正文

煮酒言规 | 第127期 | Copilot境内可以合规使用吗?

admin
admin V管理员 /0 评论 /189 阅读
0701
此篇文章发布距今已超过254天,您需要注意文章的内容或图片是否可用!

酒言规

///////////////

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。

• CONTENT •

「商业营销单独同意

「大模型上线备案要求

「敏感个人信息识别
「SDN List Screening合规

「Copilot境内合规使用

● 商业营销单独同意

-问:在大陆direct marketing中,在隐私政策中阐述了,还会要求单独一个直接营销的勾选框吗?(我理解明确同意,不应一揽子同意,就想了解大家的实践尺度)。广告法有特别要求;意思是广告法的同意还不能复用个保法的同意咯。(各管各的?)

-答1:需要。

-答2:可以退订就行吧,很多大厂也没单独同意。也没咋见过营销单独同意的勾选呀。
-答3:就连个性化推荐都是general consent,营销短信也没列入单独同意的范围,就这么概括同意+退出机制做着吧。
-追问:所以就回到,个保法的同意,广告法认不认?(退订是没有争议的,广告合规必备)
-答3:根据民法典第1033条规定,除法律另有规定或者权利人明确同意外,任何组织或者个人不得以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁。正反都能说,看你怎么说了。

-答4:暂且和大厂一样做着吧,有啥新动向了再改。

-答5:有罚单再说,营销的单独同意 真没见过。。

-答6:单独同意还是有的。比如律商,LV。

-答7:mkt单独同意蛮多的 但是有不少是合规以外的其他原因。

-答8:之前平安集团也在集团范围内推扩展业务功能(含营销)单独同意的,也是走的非常靠前了。后来一看互联网公司,大家都互相苟着。

-答9:我觉得是这样,如果是基于自身合规水位的,或者是复刻境外母公司实践的,那就参考就好。主要还是看看外规是咋规定的?我看到外规好像就这俩,所以揉在大的协议里面好像也可以?

-答10:一点看法:“明确”本来就是个保里面有效同意的共识性要求,侧重于“无歧义”,所以在隐私政策里面表达清楚的前提下,我个人觉得不涉及不明确的问题。至于广告法里面同意和个保法的同意的关系,广告法所基于的也是对私人生活安宁权和个人信息自决权的尊重,只不过是在广告这个场景下。可以理解为广告法43是“个保13+民法典1033”共同的特别法,它对同意形式并没有特别要求,那就不需要了。

-答11:3个法条有类似规定,说明立法技术日趋成熟,法条衔接日趋完善,并不是为了让我们在这里纠结这些问题的吧?

-答12:我找到过一个没有单独同意作出行政处罚的case。依据是广告法和消费者保护法,杭余市监罚处〔2021〕624号(这个时候个保还没生效)

-答13:只有个保法才有单独同意,之前的规则都是明确同意。硬要往捆绑同意论证也行,但反正也有关闭按钮且大家都这么做的。

总结:合规水位对齐,法不责众。

● 大模型上线备案要求

-问:大模型功能目前需要备案的备案号一共要拿几个。假设我是百度文心一言,是否大模型服务需一个备案号、模型算法(服务提供方)一个备案号,模型算法(技术提供发)又一个备案号,所以对于自研类的生成式人工智能,需要有三个备案号?

-答1:对,不同部门,虽然都是网信。

-答2:实操中两个就可以吧,一个是大模型的备案,一个是深度合成算法的备案。

-答3:算法备案看你做不做为技术服务方嘛,如果仅自用对客就只要一个。如果你还要to b那肯定两个深度合成备案都做。

-答4:自研仅对客,你又是技术支持,又是服务提供。你看下公布的里面。两个备案报告内容是不一样的。对于自研大模型提供的,如果只做了服务方的备案,网信办就不掌握一些信息?

