煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
• CONTENT •
「L4自动驾驶VIN码是个人信息吗」
● GDPR控制/处理者认定
-问:【GDPR下】我方(乙方,被委托方)给甲方客户做一个项目,关于其新产品市场反馈的,项目本身不涉及个人数据。但是,客户请我们访谈几个平台(关于其产品售卖和用户反馈的情况),这时候就涉及到访谈对象个人数据,主要是姓名,邮箱,电话(这几个平台的员工,人数很少)。。。。请问GDPR下,我方对于这些个人数据是控制者还是处理者呀?我看了截图的Guideline,没有找到这个场景的举例
-答1:甲方吧,你们不是干活的吗?
-答2:Guideline里有类似的解释的,需要先明确一些事实问题:1平台是由甲方指定的,还是你们自己挑选的?2收集姓名,邮箱,电话是用来做啥?谁需要?大部分情况下是处理者,但如果你们的决定权过大也可能成为控制者。
依据: 根据GDPR第4条第7款的定义,处理者是指代表控制者处理个人数据的自然人或法人、公共机构、代理机构或其他机构。在您的场景中,您方是代表甲方(控制者)处理个人数据,因此您方应被视为处理者。
此外,EDPB Guidelines 7/2020 on the concepts of controller and processor in the GDPR中提到,数据主体应能够理解并识别涉及的角色,并应能够根据GDPR的要求与每个利益相关者联系或采取行动。在处理个人数据时,您方应遵循甲方的指示,因为甲方是确定处理目的和方式的一方。
因此,根据GDPR和EDPB的指南,您方在处理访谈对象的个人数据时,应被视为处理者。
总结:别人家的指南写的真细,史博士的AI也牛逼。
● L4自动驾驶VIN码是个人信息吗
-问:L4级别自动驾驶的网约车运营车辆 产生的车辆运行数据会关联vin 是不是不属于个人信息了?
-答1:对啊,这就是企业信息了吧。但对网约车运营商而言 运行数据可以和乘客绑定构成行踪轨迹吗
-答2:乘客会打车乘车 gps可能会。
-答3:个人信息应该就打车订单、轨迹、手机号等,和VIN没关系。L4的车辆归属于运营公司,GPS也不是个人信息啊。
-答4:L4的数据都用不到同意,VIN属于是国家标准强制收集的信息。
总结:网联汽车真的学问好多。
● 单独身份证号码是敏感个人信息吗
-问:大家怎么看?
-答1:我的理解,身份证号不跟人名人像对应,本身只是一串数字而已;最多分析出来这组号码属于的省份城市区域,对应人的生日,性别。
-答2:“个人银行账号及密码”,单独账号也不是敏感个人信息,需要结合密码才可能,构成敏感个人信息。是这么个句式吗?
-答3:我觉得在公安局手里,身份证号码应该是SPI,还是要结合场景看。
-答4:结果犯?
-答5:利好数据流动? 强调因地制宜,灵活性更大,对大家的挑战也更大了?其实指南能怎么用?这个领域要说服自己还要说服别人 好难。
-答6:谁单独存身份证号?
-答7:实际上用身份证ID和手机号能查很多信息。
-答8:实践中公安对单独的身份号码不算敏感个人信息。
总结:还是结合场景判断吧,该敏感还是得敏感
● 员工打卡记录是敏感个人信息吗?
-问:员工的打卡记录算敏感个人信息吗?个人感觉虽然打卡记录在用作hr管理时可能起到关键作用,但其敏感性,套用个保法的定义,可以不按敏感个信对待。
-答1:不是啊,但如果是指纹打卡,指纹是spi。
-答2:从严认定的话,是否涉及行踪轨迹信息呢?比如有大厂会通过员工出入特定厂区门禁的刷卡记录,系统检测是否在工作时间离开非工作区域超过了规定时间,然后会将这个后台记录会反馈给该员工主管 。这种刷卡记录是不是可以视为对行踪轨迹信息的处理?可能多个点,比如员工出办公区A,进休闲区B,出入至少刷两次门禁卡,如果超过公司规定时间没有返回A厂区触发警告,后台记录会显示该员工的出入时间和位置,那这种算不算轨迹。
-答3:行踪轨迹一般要达到连续定位的程度才算哈。
-答4:我理解如果只是大楼门禁 早晚刷卡记录的话 可能没达到行踪轨迹的程度。
-答5:我也在想这个问题,如果一天下楼去全家买几次吃的,然后全家消费记录是不是也能往这行踪轨迹靠啦。
-答6:。
-答7:人力管理场景下,要是单独、定点的刷卡记录也许难以构成,但如果确实有连续性的,或者通过多个门禁点位能反映一个人行踪的,感觉还是敏感些吧,至少跟HR讲的话还是希望他们能从严落实告知同意。
• END •
关注小号防失联
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...