煮酒言规 | 第137期 | 法务为什么不该牵头数据安全 - 新鲜讯息

煮酒言规

///////////////

数据合规是一个比较新的领域，很多问题都难以通过公开渠道检索到答案。此时，实务人士间的思想碰撞、交流就显得尤为珍贵。

• CONTENT •

「法务为什么不该牵头数据安全」

「自研SDK如何披露」

「合规访问Tiktok」

「即用即弃大模型服务的内容审核」

● 法务为什么不该牵头数据安全

-问：不想让数据安全放在法务下面，上得了台面、政治正确的理由是什么？（地位低不算）

-答1：数据安全是偏技术的，我们法务不懂啊。我们数据在哪都不知道，怎么确保安全。

-答2：给你加专业的人才就行了，很难有理由反驳。

-答3：不懂数据安全技术，确实是能力不够，背不了这么大的锅。

-答4：车企一般安全牵头，职责梳理完了，有虚拟组织，最终还是要责任落地部门和人。你要给同业情况，然后干哪些活，人天需要多少。

-答5：会出现外行管理内行。

-答6：我感觉数据安全这个东西，很多不是外规要求的，法务推力度不一定够。而且法务解读不出来。

-答7：其实放哪都行，关键在部门头怎么考虑这个事，想把自己的势力范围做大，还是懒得管多，因为责任层面已经有CEO和委员会扛了，大家都是推执行而已，没本质差别。想办法找别人的嘴巴说，或者去找找有没啥白皮书之类的，看看其他企业怎么设这个部门，反正放法务下的确是比较少的。

-答8：安全有400多个能力栈、分支，范畴还是挺大的，方案和一些安全能力概率会是安全出。

总结：通过适当方式说服领导即可。

● 自研SDK的披露

-问：工信部26号文要求公示“sdk开发者……个人信息处理规则”，这里的“sdk开发者”如何理解？是指整体写代码的，还是指整体提供sdk相关能力的？（提供代码+服务器+负责管理）
举个例子：假设a公司运营某款app，需要某个sdk，遂委托b公司开发该sdk，交付sdk后a公司自己负责管理该sdk（可能又委托b公司代为运营管理），此时要公示b公司为“sdk开发者”吗？

-答1：不用，因为b只负责开发，没有后续的运营和控制。

-答2：我理解不用，这就是委托开发。到要用a的名义弄个sdk的隐私政策。也可以在a的app，SDK列表里披露。

-答3：法律身份上：A本身就是APP运营者，使用APP母包or使用SDK收集处理APP用户个人信息都是正常的端侧数据收集方式，也都是APP隐私政策中本来就应披露的、以A的名义收集处理的个人信息活动——A以自己名义开发和实际运营的SDK是A自身服务的一部分。B只是静态代码的开发者，没有实际参与APP个人信息的收集、处理，更没有以自己名义来收集处理APP个人信息，即B没有参与数据流转中，监管方没有依据也没有动机要求A必须披露这种程度的供应链信息。
但实践中，对于A在自己母包中嵌入自己名义开发和运营的SDK（例如使用本集团共享功能的各种SDK），少数监管方要求视为“第三方SDK”、隐私政策清单和检测清单中一并列出；大部分监管方（含平台审核方）不视为第三方SDK处理。遇到了前者增强式的披露要求就遵守，不要纠结磨叽才好。

多说一句，A-B合作的关键不是在终端如何告知用户，而是在双方合作协议中写明B没有获取、处理任何A的用户数据——“反向”数据处理协议也很重要，也得写。如果双方不敢写上，那可能B的处理活动没有律师以为的那么简单哦~

-答4：是的，本来就是内外有别，内部和合作伙伴之间不是单纬度的数据关系而是更复杂的商业模式，我现在看到的是一个外部意见建议在2C数据界面对外披露a-b的委托关系，就觉得很奇怪。

-答5：因为检测的时候区分不出来。

-答6：可能会看包名吧？

-答7：这样的外部建议是充分提高透明度的措施，虽然不算错的，但实践采用得少，且会增加业务摸排工作量。这种“加戏”的合规工作~~自选吧。

-答8：从外部律师给透明度建议的角度肯定不错，但如果是作为一个在外部也要区分开发和运营且均需披露的建议，有点过了。

总结：可以不披露b。

● 合规访问Tiktok

-问：公司目前是有申请下来的香港的网络通道的，业务部门需要访问美国tiktok，就使用kookeey购买线路，使用紫鸟旗下浏览器hubstudio配置已购买的线路去访问，这样会不会有合规问题呀，有没什么方案呀？
这两个网站也都有ICP备案号，我自己评估下来应该是有风险的，但似乎大家都是这么干的。也没什么其他好的方案

-答1：为什么要指定浏览器？为什要第三方购买线路？自己不是已经有到hk的专线了嘛？

-答2：专线都是直接或者间接买的几大运营商合法经营的，政府对这种不管（能追踪）。个人VPN穿透防火墙，无法追踪，是不行的。

-答3：去电信之类搞的专线也是香港的，也不能访问美国tiktok。问一圈，发现不少公司就直接这样搞的，也没人管。还有个别做得大的跨境电商公司，tiktok会找上门主动提供合规的渠道。

总结：应该也可以拉北美专线，就是贵点。

● 即用即弃大模型服务的内容审核

-问：市面上大模型公司通常销售的是模型包服务（大模型+云上的风险识别、输入输出安全提示等）。如果只购买大模型服务（即单纯API），不涉及其他服务。且企业存储期限选择即用即弃。

【问题】那么大模型公司如何监管用户使用：对用户输入输出内容进行审核、依法保存，以备监管调查？如何监督企业是否违反平台制度、法律要求？用户选择即用即弃，就真的删除了吗？还是加密存在了后台以备监管调查？

-答1：要存，不用，不代表真的消失了。

-答2：不是说35273都说的是前台删除就可以，民法典还说交易数据要保存三年呢？所以有的法律间都有打架的可能。

-答3：改变下标识，逻辑上的软删除

-答4：操作日志必须保存以待查证。调用API的情况下，要看调用方有没有进行算法修改，如修改调用方承担主体责任，提供方无责；完全调用API，提供方承担主体责任，调用方相关操作都是有保存的，现在要求可审计、可追溯。至于【如何监督企业是否违反平台制度、法律要求】，如上所说，调用方改了模型或者加了策略，本质上是重新设计算法的，主体责任在企业不在平台提供方，无需监督的。参照最新版的《生成式人工智能服务安全基本要求》

-答5：如果企业仅采购大模型API接口，不购买其他云服务，并要求不保存数据，则云上不会存输入和输出的数据，因为没有买云存储服务。只会存匿名id和运算信息用于商务结算（eg用了多少token）。但这并不意味着输入输出数据就不会存在平台的云上了。因为即使是api接口服务，都是默认经过平台的滤网，滤网会存储所有输入输出的数据。如果模型产生不当内容，会存在滤网里，但不会展现给用户。当然平台不会用企业数据去训练，但企业数据仍存储在了云平台上。

总结：还是得存。

• END •

青梅煮酒论英雄

会当绝顶言合规

「往期问答汇总见“阅读原文”」

关注小号防失联