煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
• CONTENT •
「Azure Open AI境内合规使用」
「未成年人网络保护」
● TC260敏感个人信息识别
-问:敏感个人信息国标不是之前征求意见了,怎么又来一个:?
附表的注释挺有意思,照片原图也是敏感个人信息。
-答1:新来一个吧,原图一直是敏感个人信息吧,是检查重点。
-答3:之前问网信办,求职者在简历上放的人脸照片都算敏感个人信息。
-答4:其实……大部分简历照片已经不是真实的人脸图像了,身份证上的照片可能还是。
-答5:对....大部分只是证件照。
-答6:对,身份证照片 没法优化处理。
-答7:那企业被动收了带照片的简历,又不是主动记录的,但因为招聘系统部署在境外,难道就要为此走scc吗?
-答8:问就是要啊,或者你系统主动删掉,反正我们出境的时候,也是被指出大头照是敏感个人信息。
-答9:对,打电话就是这样,问就是要。
-答10:是的,之前我们电话咨询也是如此。以及他们对于新规员工豁免场景仅限于与企业签署正式劳动合同的员工,不包括外包和实习生。
-答11:这个口径也解释的太宽泛了吧… gdpr合理一点,如果不提取人脸特征,按照道理就不应该作为敏感个人信息。
-答12:问题在于,基本上任何一张可以看清人脸的照片都有能力进行提取。
-答13:关键在于,合规成本太高了,如果非基于提取目的的大头照出境,也要签scc,企业要花好多钱。
总结:一条敏感个人信息出境就要做scc,所以是否认定为敏感个人信息对于合规成本至关重要。人脸照片是否都是敏感个人信息,我觉得有讨论空间。
● Azure Open AI境内合规使用
-问:请问Azure OpenAI大家都会放心用吗? 做了中国的内容合规,中国公开销售,数据依然出境,说中国是它家全球最大市场,叫得上名字的互联网公司都在用。好奇还需不需要担心合规问题,尤其OpenAI本身不对大陆开放(Azure OpenAI有官方文件说服务器在境外的,内容过滤是会上介绍的)。
-答1:内部用用就好,to c感觉有风险
-答3:支持,to c还是感觉不行。
-答4:正在对接中,跟业务讨论过,初步的方案是,涉及内容生成的部分用国内,GPT的部分用于类似理解用户指令,任务拆解。之前看过有算法备案公示文件有公司公示过接入了微软zure open ai的,我猜测是接入的GPT不用做内容生成才能过的。业务跟我的反馈是,他们在理解用户指令,任务拆解这部分,试过了国内大模型了,达不到GPT的效果。
-答5:理解用户指令过程中是不是也还是会涉及数据出境。
-答6:微软的跟我说,他们有合规方案,但是没给我细说。我理解可能做不到完全不出镜,所以不能涉及个人信息,不能涉及内容生成。
-答7:我听说普适方案是给个映射表,只这个映射表出境。
-答8:这个方案具体有没有落实、是不是真的中国法下合规、能不能写到书面上,尤其是能不能经得起WXB的审核和同意,其实都得坐等看。建议甲方法务先不持乐观态度。
-答9:因为微软确定服务器在境外的,所有发上去的数据至少会缓存,所以一定出境。所有发上去的,不管个人信息还是其他,都出,只是短暂存储。
总结:感觉很难完全不涉及个人信息出境,内部用用好了,to c问题感觉还是要谨慎。
● 匿名化医疗数据使用
-问:请教大家一个理论层面问题,临床试验下 受试者撤回同意,这时候还能匿名化数据后继续使用吗(先不考虑匿名化技术本身可否实现)?是不是除了privacy层面 还应考虑伦理方面的问题?
