建设性的研讨。本期沙龙将重点讨论APP中嵌入的SDK个人信息保护合规问题。

SDK是SoftwareDevelopment Kit的缩写，即“软件开发工具包”，是辅助开发某一类应用软件的相关文档和软件代码的集合。适用于安卓App的第三方SDK通常以软件代码库的形式存在，对外开放定义清晰的应用程序接口（API），App开发者无需了解SDK实现细节即可迅速实现某一特定的功能，从而提高开发效率，不用“重复制造轮子”。安卓App开发时嵌入第三方SDK，可迅速获得第三方SDK提供的广告、支付、统计、推送、社交网络、地图、定位等方面的功能，以满足相互协作、能力共享、信息互通的需求，使用第三方SDK已经成为安卓App生态的重要组成部分。

但与此同时，SDK在个人信息安全方面也存在显著的风险。从案例上来讲，中外均存在SDK违法违规收集使用个人信息的案例。例如【因插件问题，Facebook再度“陷入旋涡”】。在中国，典型案例如2018年的【"寄生推"病毒爆发，影响这些手机和APP，看看你中招了么！】，2019年的【中国公司未经用户许可大规模收集用户联系人信息】。从立法和监管来说，国外针对SDK已经出现了有针对性的法律和执法。

反观国内，无论是《网络安全法》等法律，还是各部门规章、规范性文件、国家标准，均明确了个人信息保护的法律框架和具体要求。四部门开展的APP违法违规收集使用个人信息专项治理、公安部的净网行动、市场监管总局的“守护消费”，形成了个人信息保护的执法高压态势。SDK个人信息保护合规工作应该如何开展，DPO沙龙希望聚焦探讨并形成共识。感谢TalkingData为此次线下沙龙提供场地和会务支持。

讨论将如何进行？

现场流程：

1. 主持人开场；

2. TalkingData公司高管介绍SDK基本原理和目前的行业合规实践；

3. APP治理工作组介绍国内主要SDK个人信息收集使用情况；

4. 社群成员介绍法国个人数据保护局CNIL2018年至2019年针对SDK的执法案例；

5. 社群成员介绍美国Vermont州Data Brokers LAW；

6. 社群成员自由讨论。

如何报名本期沙龙？
 

扫码报名

活动时间：2019年7月26日（星期五）上午10：00点-下午5：00点；
活动地点：北京市东城区东直门外大街航空服务大厦502A TalkingData；
人数限制：50人；
温馨提示：为了给更多人参会的机会，请大家以确认短信作为参会凭证。如无确认短信，请勿自行前往，否则无法入场。感谢各位的配合。

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

16. “108号公约”全文翻译（DPO沙龙出品）

17. 美国司法部“云法案”白皮书全文翻译（DPO社群出品）

18. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）

19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东

11. 第十一期数据保护官沙龙纪实：企业如何看住自家的数据资产？这里有份权威的安全指南

12. 第十二期数据保护官纪实：金融数据保护，须平衡个人隐私与公共利益

13. 第十三期DPO沙龙纪实：厘清《数据安全管理办法》中的重点条款

14. 第十四期DPO沙龙纪实：梳理《个人信息出境安全评估办法（征求意见稿）》的评估流程
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“

12. 德国最高数据保护官员就美国“云法案”提出警告
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）

24. 《个人信息安全规范》的效力与功能

25. 结合良好实践，细说APP自评估指南之二（DPO社群成员观点）

26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

27. 实施已满三月，区块链新规“回头看”（DPO社群成员观点）

28. 从“布拉格提案”看美国政府的策略

29. 《欧盟GDPR合规指引》前言：从一个损毁的雕像说起

30. 对《网络安全审查办法（征求意见稿）》的几点观察

31. 使命与界限：近期个人信息和数据安全新规的一些思考（DPO社群成员观点）

32. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路

33. “惟危惟微，允执厥中”：对《数据安全管理办法》中“定向推送”部分的思考

34. 《儿童个人信息网络保护规定（征求意见稿）》评析：与美国COPPA对比的视角

35. 网安法中的“范围”如何理解和落地：从头条案说起

36. 《数据安全管理办法》的监管诉求及文本改进建议：DPO社群的现场讨论

37. 数据安全的内部和外部视角初探
    

38. 《个人信息出境安全评估办法》的流程改进建议：DPO社群的现场讨论

39. 评价GDPR一周年：一些正负面观点

40. GDPR与相关数据保护法律处罚案例调研（DPO社群成员观点）