正文

煮酒言规 | 第129期 | 标准合同合并申报口径

admin
admin V管理员 /0 评论 /78 阅读
0715
此篇文章发布距今已超过131天,您需要注意文章的内容或图片是否可用!

酒言规

///////////////

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。

• CONTENT •

「标准合同合并申报口径

「网页浏览记录是敏感个人信息吗

「小米应用商店检测不通过
「过度人脸收集

● 标准合同合并申报口径

-问:关于标准合同备案,之前的指引说可以集团公司多个实体合并备案,我看有文章说这个方式仅适用于同一个个人信息出境场景。假设这个说法是正确的,那么怎么样才为之同一个场景?接收方相同就可以?还是需要个人信息类型,出境目的,传输方式等都要一致?

-答1:实操就是直接问网信办,没那么多假设。分开还是合并,考虑的因素有很多,没固定答案。

-答2:合并备案有一个潜在问题,所有实体数据加起来算数据量。我们的经验是,数据处理场景一致,比如都是HR,Markerting,处理的数据,类型,方式,接收方,差不多,可以合到一起做相同表述。确实还是问管辖网信办最靠谱。
-追问:数据出境境外有多个关联的接收方,如果走标准合同,需要和他们单独签署吗?把他们全部列为接收方可以吗?
-答3:多数是指定一个总部作为境外接收方,intra-group transfer的其他实体往往不会再披露,最多在向其他境外接收方那边写一下。当然如果有特别的case的话,可以单独列几个出来。
-答4:一个系统好解释,看具体情况有不同操作,参考因素有很多。还要看他系统部署、业务逻辑。

总结:监管能接受最重要。

● 网页浏览记录是敏感个人信息吗

-问:网页浏览记录算是敏感个人信息吗  35273是列明了这个 但敏感个人信息识别指南没提这个例子。所以也不可概论?

-答1:我觉得是的,得跟人格尊严或者财产安全强相关才行吧。私密信息我理解也是这样有弹性空间的,不是所有浏览记录都属于私密。

-答2:同意,还是回归定义,结合实际情况判断。不同网站的浏览记录直接影响结果。

-答3:同意,只是定义判断业务基本不会判断的。有个例子,简单点,结果现在两个标的有些例子,不太一样。

-答4:都是吵架的依据,还是看法务自己的判断,要敢于发表意见。最保守就取并集,但容易挨骂就是了。示例匹配+后果测试+场景分析,通力这篇蛮好,还有一些案例,

结:还是要结合实际场景。

● 小米应用商店检测不通过

-问:请教下大家,大家有碰过这种情况吗?我们这边有个APP要上架,已经通过别的应用商店的审核,还找了第三方网安公司检测也没问题。但是在小米应用商店审核的时候一直被说,APP在用用户同意隐私政策前就收集了信息。现在一时找不到解决方案,找小米商店申诉也么用,大家碰过类似情况吗,怎么解决的呀?

-答1:直接跟市场对接,请他们提供下检测报告和相应堆栈信息,开发排查 。

-答2:感觉应该可能是SDK的问题。

-答3:不同市场有自己的sdk。

-答4:我也感觉可能是sdk,但别的应用商店都没事,就小米说有问题。

-答5:SDK提前初始化了吗?各家的检测技术工具不完全一样吧。

-答6:或者是隐私政策弹窗里面嵌入的隐私政策链接是h5页面 要保证正常加载 需要访问网络状态(大意 技术知道什么意思) 也有这种被误伤为用户同意隐私政策前收集个人信息的经历。

-答7:小米误报蛮多的,可以联系下小米开发者服务专员定位问题,反馈速度还是可以的。

-答8:小米应用市场那个问题,检测一下是不是 和收集Oaid 相关。他们使用的供应商最近一段时间加上了Oaid的检测项。

总结:多沟通,看堆栈,找技术。

● 过度人脸收集

-问:,这种现象大家怎么看?

-答1:我也碰到过。

-答2:一个简单的展示收款码支付就行,何必又要手机号又要人脸。

-答3:能刷脸干嘛还掏手机,真是麻了。

-答4:我不理解的是难道扫码还不够方便,比刷卡方便的多吧。另一方面,刷脸是一种缔约的意思表示么,根据这个文章所示,可能点击支付就开始刷脸了,消费者很可能没有刷脸进行支付而只有进行其他方式支付的意愿,但机器可能看到人类直接寻求扣款了。这很明显是对于消费者缔约自由的侵害

-答5:合规思维和业务思维可能就是有冲突。

-答6:毋宁说是内卷使得发展和合规成为对立。

-答7:最近支付宝的NFC支付功能就很方便,只要碰一下,也不用出示二维码。

总结:碰一下比刷脸好多了。

• END •

青梅煮酒论英雄
会当绝顶言合规
「往期问答汇总见“阅读原文

关注小号防失联


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com