煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
• CONTENT •
「代订酒店的告知同意」
「视频概括大模型工具」
● 汽车租赁场景有个人信息吗
-问:有个问题想请教下 车辆的所有者是企业,车联网卡实名认证主体也是企业,车辆租赁给个人客户产生的GPS数据是否可以不认为是个人数据呢?GPS数据只和VIN码关联的情况下,VIN属于企业的数据,可否认为GPS也不是个人数据?车企从车端采集的数据无法关联到具体的驾车人是谁,租车企业其实也不会共享这些信息。
-答1:如果存在车辆租赁记录,可以查询到车辆在哪个时间段租赁给哪个个人,可能就构成了。从关联性标准的角度。
-答2:我觉得属于租赁客户的个人数据。数据控制者是租赁公司,数据主体是租赁者。
-答3:我理解还是属于个人数据,另外就是,很难说租赁企业和OEM一定不会有某些场景下的数据交互和分享。
-答4:啊? 那神州租车这种咋整?
-答5:那OEM是啥呢?数据处理者?
-答6:32960那些数据 还真不确定oem和租赁公司谁是控制者。32960等那些数据感觉oem更像;但是网页数据、记录啥的前端可视的遗留数据,可能租赁公司会属于共同控制?not sure。科普:
总结:尽管车企不掌握租赁者的信息,但不影响这些数据是个人信息。
● 代订酒店的告知同意
-问:对个保法对外提供客户信息的单独同意,会有个人不经过隐私协议的场景,那需要咋处理?比如对于一些VIP,我们通过会务公司给VIP订酒店、机票之类的。一般都是通过定向邮件、电话,可能都没有隐私政策。
-答1:邮件的话:同步发一句话,回复确认该预定邮件,视为单独同意提供该信息给第三方。电话的话:通话后可以短信内+告知内容链接。
总结:上述讨论均有道理,个人信息保护是否需要覆盖全部场景,合规成本和风险是否成比例,也需要多多考虑。
● 申请补贴提供员工花名册
-问:大家有没有遇到过企业申请一些政府的企业优惠待遇过程中,政府要求必须提供员工全体的花名册。这种分享的合法性基础可以argue为人力资源管理或者法定义务吗?
-答1:感觉不行。所以走的同意。
-答2:别太合规了,这种事不要问法务,不要问律师,直接做就好。没有风险,但问就是要全体单独同意。
-答3:要全员“同意”是很难的、且有“保密”风险。这种申请的前期往往比较低调和保密、尤其不能提前“广而告之”,法务要求获取“全员同意”实质就是让业务不要去申请了——这样可不太好。
走“法定义务”勉强可以,但需要政府机构给出书面要求,并且交付出的花名册中人名打码和员工号打码、不给手机号号和身份证号(或者至少打码)、接口传输或光盘传输且加密,问就是涉及敏感个人信息处理和企业核心商密、无法披露且需要遵守个保法,信息泄露后果严重。
如果酱紫,业务还一定要坚持明文披露全员信息,那就只能法务给出评估意见和PIA留痕了。
-答4:真有意思,政府明明可以直接去人社调缴纳社保的花名册就可以了,还要折腾企业。
总结:政务数据的共享使用有待提升,在此之前就企业受罪。在合规风险可控时,承担风险也是一个思路。
● 个性化广告合规
-问:想请教下GDPR下出于个性化广告目的共享个人数据的一些问题:
最近观察到Meta、Google在privacy policy里都提到,当出于广告目的向广告主、供应商共享用户个人信息时,仅涉及“本身可直接联系”或“识别身份”的信息(特别提到说“自身可用于联系您或表明您身份的信息”)时,才需要获取同意。并且,似乎从2016年版本的隐私政策里开始,就将“位于马德里的 25 岁女性,喜欢软件工程”这样的画像或者标签数据界定为“统计数据”。
想请教下,目前欧盟的广告实践中,共享去标识化数据是不走同意这个合法性基础哇?似乎这又与前段时间Meta案里EDPB的决定相冲突?
