煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
欢迎体验数据何规AI客服。
• CONTENT •
「游戏内容过滤的边界」
「重要数据和核心数据的关系」
「APP隐私合规扫描工具」
「对数据接收方的监督」
-问:家人们讨论个问题,SCC备案的系统里面,要求三个条件同时满足。
和第二版指南一致,但是和322新规冲突,以哪个为准?
-答1:电话问了上海网信办,网信办说不用管这个系统bug。
-答2:写错了。
总结:非CIIO且数量择一满足即可。即1+2或1+3。
-问:在网络游戏中辱骂他人匿名账号,同样侵犯他人名誉权!挺有意思的案例。
-答1:内容信息过滤咋做的?
-答2:马赛克的内容不做过滤吧
-答3:内容信息有时候不好过滤啊,比如“嘴上功夫”“干架”“劈腿”这种词儿,得结合具体语境判断。是不是参考避风港的通知删除就可以了?这个案例中,游戏公司确实木有毛病,收到法院调查令后及时披露了被告游戏玩家的个人信息。
-答4:不用给自己上更高义务,侮辱的还好说,诽谤类的信息难以主动审查,如果对诽谤信息、过激言论要过滤的话,微博的服务器负载能少一半。
-答5:个人觉得一个案子不足以导致判例趋势,当然也不会加重企业合规义务,内容安全是红线没错,但这案子上的更趋向民事纠纷,跟黄赌毒这种还是有本质区别的。游戏公司作为裁判者有基本的响应机制,处理流程就够了,居中调解。但这里要注意的是如果是对战类游戏,极易引发线下约架啊这种倾向的,还是得提高点提示义务,甚至是上报动作,当年的传奇游戏要是放现在估计得立马关停。
-答6:感觉传奇那种或者是其他“国战”“团战”类游戏是不是除了游戏本身,还得跟YY这类语音平台,各类直播平台进行联动?毕竟在游戏本体内的动作只有聚集和战斗,但是对抗性更强的散在这些平台上
总结:不宜因一个个案给企业提出过高的合规义务。
-问:从理论层面,关于核心数据和重要数据关系的看法。(或者大家有没有印象什么文章中探讨了这个。)
1、核心数据是重要数据的子集?如果是核心数据,必定是重要数据?
2、重要数据和核心数据有交集?
3、重要数据和核心数据有各自范围,完全不相交?
-答1:一直以为是3诶。
-答2:我之前看数据分类分级规则国标的定义,会觉得是1诶。就觉得定义太像了,核心数据就是影响程度更高的数据,如果构成核心数据,那影响级别上首先要达到重要数据吧……
后来看到这块儿,觉得理论层面上,应该是存在,某个数据影响到国家政治安全,就会直接被认定为核心数据,而不会是构成重要数据……
总结:没被通知就别管了,一般企业也没有。
-问:我们想采买外部的app隐私合规扫描工具,有推荐的嘛?
-答1:我们用梆梆,除了工具还有人工穿测,颗粒度挺细的,应该也是支撑单位。
-答2:捷兴也还可以。
-答3:听说过爱加密,也蛮多公司在用的。
-答4:我们感觉误报比较多,还想试试别的。
-答5:捷兴至少是某些区网安支撑单位,梆梆安全管局支撑,网信也有业务,汉华飞天也可以。
-答6:百度的史宾格也不错的。
-答7:信通院好像也有隐私检测工具,还有泰尔实验室。价格比较贵族?
总结:货比三家,可先白嫖。
-问:大家如何落实《网数条例》第12条的如下要求的?我理解是不是与接收方签署的数据保护协议里 只要留有去监督的权利,就也可以了?
网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。
-答1:监督得越严格、越细致,反而责任越大。所以落实的颗粒度可以灵活把握。有些要求提供相关的审计、评估、检测证明,或者查阅最基本的告知同意情况。有些是简单在协议里保留监督权利。遇到比较重要的项目合作、或者比较强硬的接收方,约定得太严厉对方也很难接受,得看具体的项目了。
-答2:这个监督肯定要比委托处理的监督轻很多,提供方监督接收方没有法理基础的,因为接收方是独立对个人负责的,而且对外提供这事儿本身也是个人单独同意的(如果需要同意)。
-答3:原来个保法是只有委托处理有监督,对外提供没有监督。这个提法出发点很好,但事实上难落地,除了事前合同约定和准入之前的评估外,事中传输的安全保密外,还有别的招数吗?大厂可能会开展合作过程或者合作结束后的审计,其他的 不就是提供了 也就提供了。
-答4:同意。这个要求35273也有,但就是不合理。
-答5:个保法21条,适用范围扩大了。35273尽可能落实,方法实践有很多了,标准也有,
-答6:每年的安全尽职调查。
-答7:个保法要求监督的是受托方的合规情况;网数条例要求监督的是合同义务的履行情况。 是不同的规制逻辑,网数条例也没有想让提供方管到委托处理关系的程度,个保法要求还是要高一些。
-答8:网数条例增加“合同”两个字,变成“对接收方履行合同义务的情况进行监督”。有时立法时没有很严谨,只能靠解释了。
总结:赞同缩限于合同履行的监督。
• END •
关注小号防失联
