煮酒言规 | 第177期 | 人脸识别备案加密要求 - 新鲜讯息

煮酒言规

///////////////

数据合规是一个比较新的领域，很多问题都难以通过公开渠道检索到答案。此时，实务人士间的思想碰撞、交流就显得尤为珍贵。

• CONTENT •

「大模型备案和登记的区别」

「人脸识别备案加密要求」

「失信被执行人公示去标识」

「支付服务方是独立处理者吗」

● 大模型备案和登记的区别

-问：有了解为啥有些省网信办现在不办ai的登记流程了吗？我们有个ai是通过api调用deepseek，一定要我们走备案流程？

-答1：备案流程老复杂了，安全评估报告要写一百多页。除了填表，还有检测吗。

-答2：主要调用大模型的走备案流程，很多东西没法填。我们昨天问的现在上海还有登记流程，简化很多。

-答3：会出现有些业务既要算法备案又要大模型备案的情况。。。

-答4：算法和大模型备案不冲突吧有 AI 功能算法是必备的。

-答5：两者差别很大的哦，同时具备两者也是一种正常情况~

-答6：之前梳理过。

-答7：如果甲公司的ai是通过面向B端企业用户，通过API接口给面向C端的企业用户（企业端再向公众提供算法服务）提供算法服务，那这个甲公司也要去做算法备案吧（以技术提供者身份）？我的这个结论对不？

-答8：不一定，智能语音客户有直接做服务提供的。

总结：如果要把这个东西给老外讲清楚，应该比较费劲儿。

● 人脸识别备案加密要求

-问：《人脸识别技术应用安全管理办法》中“第十四条人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。”这里边所提到的技术必须都要上吗？

在做网信办的备案，里面有数据加密的选项，不知道是不是一定要勾。

-答1：看ISO、看等保，不够你就写10页报告。

-答2：那传输加密也算数据加密吧。没有强制一定要数据加密，业务不让。特别金融机构，业务不能忍受延迟5秒。

-答3：base64转码再加密后传输并不慢。

总结：自己掌握解释口径。

● 失信被执行人公示去标识

-问：现在失信人脱敏这么粗糙的吗？这个不是都看的出来了吗？

-答1：有明确规定的：

-答2：这不是粗糙，是有意为之吧。姓名公开是这个行政行为的本意，属于一种惩戒方式。身份证号脱敏是为了避免信息被滥用。

-答3：是的，感觉是有意识“努力”之后的结果。既要公开以惩戒失信人、维护法律尊严和其他社会主体的交易安全期待等，又要确保公开的“最少必要”性，符合第六条“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式”~~做到现在这样已经很“拼”了，太不容易了，还是多鼓励肯定一下。比前些年一些地方机构曾动辄明文批量公示一堆个人信息，一看就是不做任何PIA、没有评估衡量的做法，现在这样确实好多了……还是有进步呀。

-答4：比以前大字报打一个红对勾好多了。

-答5：其实身份证号后四位才是最有保密价值的，很多公示普遍隐去的是生日，反而是最容易被破解的，如果有心加密这个点还是确实有些欠考虑，感觉是最开始拍脑袋做的决定后面就延续下来了。

-答6：是，出生日期去12306穷举可能都能碰出来。不过比完全明文好点儿。也有其他法院做得不错，比如崇明法院。

-答7：因为后四位排列组合难度是最高的吧，其余都是字段排列组合结果最少。

-答8：同意，身份证号码的掩码有技巧。但实践中多看操作人“心情“或掩码的公式咋写。

总结：有优化空间。

● 支付服务方是独立处理者吗

-问：购物时，对于用户选择的支付方式（比如说通过自己持有的中国银行卡或通过支付宝）进行支付，提供支付服务的这一方算是独立的个人信息处理者（controller）吗。

-答1：我理解是。

-答2：你去看看他们隐私政策撒。

-答3：这肯定是，不好判断的是广告与监测服务商、安全统计类服务商这种，属于模糊地带。隐私政策一般写的很含糊：数据合作方。

-答4：当然是独立的，你要这么分环节的哈，还有银行-卡商-银联网联-第三方支付-聚合支付。