-答5:感觉两个都备的话,要么就是公司有2C的又有2B的业务需求,才去弄的,不然就是有点机械执行《互联网信息服务深度合成管理规定》19条第二款 和《互联网信息服务算法推荐规定》24条了。

-答6:感觉可能是因为中小企业很少会同时具有两个角色,我帮一家企业同时做过这两个角色的备案,备案材料相差不是很大,支持者的报告基本就是在提供者的报告上删减内容,以及把一些标题从“提供者”改成“支持者”。

-答7:我找到了一个自研大模型且已经上线的,只做了服务提供方深度合成算法备案+大模型上线备案,没做技术支持方的。APP现在也能用。

结:根据检索,对于自研大模型,只要为其他企业提供调用api服务,仅自己to c,可以不做技术支持方的深度合成算法备案,例子是东财的妙想。如果要to b后再to c,那要多做一个深度合成技术支持方备案。大模型上线备案是都要做的。

● 敏感个人信息识别

-问:,个人信息和敏感个人信息识别这个真是永恒的难题。

-答1:身份证号不归入敏感信息的观点存疑。

-答2:我觉得还是那个逻辑,单一字段要放到场景里考虑,如果字段之间的结合能够使个人被准确定位,进而影响到个人的受法律保护的那几项权益的话,就是敏感个人信息。身份证号逻辑一样。

-答3:身份证号也是这逻辑吗?似乎觉得身份证是直接标识符,都不用考虑是否有关联信息这套理论(这似乎更针对间接标识符需要考虑的理论?)。

-答4:出境场景,之前是不是说 党员这个信息是不予批准的。所以政治面貌在出境场景下,算敏感个人信息吗?注意一下,就可以了?说起敏感个人信息,讨论下,我理解 政治面貌 依据35273没明确写是敏感个人信息,所以一般场景下,尤其是境内,按普通个信就可以了

-答5:党员信息都是敏感个人信息吧。

-答6:为什么要收集 是不是党员,这本身就有问题,目的必要性 我真的想不出,太敏感了。

-答7:我碰到的都说是spi。

-答8:我把政治面貌类比宗教信仰的敏感度。

-答9:不懂就问,政治面貌如果被泄露会引发歧视性问题或者差别待遇吗?

-答10:严重点讲  私以为 都可以上升到国家安全层面 变成重要数据甚至核心数据了。

总结:一条敏感个人信息出境就要签标准合同,还是挺困扰的。

● SDN List Screening合规

-问:请教下 目前跨国公司的SDN list screening都怎么做?global系统or本地系统做。

-答1:这种不都是用路孚特、汤森路透那些嘛,贼高冷,适用法律都要用英国法律。

-答2:有的机构把路孚特名单本地化了,名单每天更新。

-答3:本地化费用比较高,也知道有的机构是直接把客户信息输入global系统的。

-答5:金融机构就等央行那个指南出台吧,应该可以解决大部分刚需。

-答6:不知道啥时候会出。

-答7:希望尽早。

总结:出境场景太广了,希望应当豁免尽量豁免,但就上述场景而言,只要监管明确要求,肯定会有本地化解决方案,费用也大概率可以降下来。

● Copilot境内合规使用

-问:copilot在中国能合法使用吗?微软的copilot,server应该在国外。在中国有代理商吗。

-答1:有代理商,服务器在境外的,听下来感觉跟Azure OpenAI类似,在中国有官方合作渠道商售卖,数据出境责任在使用者(客户)。他们正在亚太部署服务器,大陆还没有具体规划出来。

-追问:openai这个声明会影响azure openai在中国的业务吗?

-答2:Copilot背后是Azure OpenAI,不是OpenAI,说不受上面那个新闻事件影响。至于后面AzureOpenAI后面会否有类似动作,就不知道了。

总结:100%合规要做大模型上线备案呢,我看悬。

• END •

青梅煮酒论英雄
会当绝顶言合规
「往期问答汇总见“阅读原文

关注小号防失联


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下