-答1:匿名化=删除,撤回同意后删除,有啥问题嘛。
-答2:我们之前讨论过一个问题,如果icf中没有提到要把受试者数据用于secondary use(没有这方面的告知),那么后续能不能匿名化后做secondary use?从privacy层面似乎可以。但是临床的同事认为伦理层面有问题
-答3:之前有听过这种说法,所以有见过icf里面明确写会不会用于secondary research。
-答4:从来都是临床同事跑出来和法务说这样可以,为什么法务不让。你们是临床觉得有问题,一下子觉得不太习惯。有说具体是啥伦理问题吗。
总结:除了数据合规,还有很多其他的合规要求。
● 深度合成服务数据处理关系
-问:不知道群里以前有没有讨论过,在Saas场景下,深度合成服务提供者、技术支持者,一般是否构成 深度合成服务使用者的受托处理方?还是一般会认定这三者 均构成独立(共同)个人信息处理者?
另外 互联网信息服务深度合成管理规定 第十四条第二款 关于获取单独同意的,不知道实践中一般会解读成由哪一方去获取,条款规定:深度合成服务提供者和技术支持者提供人脸、人声等生物识别信息编辑功能的,应当提示深度合成服务使用者依法告知被编辑的个人,并取得其单独同意。
-答1:肯定是服务提供方拿单独同意,受托处理关系。只有服务方才能触达用户。
-答2:服务提供方,除非两方有信息共享,技术支持方拿了信息并有自己的处理目的。SaaS方式服务的,技术支持方一般不碰业主数据,基于运维安全目的的也一般不需要业务数据中的个人信息。骚操作除外。
-答3:在腾讯云虚拟人服务中(详见:https://cloud.tencent.com/product/ivh),服务使用方要提供 训练腾讯云模型的生物识别信息,腾讯云作为服务提供方/技术方会 碰提供的个人信息。我看腾讯云的产品链接里直接有个人信息主体触达的,尝试advise 不构成委托。
-答5:是否构成委托处理还是看谁决定处理目的,和是否接触数据无关。
-答6:注册腾讯云服务的时候,就会在服务协议里约定你是独立的个人信息处理者,需要履行告知与获得同意的义务,腾讯云只是受托方,受你的指示处理,但有权监督你的数据。
-答7:开放平台协议里面也是这么写的。
● 未成年人网络保护
-问:,大家怎么看?
-答1:网络服务提供者的信息技术优势,应采取有效的技术和人工保障措施,这个对平台而言,注意义务咋搞?以前惯例是投诉后删除,现在看来,得上AI工具去识别。问题又来了,平台识别错了或者误判怎么办?
-答2:确实,企业落实不容易啊。
-答3:承担侵权责任,所谓,左右不是人。美国上,针对这种,有善意免责机制。
-答4:也不能这么说,提供了不少就业了呢。
-答5:在未保法益面前,其他法益时不时得让个路,毕竟我们得爱护祖国的花朵。个保和未保有时候会冲突,会互相借个道。
-答6:呃,这个意思是说,所有的内容都需要先审后发么。
-答7:一天删除是不是也算快?强调 侵入内容很容易判断、对未成年人内容应该更高注意业务,听起来是默认平台有先审后发的制度。但这样未免是将平台作为言论自由的执行者了。
-答8:3万浏览量,在互联网也不算高?
-答9:诽谤,网络浏览是5000,转发是500。所以虽然对互联网而言是很低的。但是在情节、程度的认定,这方面的数量还是比较高的了(当然这个数量的合理性与否没法评论)。
-答10:个人看法,首先是看应不应该担责,再结合危害后果来确定赔偿,从危害后果来论证说注意义务的高、然后在说应该担责是有些问题的。不过现在将平台责任泛化确实是可以看得到的一种趋势。
-答11:如果AI课代表成本继续下降,会不会影响泛化的速度。
-答12:这可能正是应对泛化的举措。譬如说,本案被告如果建立了事先审核制度,施行先审后发,就能直接避免侵权内容上架。视频内容也不会得到传播。但是代价就是大量的审核成本。
-答13:审核成本又不是我法官担。
总结:大平台要承担起守门人责任呀。
• END •
关注小号防失联
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...