煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
• CONTENT •
「企业微信外链」
「诊疗信息出境」
「公司代订机票」
● 微信公众号的告知同意
-问:企业通过微信公众号收集的用户信息(昵称,点赞,所属地等等)—是属于从用户端直接收集or 间接从微信后台获取
-答1:公众号本身最常见的就是你前面提到的头像,昵称,点赞,这个在微信隐私政策涵盖了。
公众号上是通过 API 形式跳转,肯定要获取同意的,微信对开发者都要管这个授权链路的,场景:点击跳转投票啊,商城啊,获取常见的:位置之类的。KFC 点餐。
-追问:然后我作为公众号主和微信之间存在disclosure的关系吗—-就微信公众号收集的信息?
-答2:微信代你告知了,是提供服务的应有之义,不必多虑。
-追问:我正好也在看微信的一些问题,想问一下,企业微信上,客人添加销售、客服为好友,添加成功时候客人的id就到企业了,微信隐私政策里有一段说“加企业微信时候可能企业可能会获取您的账户信息”这是不是也可以视为微信代告知了~
-答3:我今天添加企业微信的银行工作人员,会强制弹窗问我是否同意对话存档。
-答4:会话存档弹窗可以塞一个隐私政策,企业微信的代理会给个模板,企业可以自己据实调整。如果没有买会话存档,想告知同意也没地方。
总结:也有个别公众号会有单独的隐私政策,如:,但微信的产品设计都没有给公众号弹窗勾选隐私政策的选项,也代公众号运营者做了告知,所以不要太过纠结。企业微信的场景,会话存档能弹窗可以弄一个。
● 企业微信外链
-问:企微导购端在聊天里向顾客发送外部的在线图片链接,这个企微号有没有被腾讯处罚的风险?
-答1:会。是企微风控。
总结:以安全之名,行壁垒之实。
● CRO数据出境
-问:医药企业境外总部直接engage境内CRO和医院开展项目,不通过医药企业境内实体。这种情况下,理论上应该是医院去报CBDT,但是之前听说实操上医院都不配合的,所以境外总部也可能督促境内CRO去报。大家知道现在实操中,会有医院或者CRO去报吗?
注:CRO,即Contract Research Organization(合同研究组织),负责为药企提供专业化的研发服务,既包括新药的开发,也包括仿制药的仿制,几乎可以覆盖药品研发从发现化合物到上市全流程的各个环节。
-答1:反正我这边医院连ICF加个数据条款都不肯,骂我不接地气,别说报了。
注:ICF,即Informed Consent Form,知情同意书)。
-答2:遇到过医院说我们不懂个保法,说我们药企哪有接收个人信息。
-答3:CRO也不太可能去报,CRO一年做那么多临床,都去报CBDT了他们也没法干别的了。
-答4:CRO也不是data controller。
-答5:不如让总部自己报。
总结:最后一个思路不错哈哈哈。(医疗缩写真多)
● 互联网广告投放合规
-问:微信在自己的平台上投放各个品牌的广告,微信把一些“脱敏”个人信息给到品牌方,微信和品牌方之间的数据传输协议是共享还是委托?(之所以会出现委托的可能性是,微信在DPA中的措辞是为了完成品牌方的目的,微信会对数据进行123等的处理。)类似朋友圈里面的广告。
-答1:品牌方一般不跟微信签吧 都通过广告公司签。
-答2:是不是公司的数据和广告平台的数据进行匹配,打标、人群放大再触达的场景啊。
-答3:1、先分清几个角色:网络平台:微信。广告经营者:腾讯广告+代理+各自制作团队。广告主:品牌方。
2、场景。直投 还是 通过广告代理公司都会有直接签署协议的情况。你说的场景是标准朋友圈广告投放,还是定制人群包广告呢,还是其它啥?
-答4:给的一般是广告曝光、点击的设备级ID,那这部分用户的告知同意一般只可能发生在平台,所以是平台委托广告主或者合作方做后链路归因。广告主或者合作方,比如电商平台才有广告后链路转化数据。
-答5:我感觉是共享吧。因为数据提供给广告方后,广告方基于什么目的处理这些信息是不可控的。如果说是委托,对于微信责任也比较重。
-答6:这类在我们行业一般按照委托处理。不可控是一回事。我要你只能做归因是另一码事。如果是数据提供做不了各方共识,主要做不到主管部门认为的单独同意。核心利益了。所以可以通过安全岛 双方数据进去 归因后的统计级数据出来。
-答7:但这种场景主管部门还是认为是提供了个人信息的。
-答8:建议先把其他场景的合规先做好吧,这类广告数据一般是设备标识符,也不涉及用户敏感行为,平台做好推荐的用户体验优先。
-答9:再请教一下,那些广告监测工具SDK,在这个场景里,通常会和谁签(微信/广告主or三方)?也是受托方的角色吗?
-答10:监测公司一方面要和媒体要对接,至于具体广告投放时候的委托,那是广告主来选了,选择媒体同意接入的监测方。监测是有sdk方式在做,但经常遇到的广告监测一般不是sdk,秒针啥的也没sdk吧,印象里。可以理解为业务合作是广告主选监测公司,数据合作是媒体和监测公司。
-答11:你说媒体是黑话了,就是网络平台淘抖快。
-答12:业务上叫监测代码。阿里妈妈,巨量引擎。都是行业内大佬级平台。
-答13:广告归因这个场景也很值得往下聊。有些平台被主管部门要求改oaid单独同意,因为归因涉及到广告业务基础核心,的确很难实现,所以暂且模糊了整改期限。 但如果性质上主管部门按数据提供理解,那在不涉及单独同意的情况下,Oaid传输有没有好的方案呀?
