煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
• CONTENT •
「自研SDK如何披露」
-问:不想让数据安全放在法务下面,上得了台面、政治正确的理由是什么?(地位低不算)
-答1:数据安全是偏技术的,我们法务不懂啊。我们数据在哪都不知道,怎么确保安全。
-答2:给你加专业的人才就行了,很难有理由反驳。
总结:通过适当方式说服领导即可。
-问:工信部26号文要求公示“sdk开发者……个人信息处理规则”,这里的“sdk开发者”如何理解?是指整体写代码的,还是指整体提供sdk相关能力的?(提供代码+服务器+负责管理)
举个例子:假设a公司运营某款app,需要某个sdk,遂委托b公司开发该sdk,交付sdk后a公司自己负责管理该sdk(可能又委托b公司代为运营管理),此时要公示b公司为“sdk开发者”吗?
-答1:不用,因为b只负责开发,没有后续的运营和控制。
-答2:我理解不用,这就是委托开发。到要用a的名义弄个sdk的隐私政策。也可以在a的app,SDK列表里披露。
-答3:法律身份上:A本身就是APP运营者,使用APP母包or使用SDK收集处理APP用户个人信息都是正常的端侧数据收集方式,也都是APP隐私政策中本来就应披露的、以A的名义收集处理的个人信息活动——A以自己名义开发和实际运营的SDK是A自身服务的一部分。B只是静态代码的开发者,没有实际参与APP个人信息的收集、处理,更没有以自己名义来收集处理APP个人信息,即B没有参与数据流转中,监管方没有依据也没有动机要求A必须披露这种程度的供应链信息。
但实践中,对于A在自己母包中嵌入自己名义开发和运营的SDK(例如使用本集团共享功能的各种SDK),少数监管方要求视为“第三方SDK”、隐私政策清单和检测清单中一并列出;大部分监管方(含平台审核方)不视为第三方SDK处理。遇到了前者增强式的披露要求就遵守,不要纠结磨叽才好。
多说一句,A-B合作的关键不是在终端如何告知用户,而是在双方合作协议中写明B没有获取、处理任何A的用户数据——“反向”数据处理协议也很重要,也得写。如果双方不敢写上,那可能B的处理活动没有律师以为的那么简单哦~
-答4:是的,本来就是内外有别,内部和合作伙伴之间不是单纬度的数据关系而是更复杂的商业模式,我现在看到的是一个外部意见建议在2C数据界面对外披露a-b的委托关系,就觉得很奇怪。
-答5:因为检测的时候区分不出来。
-答6:可能会看包名吧?
-答7:这样的外部建议是充分提高透明度的措施,虽然不算错的,但实践采用得少,且会增加业务摸排工作量。这种“加戏”的合规工作~~自选吧。
-答8:从外部律师给透明度建议的角度肯定不错,但如果是作为一个在外部也要区分开发和运营且均需披露的建议,有点过了。
总结:可以不披露b。
-问:公司目前是有申请下来的香港的网络通道的,业务部门需要访问美国tiktok,就使用kookeey购买线路,使用紫鸟旗下浏览器hubstudio配置已购买的线路去访问,这样会不会有合规问题呀,有没什么方案呀?
这两个网站也都有ICP备案号,我自己评估下来应该是有风险的,但似乎大家都是这么干的。也没什么其他好的方案
-答1:为什么要指定浏览器?为什要第三方购买线路?自己不是已经有到hk的专线了嘛?
-答2:专线都是直接或者间接买的几大运营商合法经营的,政府对这种不管(能追踪)。个人VPN穿透防火墙,无法追踪,是不行的。
-答3:去电信之类搞的专线也是香港的,也不能访问美国tiktok。问一圈,发现不少公司就直接这样搞的,也没人管。还有个别做得大的跨境电商公司,tiktok会找上门主动提供合规的渠道。
总结:应该也可以拉北美专线,就是贵点。
-问:市面上大模型公司通常销售的是模型包服务(大模型+云上的风险识别、输入输出安全提示等)。如果只购买大模型服务(即单纯API),不涉及其他服务。且企业存储期限选择即用即弃。
【问题】那么大模型公司如何监管用户使用:对用户输入输出内容进行审核、依法保存,以备监管调查?如何监督企业是否违反平台制度、法律要求?用户选择即用即弃,就真的删除了吗?还是加密存在了后台以备监管调查?
-答1:要存,不用,不代表真的消失了。
-答2:不是说35273都说的是前台删除就可以,民法典还说交易数据要保存三年呢? 所以有的法律间都有打架的可能。
3.10 删除 delete 在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
-答3:改变下标识,逻辑上的软删除
-答4:操作日志必须保存以待查证。调用API的情况下,要看调用方有没有进行算法修改,如修改调用方承担主体责任,提供方无责;完全调用API,提供方承担主体责任,调用方相关操作都是有保存的,现在要求可审计、可追溯。至于【如何监督企业是否违反平台制度、法律要求】,如上所说,调用方改了模型或者加了策略,本质上是重新设计算法的,主体责任在企业不在平台提供方,无需监督的。参照最新版的《生成式人工智能服务安全基本要求》
b)服务透明度方面:
1)以交互界面提供服务的,应在网站首页等显著位置向社会公开服务适用的人群、场合、用途等信息,宜同时公开基础模型使用情况;
2)以交互界面提供服务的,应在网站首页、服务协议等便于查看的位置向使用者公开以下信息:
--服务的局限性;
--所使用的模型、算法等方面的概要信息; -- 所采集的个人信息及其在服务中的用途。
3)以可编程接口形式提供服务的,应在说明文档中公开1)和2)中的信息。
-答5:如果企业仅采购大模型API接口,不购买其他云服务,并要求不保存数据,则云上不会存输入和输出的数据,因为没有买云存储服务。只会存匿名id和运算信息用于商务结算(eg用了多少token)。但这并不意味着输入输出数据就不会存在平台的云上了。因为即使是api接口服务,都是默认经过平台的滤网,滤网会存储所有输入输出的数据。如果模型产生不当内容,会存在滤网里,但不会展现给用户。当然平台不会用企业数据去训练,但企业数据仍存储在了云平台上。
总结:还是得存。
• END •
关注小号防失联
