数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
• CONTENT •
「平台提供客服的数据处理关系」
「AI平台版权注意义务」
「不用大模型安全评估的AI服务」
「会员账号共享的救济」
「MCN新规讨论」
-问:对个人信息事件应急预案中的报告和通知义务,是只要发生个人信息泄露事件都会被触发还是有一个量级?
1. 35373里要求按照《网安事件应急预案》及时上报,并逐一告知个人信息主体;
2.《网安事件应急预案》里要求初判为特别重大、重大网安事件的立即报告应急办;
3.《报告管理办法》倒是对个人信息泄露进行了量化分级,个人信息大于等于100万人是较大信息安全事件。但这个办法也没生效……有具体的数值嘛?还是作为企事业单位,只需要写重大、特别重大事件启动上报和通知流程就可以了。仅针对个人信息,这个流程启动的标准有点模糊,流程制定了,在是否启动这里还得花时间判断。
-答1:量级,大部分你自己定义,《工业和信息化领域数据安全事件应急预案(试行)》那个给了具体人数。
-答2:重大及以上才启动上报流程。
-答3:《公共互联网网络安全突发事件应急预案》一般事件:10万以上互联网用户信息泄露;
认为可能发生特别重大或重大突发事件的,应当立即向部应急办报告;认为可能发生较大或一般突发事件的,应当立即向相关省(自治区、直辖市)通信管理局报告。
《上海市网络安全事件应急预案(2019年版)》发生网络安全事件的单位必须在半小时内口头、1小时内书面报告市委网信办值班室、市应急联动中心和事发地区网络安全主管部门。较大以上网络安全事件或特殊情况,必须立即报告。
这些文件也是有阈值的。较大以上只是说立即报告,前面一句也说了“半小时内口头、1小时内书面报告”。但实际确实很多没报。
-答4:目前看来比较清晰,从合规性的应急预案设置上来说,监管要求好像只需要分级并给出处理流程就可以了,重大和特别重大增加报告和通知义务。
-答5:2023年8月《个人信息保护合规审计管理办法(征求意见稿)》第二十七条 对个人信息处理者个人信息安全事件应急响应处置情况进行评价时,应当重点考虑下列因素:
(一)是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案;
(二)是否建立通报渠道,能否在事件发生后72小时内通知履行个人信息保护职责的部门和个人;
(三)是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。
“是否建立通报渠道,能否在事件发生后72小时内通知履行个人信息保护职责的部门和个人”——>这里重点强调的是“能否”和“72小时”
结合《个保法》第五十七条,……通知履行个人信息保护职责的部门和个人……个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
报告监管部门应该是必答题,通知个人要看是否满足以下2个条件:1、采取措施能够有效避免信息泄露、篡改、丢失造成危害的--可以不通知;2、监管部门认为可能造成危害的,有权要求通知个人
-答6:有通知数据主体个人的案例吗。
-答7:之前日本丰田有在官网通知的案例,蔚来之前被黑客攻击也是通过微博发布的声明,蔚来是主动报告监管并通知个人的。
-答8:全日空发过泄漏通知邮件。
总结:报或不报,是门学问。
-问:如果电商平台方在某些场景下为入驻商家提供平台用户的专属客服服务,做一些前期的沟通和用户筛选后给到商家。这部分平台用户信息双方是共同个人信息处理者?还是各自是独立的个人信息处理者呢?
-答1:倾向共同。有个别电商平台认为是各自的,是共享。具体还得看场景实现方式:专属客服是不是同一套系统,怎么个给到的方式。最好有个PRD图。
-答2:共同处理要承担连带责任,挺重的。
总结:还是要一事一议。
-问:杭互和杭州中院判决的重要案件,一定意义上可成为AI训练合理使用全球首案,详见:杭州法院AI平台版权注意义务最新案例。
-答1:“平台算法模型合规备案,且有多处提醒用户合法创作,平台也有反馈处理和例检机制。涉案 AI 行为不符合信息网络传播权控制的特定行为……”这抗辩真是。
-答2:这里面平台是提供了协助用户训练的功能吧。
总结:判决书看不到,烦人。
-问:请问《生成式人工智能办法》规定提供具有舆论属性或者社会动员能力的生成式人工智能服务需要进行安全评估。在实践中,有哪些生成式人工智能服务不在这个范围内?有没有不需要安全评估就能上线的生成式人工智能服务?
-答1:举个例子:丝绸厂也有生成式人工智能,生成花色供设计师挑选,就不需要。
-答2:只要面向公众提供了互联网信息服务,有APP、小程序、网页等服务形态,具有一定的用户数量,均可称为具有舆论属性或者社会动员能力。实际的范围比法规的会大一点。
-答3:还有一个问题是 在《生成式人工智能办法》没出来前 深度合成服务提供者需要做的安全评估 就是双新评估吗?现在的大模型评估严格来说是没有法律依据的?生成式人工智能办法说的是“按照国家有关规定进行安全评估“这个有关规定”就是各地网信办的规定?不是具体的某个法条?
-答4:至少《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》还是能用上的。
总结:面客都要。
-问:公司的软件产品账号疑似被人购买后分销做共享账号,请问能向互联网法院起诉吗?用什么类型的技术能检测出详细情况并且取证呢?
-答1:可以以网络侵权为由提起。
-答2:没做后台track设备号跟ip吗。
总结:诉讼真有意思呀。
-问:《网络信息内容多渠道分发服务机构相关业务活动管理规定(草案稿)》,大家怎么看?
-答1:压力给到平台方。
-答2:MCN会主动去备案吗。
-答3:有这个就行了,管不住鱼还管不住鱼塘嘛?
-答4:如果是个人主播也必须注册MCN吗。记得之前是可以注册个体工商户的(用于缴税),不用挂靠一个MCN机构?
-答5:网络信息内容服务平台>>>这个主要应该是指抖音\b站这类,入驻的博主可以自行发布内容的平台吧,像腾讯视频这类的视频平台应该不太需要关注。
-答6:还有小红书,主要是这些公司掌握太多账号了 足以影响舆论,确实该管管。
-答7:孵化几个算MCN?
-答7:定义是:在网络信息内容服务平台入驻,为网络信息内容生产者提供策划、制作、营销、经纪等相关服务的机构。
-答8:腾讯视频,爱奇艺这种以后说不好,模式都在融合。优酷有点争议,优酷的内容是可以用户上传的。
-答9:网信直接把他们管起来, 平台能松口气?
-答10:不能吧,这个看上去平台要做好多事,让平台去反推MCN做内容合规。
-答11:让平台松口气是不可能的,别连坐就行了。
-答12:平台>分发机构>内容生成者>内容,层层压实。平台应该还是有审核责任的。比如小红书,违规笔记/违规评论…审核人都是平台。
-答13:平台责任是不小,有些主题是平台定的。
-答14:史博士这张图很好,详见:MCN管理的新条线:《网络信息内容多渠道分发服务机构相关业务活动管理规定(草案稿)》发布
总结:是该好好管管。
作者 | 何琛没有以
来源 | 数据何规