-答14:这块感觉很复杂,互联网广告有什么好的书或者文章推荐吗?
-答15:腾讯广告法务老大写过一本,王喆:《重新认识:互联网广告的法律规制》。
-答16:好方案的话,模糊点说,可能解决了某个问题,但是其他问题又会起来,或者业务会有大影响了。安全层面,设备标识符,广告行为,平台的人群画像,安全层面对用户的影响比其他业务场景小很多,流通领域的合规重点我个人觉得还是什么样的广告场景可以流动什么数据,做什么用途的行业自律和最佳实践的共识,广告最大的问题还是用户是有感知的,保护用户的隐私感。
-答17:确实有个比较关键的点是,品牌方是否拿了自己的用户数据去和微信撞库得倒更多的潜客信息;还是品牌方仅给了微信群体画像/甚至不给任何画像或标签,微信根据随机投放后品牌广告的点击量给品牌方反馈潜客信息。我比较关心的是后者,也就是最开始的个人信息来源是微信自己的这种。这部分用户同时可能同时是品牌方的潜客,但不一定后续一定和品牌方建立联系。
在这种情形下,微信要求和品牌方签订以品牌方为委托方,微信为受托方的DPA,是不是对于品牌方来说义务有点重?(当然确实理解微信至今没有加过共享的单独同意,似乎其他platform(淘宝、天猫之类)也没有。不知道是哪个环节认知/执法上的问题。但很明确的是加州CPRA要求网站对于共享个人信息给【广告方】是明确要求有单独开关。GDPR中对于cookies需要分层opt- in我弱弱的理解也是针对online behavior data。不懂为啥国内没做。。。)
-答18:平台的人群标签是平台核心资产和竞争力,浏览器和平台本身也不大一样。
-答19:品牌方不给种子包,仅给画像;微信基于自己的数据进一步丰富了客户画像?or微信给到了潜在客户群(即明确的特定的人)。
● 诊疗信息出境
-问:问个healthcare的问题。患者跨境就医(在境内做了癌症基因检查,把相关数据和结果给到外方合作的医院,为了中外合作医院联合出诊疗意见,和方案。)对于基因检测数据的出境,也是可以靠跨境就医而被豁免的对吗?没有特别需要关注的数据(不论如何都不许出境的那种数据吧?不太了解healthcare行业…)
-答1:如果构成重要数据就要安全评估,不过量可能要大。
-答2:还要考虑人类遗传物质出境审批:人类遗传资源材料包括所有类型细胞、全血、组织/组织切片、精液、脑脊液、胸/腹腔积液、血/骨髓涂片、毛发(带毛囊)等,其他不含细胞的人体分泌物、体液、拭子等无需申报。人类遗传资源信息包括基因、基因组、转录组、表观组及ctDNA等核酸类生物标志物等数据信息,以及与此数据相关的疾病、人种等关联信息,其他不含人类遗传资源基因信息数据类型无需申报。要看具体出什么信息,检测报告到什么颗粒度,如果直接基因点位,基因组信息 就是人遗了 要申报。
-答3:按照生物安全法和人类遗传资源报批,看目的是诊疗还是啥。
-答4:谁给到境外?
-答5:要联合出诊断报告和方案的话,可能会字段比较细。癌症诊断的目的。中方医院给外方医院。
-答6:出境这块就是按照网信办的来,刚刚提到的是人遗的审批。
-答7:临床诊疗目的的出境不需要人遗审批。
-答8:这种场景出就出了吧,如果我是医院,我让患者自己发给境外邮箱。医院平台发的话,一条敏感个人信息就要SCC或者认证,要么就往履行合同确需或者个人生命安全论证,但还是要告知和PIA等等,挺麻烦的。。
-答9:这是个办法,只是监管是否认可也不好说。这个办法也不必然能推广到其他场景,比如中国潜在客户直接登陆某公司境外官网留资这种,监管就认为该公司境内实体仍有义务申报。总之吧,这套数据出境体系不是很严谨,四处漏风,合规搞到后来也就是得到个似是而非的结果。我的领悟就是企业不要太纠结,有个大方向的风险判断、找个能说服自己的理由就行。
-答10:出境这个事儿大胆论证,pia留痕,实在不行抓到就整改。别做太离谱的事情就好。
总结:1.个人诊疗不用考虑人遗出境;2.CAC的出境,自己论证清楚就好。
● 公司代订机票
-问:公司和航空公司达成折扣协议 如果需要把事先把员工信息提供给航空公司以作判断折扣与否,这种行为,个保法下我理解是提供(第23条)?
-答1:我理解可能更接近委托处理?我这边是按委托处理来的。
-答2:我的感觉 如果是为了公司出差、费用公司支付只是员工在预定的时候需要自己按照公司和航空公司确定好折扣预定对应机票的,那么应该是委托处理情形?私人行程享受折扣,那公司在之前向航空公司提供在职员工名单适用 23条- 向其他独立个人信息处理者提供个人信息。
总结:直接搞手机号登录第三方平台,再发企业邮箱邮件验证绑定就好了,不用告知具体个人信息,明确企业邮箱后缀就好。
• END •
关注小号防失联
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...