煮酒言规 | 第143期 | 对外提供个人信息告知怎么做 - 新鲜讯息

煮酒言规

///////////////

数据合规是一个比较新的领域，很多问题都难以通过公开渠道检索到答案。此时，实务人士间的思想碰撞、交流就显得尤为珍贵。

欢迎体验

• CONTENT •

「AIGC服务认定」

「删除个人特征标签」

「增值电信业务开放」

「对外提供个人信息告知怎么做」

● AIGC服务认定

-问：一个面向公众提供服务的chatbot，当公众提问时，如果问题属于事先设定好的题库范围，chatbot会自动回复，如果问题属于事先没有设定好的范畴，转后台人工咨询。这种情况下，是不是可以认为不是对外提供AI服务呀？

-答1：对问题有语义理解吗，除非是关键词，不然就还是有AI吧。

-答2：智能在检索数据库的部分吗？搜索是什么方式，搜出来的结果是直接端上来还是AI改一改。

-答3：这种一些企业比较常见，就是问答库里搜索问题回答，一些省成本的体现智能的方法。

-答4：至少不属于生成式人工智能。

总结：如果回答是固定模板，应该不会被认定为AIGC服务。但可能涉及检索过滤类算法。

● 删除个人特征标签

-问：有“删除针对其个人特征的用户标签等功能”比较好的实践吗？

-答1：淘宝的品类标签每个人不一样的。

-答2：谷歌、微软都不错。

-答3：百果园、爱奇艺、豆瓣、粉笔APP这些印象里应该也做了，细致程度有区别

-答4：淘宝都是由于接的都是广告系统，所以一般是类似的群体性标签（偏好），前端页面都长得差不多，比如接了腾广/微广的页面。

-答5：当年在广告一个行业会议上，我提过一个问题，对于广告，用户是更关注不想看到哪些广告，还是更关注平台用了哪些个人特征的用户标签？如果是前者，如果用户不想看汽车广告，是让用户按照现在常见的方法去关掉汽车类目更直观？还是说用户可以理解关掉哪些个人特征的标签，就可以不看汽车广告？换个角度理解，对于平台来讲，这种类目分类是不是可以理解为广告平台设计的用户特征？同理，可以看下视频平台对于个性化推荐的退出，一般从商品平台的商品类目，转换成视频的类型。这个我理解是比法律法规要求更严格的直接不使用原始的个人行为信息用于推荐了，而不是基于行为产生的个人特征了。

-答6：感觉这里的用户标签不限于像上面图中用户侧可见可控的前端标签，还包括形成用户画像去做个推的后端标签。按这条理解的话，用户拒绝后这类后台的标签也要删除，这个对业务影响挺大。

-答7：前后端不一致很正常，一个是给客户看的以商业视角为主，一个给用户看的以用户可以理解为主，后端还涉及平台商业秘密问题，我知道一些平台在爬另一些平台的标签。有些标签也是平台基于推广目的预测的，在用户看来可能不好理解的。

-答8：从前端展示的可理解标签，到后端实际使用的用户特征空间，再到各类用户信息嵌入特征空间的具体算法和所得向量，越往后越重要，越往后越难做，越往后争议也越大。

总结：后端标签删除显然不现实，前端删除标签后停止用于个推比较靠谱。界面截图见：。

● 增值电信业务开放

-问：，不知道哪个IDC拿到了？

-答1：上海市经济和信息化委员会副主任张宏韬在接受中国日报采访时表示，上海试点中，目前已预填申报表格的企业包括特斯拉、托克、汇丰金科、西门子数字医疗科技、猎聘、勤达睿、亿利互联、Unity、普洛斯等10家外资企业。

-答2：IDC也可以独资了，不过感觉没有那么容易吧。

-答3：只是预填，不代表拿到？

-答4：预告就这么高调，应该有着落了

-答5：还有不少的路要走，前面只是摸底。

-答6：希望哪天能够放开允许外资申请icp运营游戏。版号里的运营公司没外资，版署不放啊。

-答7：版号是针对“产品”的市场准入资质，不是针对“运营者”或“出版方”的准入资质；游戏出版方的资质和游戏运营方是一个产业生态下不同的身份角色，需要的资质牌照不一样。
针对外资主体准入的设置环节还是“出版方”资质，毕竟网络出版服务许可证实际是“外资禁入”的行业；就实践中游戏运营活动、目前有效的规范性文件而言，都还没要求“运营方”必须具备网络出版服务许可证，当然ICP证和文网文证还是需要的（后者可能有点争议）。
至于以后是不是会发布新的文件规定“运营方”要获得某种许可范围的“网络出版服务许可证”（例如同类证的不同许可范围），还要继续观察。
另外，如何理解游戏的“运营方”，涉及被授权的主体、渠道联运方、平台发布方，那就是另一个话题了，也是一篇“大作文”哦。

总结：坐观后效。

● 对外提供个人信息披露

-问：PIPL 23条规定向第三方提供个人信息要向个人信息主体披露“接收方的处理方式”，但是实践中大部分PP都规定的“共享方式”（主要是传输方式），这样符合PIPL 23条的规定吗...

-答1：放第三方隐私政策。

-答2：这种提前放算是履行了向第三方提供信息所需的单独同意的要求了么？

-答3：发布隐私政策（无论是自己还是第三方）能完成“告知”要求，但还是不能通过提前把共享的披露信息放在隐私政策来获得“单独同意”的。毕竟这个“单独同意”制度的提出和本意，恰恰就是为了破解通过“同意隐私政策”而一揽子同意。在单独同意的场景下，“即时”的告知才是需要的。
不过更值得考量的是，向第三方个人信息处理者提供个人信息（不是委托处理）是不是都得需要基于“同意”。不需要的话，也就用不上“单独同意”了。

看看关于告知同意的国标和几个关于单独同意的司法判例，就能体会到监管和法官在适用“单独同意”时的苦心了。
感觉与其在努力battle“隐私政策一揽子告知同意”是否为有效的单独同意，不如去battle“不需要适用‘同意’的合法性基础”，后者的论辩空间更大。

-答4：补充几个信息：
1. 大厂的PP虽然没有具体披露“接收方的处理方式”而是披露了“共享方式”，但一般也都附上了第三方的隐私政策链接，一定程度上可以理解为对“接收方的处理方式”的披露
2. 42574里的表述是“向个人告知可能涉及的提供个人信息的场景，接收方的身份(或姓名、联系方式)，提供的具体目的、方式，涉及的个人信息种类等”，指向要披露的是“提供的具体目的、方式”。
3. 个人信息保护法理解与适用（程啸）解读个保法23条的时候，认为要披露的是“接收方的目的和处理方式”。

总结：对齐同业，抄作业，是个好思路。

• END •

青梅煮酒论英雄

会当绝顶言合规

「往期问答汇总见“阅读原文”」

关注小号防失联