-答1:个人感觉这可能是近几年GDPR下最核心、最重要的问题之一。是不是必须以同意作为合法性基础,目前看来很难调和或平衡。除了一些熟知的争议,现在的战场有至少五个。一是Opinion的性质和效力,火一路往上烧到EDPB的权能问题。二是(纯粹)商业利益能否为履行合同所必需。三是(纯粹)商业利益能否构成合法利益。四是一、二、三与企业自主经营的相关权利的关系。五是可识别性、假名化和匿名化上绵延多年的拉扯,不仅是EDPB和DPA不止一次戳破各类主张,也包括Mozilla等产业界相关方不止一次否定FLoC、Topics等此类方案。每个点都可以再展开很多很多。
-答2:国内大平台 比如微信 好像也是类似这么写的。
-答3:法条和实际会有差,国内也一样。
-答4:大模型的回答:在欧盟,处理个人数据需要遵守通用数据保护条例(GDPR)的规定。GDPR要求企业在处理个人数据时必须有合法的基础,并且对于某些类型的数据处理,例如出于广告目的的数据处理,需要获取用户的明确同意。
关于去标识化数据的处理,GDPR并没有明确规定所有情况下都需要获取同意。实际上,GDPR第5条第2款指出,数据控制者可以在不违反隐私权利和基本自由的情况下处理匿名信息(即无法识别个人身份的信息)。这意味着,如果数据被完全去标识化,以至于原来的主体无法被重新识别出来,那么这些数据就可以被视为非个人信息,从而不需要同意。
在实践中,企业通常会区分“个人数据”(PII)和“非个人数据”(non-PII)。个人数据是指可以直接或间接地识别一个自然人的任何信息,而非个人数据则不包含此类信息。对于广告行业来说,共享去标识化数据通常被认为是合法的,只要这些数据不能被用于重新识别特定的个人。
关于Meta和Google在隐私政策中的表述,他们强调只共享“本身可直接联系”或“识别身份”的信息,并且将“位于马德里的25岁女性,喜欢软件工程”这样的信息定义为统计数据,从而可能将其归类为非个人数据。这样做是为了避免违反GDPR的规定,同时尽可能地利用数据进行广告投放和个性化推荐。
然而,EDPB(欧洲数据保护监督机构)在Meta案中的决定可能会对这种做法产生影响。EDPB强调即使是去标识化数据也可能需要遵守GDPR的规定,如果处理的数据能够用于重新识别个人,或者在与其他数据源结合时可能用于重新识别,那么这些数据仍然可能是个人数据,并且需要符合GDPR的合法处理原则。
总结来说,共享去标识化数据在某些情况下可以不需要获取同意,但这取决于数据的性质和是否有可能被用于重新识别个人。企业在实践中必须谨慎评估他们的数据处理活动,确保遵守GDPR的规定,同时也要注意不断变化的监管环境和解释性指导。因此,Meta案中的EDPB决定并没有直接冲突,而是提醒企业需要更加严格地评估去标识化数据处理的合法性基础。
Meta案是一起涉及Facebook(现在是Meta Platforms Inc.的一部分)和欧洲数据保护监督机构(EDPB)的案件。这个案件起因于2015年,当时有一群比利时的非政府组织(NGO)对Facebook提起了投诉,称其处理个人数据的做法违反了欧盟的数据保护法律。
在这个案件中,EDPB进行了调查,并最终在2018年发布了决定。该决定主要关注以下几点:
1. 数据去标识化的有效性:Facebook声称它使用了一种称为“差分隐私”的技术来对数据进行去标识化。然而,EDPB认为这种技术并不能完全保证数据的匿名性,因为在某些情况下仍然可能通过其他数据源追溯到个人。
2. 用户同意的合法性:Facebook要求用户在其服务中分享信息时使用的格式条款(clickwrap)和推送通知(pop-up)被认为可能不足以构成明确、具体且informed的同意。EDPB指出,用户可能没有充分理解他们同意的内容,因此这种同意可能是无效的。
3. 数据传输:Facebook将数据传输到美国的做法需要符合欧盟的数据保护法规。EDPB指出,Facebook必须确保国际数据传输遵守适当的保护措施,以保护欧洲公民的隐私权利。
4. 透明度:Facebook在处理个人数据时缺乏足够的透明度,没有向用户明确解释他们的数据是如何被使用的。
EDPB的决定强调了企业在处理个人数据时需要采取的合法、公平和透明的原则。此外,这个决定还为其他类似情况提供了指导,即如何确保数据保护法律的合规性,包括对于去标识化数据的处理和使用。
值得注意的是,尽管EDPB的决定具有重要的法律意义,但它并不具有强制性的法律效力。这意味着Facebook可以选择对EDPB的决定提出异议或遵守其建议,但这不会自动导致法律制裁。然而,这个决定可能会影响其他企业的做法,并促使它们更加仔细地评估自己的数据处理活动,以避免可能的法律风险。
● 视频概括大模型工具
-问:现在有哪个大模型可以对一段长视频进行总结梳理的吗,比如放个b站讲课链接,能够梳理要点么
-答1:B站自己就做了一个。也有很多野生的。
-答2:Poe付费模式里面也有一个机器人可以分析YouTube视频。
-答3:360AI浏览器,还能切片。
-答4:coze可以似乎。
总结:各种工具。
• END •
关注小号防失联
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...