煮酒言规 | 第170期 | TikTok罚单讨论

-问：判断视频、图像、语音是否是生物识别信息（人脸识别数据、声纹识别数据），都是要基于为了识别个人这个具体的处理场景来做判断。而不是撇开目的，而看数据本身的质量、精度？ 关键的判断因素还是处理目的。低质量、低精度，只是对非生物数据的进一步补强，而非必要。

-答1：个人理解，处理目的 换成 处理活动 更贴切些。

-答2：GB/T的声纹识别数据安全要求，人脸识别数据安全要求。把“声纹语音样本”“可识别个人的人脸图像”定义成人脸识别数据、声纹识别数据，都是基于识别场景来下的定义吧？

-答3：结合处理目的+1，比如声音转文字的场景，不涉及声纹提取、生物识别，如果都定义成生物识别信息，跟法规想规制的本义也不符合吧。

-答4：带人脸的摄像头，都有标识的。

总结：根据上周的讨论，样本信息不论处理目的均可能属于生物识别信息，这样确实有点太宽了。

-问：，大家怎么看？

-答1：境内员工access欧盟数据被罚那中国出海企业不是都要凉凉。

-答2：坎是不是在TT没有做数据跨境评估？

-答3：就算做了也没法证明给到同等保护吧。

-答4：以什么标准审核的呢。

-答5：做了也难说，TIA和补充措施的有效性，还是偏主观。

-答6：欧洲更介意的是govt access data是否有保障措施，而这不是企业层面可以解决的问题。

-答7：接收国不被认可的话，补充措施也很难弥补。但这是个悖论，如果接收国能被欧盟认可，大概率也能进白名单，又何必依赖scc或者别的。

总结：出海不易。推荐阅读：