煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
• CONTENT •
「Azure OpenAI数据出境」
● 小程序大模型备案要求
-问:小程序里接了大模型api,做了rag,面对B端客户,但我理解还是符合监管“对外可能有舆论导向的”认定趋势。所以需要做一个模型调用登记?在小程序上线时会要求提供登记号吗?如果对众多b端客户呢,不是针对一个。
-答1:我印象中,算法备案是有可能涉及的,但大模型备案那边说是tob就不用做。
-答2:形式上看小程序本身就是面向C端客户的,要做深合备案显示备案号,模型登记这个不强制。ToB只有两种认定方式一是API ,另一种私有化部署。
总结:深度合成算法备案调用大模型api也得做。
● Azure OpenAI数据出境
-问:Azure open AI说不会涉及个人信息出境,原因一个是,指令信息只与问题id对应,不涉及用户或者设备id;另一个是如果关闭内容过滤器,推送的数据也不会存。那是可以说不涉及个人信息出境的问题了吗?我是想知道从技术角度,事实上到底还会不会有其他涉及个人信息出境的环节呢?
-答1:你看下来料加工,网信办不是只是关注个人信息出境。本身国内还有溯源要求,你说你不知道用户,那不是本来就过不了备案了。
-答2:我觉得监管不会认的。我这试图接入azure open ai去算法备案,被否掉了,已经放弃了。
-答3:核心要义:调用已备案模型。
-答4:我正在跟微软讨论深挖这个问题,就是想从技术角度理解数据出境的情况。目前听起来可以数据库在国内,“片段”字符串啥的被境外大模型分析啥的,想从技术角度理解下有没没有数据出境或者境外能否还原数据,微软在准备材料后面会再详细沟通。我们场景不涉及备案,自己用。
-答5:个人信息不出境,能提供服务么?
-答6:备案过不了,我试过的。
总结:很难得出不含个人信息出境的结论吧。
● 逻辑删除的可接受性
-问:请教个问题,用户要求公司删除数据,公司只做到逻辑删除的程度,到了监管和法院那儿认可逻辑删除吗?
-答1:个人感觉是可以的吧,根据个保法第47条(前提是技术上难以实现)及个人信息安全规范8.5(f)的规定,理解核心还是在于“个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理”即不能再次将其用于日常业务活动中。
-答2:是不是保持不被检索和访问就行,好像是国标给出的删除定义。
-答3:小心被研发忽悠,数据库上价格字段从0标记1也叫逻辑删除。
-答4:老系统确实有这个问题,我们有真删了,被公安约谈的客户。遵守其他法规要求啊,还有诉讼时效(这里应该是有法定存储期限,但删了)。
-答5:注册信息 永久保存。
-答6:还是因为我们个保法里没有“正当利益”这个合法性基础,在其他一些法域,这个问题可以通过“正当利益”获得合法性基础。
总结:别太较真。
● 北京负面清单适用范围
-问:北京的负面清单明确:出境数据属负面清单外的行业、领域,按《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等国家相关规定执行。等于说,这个负面清单只是行业+场景的负面清单,其他照旧?那如何理解下图?尤其是7.和9.,敏感个人信息中的视频信息就不适用?
-答1:我感觉就是场景缩限的很小,是AI训练场景且是敏感个人信息,并且是敏感个人信息中的。图像、音频和文本信息,才可以豁免,其他的还是照旧。
-答2:视频我觉得更敏感,所以就不豁免了?
-答3:这个北京版负面清单中有不止一处“不包括”“不适用”,是少见的明确排除方式规定,难得哦。
-答4:感觉虽然叫负面清单,其实更像正面清单,负面意思应该是非负面就不管了啊。
总结:正面清单也算是有突破个人信息阈值,好事,北京走在前列了。AI训练那块写的确实有点不清晰。
• END •
关注小号防失联
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...