煮酒言规 | 第116期 | 社保号是敏感个人信息吗？ - 新鲜讯息

煮酒言规

///////////////

数据合规是一个比较新的领域，很多问题都难以通过公开渠道检索到答案。此时，实务人士间的思想碰撞、交流就显得尤为珍贵。

• CONTENT •

「APP Store备案要求」

「技术出口限制范围」

「社保号是敏感个人信息吗」

「委托处理的告知」

「体现步态的字段」

「不予出境字段的处理」

「设备ID隐私政策中披露」

● APP Store备案要求

-问：4月1日起，苹果appstore中国市场有啥动作没？比如对没填备案号的APP下架？

-答1：苹果的策略是不追溯旧版本，但是提交新版本的话必须提供备案号。

-答2：所以老的不下咯？

-答3：那我不更新了。

-答4：逐渐消失，时间问题。

总结：该备案还得备。

● 技术出口限制范围

-问：境内A企业的技术（假设是受进出口管理条例限制出口的技术）提供给境外B用，境外B是境内A的全资子公司，B不会对外转服务，这种情况下，能给B吗？

-答1：我看字节的case，管制tiktok，目的只是不让他卖，但给他用其实还好。

-答2：要办理登记的吧，但是登记好像比较难。限制出口的技术比较难通过商委批准。

-答3：现在国内互联网企业普遍都有一些信息分析和信息处理的技术，这类技术是否落入限制类，本身比较模糊。存在海外业务，因此也有集团内跨地域使用的需求。

总结：可用不可卖？

● 社保号是敏感个人信息吗？

-问：社保号是敏感个人信息吗？

-答1：数据分类分级国标明确，社保卡的证件号码、影印件、照片都是个人信息。

再结合，35273敏感个人信息的列举，社保卡号应该属于敏感个人信息。

-答2：检索了一下：《网络安全标准实践指南 —网络数据分类分级指引》（2021）、《信息安全技术敏感个人信息处理安全要求（征求意见稿）》（2023），社保号属于敏感个人信息。

-答3：敏感个人信息国标（征）里面其实对特定身份有缩限。

-答4：gdpr下社保号身份证都不是敏感信息；但是我翻了中国的几个规定很怀疑是敏感信息。社保号在意大利和法国也可以算敏感，其他国家不算；身份证号护照号就是一般个人信息。

-答5：社保卡跟社保号不是一回事吧。我理解这里的社保卡指的社保卡扫描件之类的？公司里只是单独的社保号或则身份证号，我一般都不当敏感信息处理。社保卡确实不是单一信息，而是一系列信息的集合。

-答6：清扫战场：从现有标准来看，单一的社保号不能认定为敏感个人信息，社保卡在敏感个人信息的示例中。

总结：等敏感个人信息国标出台最为稳妥，若想趋严认定，回归到定义本身，一但泄露会影响自然人生命、财产安全，也不是没有空间论证。

● 委托处理的告知

-问：想问一下大家，个保法第二十一条里面涉及的委托处理情形，受托人按照约定处理个人信息，这一条里面，委托方没有向用户披露受托处理信息主体的义务要求。
所以，例如，我是平台，我委托另一个技术公司在某个必要环节提供人脸识别验证服务，委托技术公司处理收集的人脸信息，这种情况下我也不需要在我的隐私政策以及人脸识别环节向用户披露该技术公司的，对吧？（相关的信息保护责任都在于委托人，也就是平台一方）

-答1：之前讨论过，观点不一，告知要做，颗粒度到什么程度待讨论，详见：https://cbe8t1r4a5.feishu.cn/wiki/wikcnJdLedkVxS54ZzrxTpBC1qf?from=from_parent_docs。

我现在倾向于，反正出了事你都找我就行，你管我委托了谁呢。

-答2：这种事肯定是多一事不如少一事。披露了反而多个麻烦。比如用户看到某家供应商出现漏洞了，本来不知道也就没啥。现在虽然不涉及到你们家的数据，用户一定会找上门来拿着说事。

-答3：理论上允许，现实中的确有一直变更的可能，核心还是责任落实。

-答4：当然隐私政策一般还是会披露有哪些隐私处理行为，具体披露供应商确实没必要。

总结：披露委托处理事宜但不披露具体供应商。

● 体现步态的字段

-问：一般什么类型的字段能看出是步态呀？

-答1： 视频，01010101都可以吧。具体看看这个国标 41773-2022。

总结：有国标，看国标。

● 不予出境字段的处理

-问：请问大家，对于公司按照原规定已经评估通过，但是存在部分字段不予出境；在新规下公司不再需要走安全评估的。如果想还是想继续出境之前不予出境的字段，真的要再走一遍标准合同吗？还是说，哪怕再走标准合同，这部分仍然可能无法出境呢。

-答1：同问，如果是员工场景的字段，都没机会再走标准合同了。。。

-答2：答记者问提及过。

-答3：比如针对员工相关的不予出境的字段，应该可以内部自证走人力资源管理所需，而不在向网信办提交其他材料，直接rely on新规的豁免？

-答4：豁免申报，但仍然要内部PIA必要性的吧？内部必要性评估去挑战网信办已经给定的必要性尺度？

-答5：其实困惑就在于如果网信办已经定型不予出境的员工信息，内部pia是否能够适当、充分的jusify在跨境人力资源管理所需；还是说这样操作风险很高，仍需要走标准合同。

-答6：已有cac结果的，被拒字段企业自行评估跨境人力确需。需要内部谨慎充分论证。确实需要，则可以出境，不用再走其他出境路径。内部评估是否适当还是看具体字段场景，例如社保：cac就没有考虑到外派人员（国内派国外）和非外派人员的区别。例如国家双边协议里有税收互认，需要提供社保信息给境外办理互认。外派人员就是确需，非外派人员就论证不了确需。

-答7：如果是豁免的场景，那就出境程序都不用做了，等于原来关于豁免场景的安全评估结果可以忽略。

-答8：那如果无法确保能够justify落入豁免，我理解也应该在今年内重新走scc？原来的有效期也可以忽略了？

-答9：然后其他被拒的字段，应该还是要考虑整改的吧。至少上海网信的ppt里写的，有结果的，建议参考结果。

-答10：关于促进新规中豁免的员工信息场景，员工的定义如何解释？正式劳动关系？排除派遣、实习生？

-答11：上海是只要签了合同都算。待接 offer 的不算。实际情况来看，用工平台，人力外包派遣是常态，像阿里华为有上万的派遣员工。

-答12：只有符合劳动法下员工的才算。昨天得到的答复…

-答13：咨询说派遣员工不算，跟企业签劳动合同的都算。

总结：个人观点，该豁免的场景可以豁免，毕竟都是确需了。至于员工，还是倾向于签订劳动合同的才是。

● 设备ID隐私政策的披露

-问：求教现在SDK的披露要求是收集非PI的也需要列出来么~

-答1：不用吧，我们都是抄SDK官方的，然后自己扫一下，取并集。

-答2：最早要，后面放宽了。