煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
欢迎体验数据何规AI客服。
• CONTENT •
「个保影响评估怎么做」
「AIGC版权第二案讨论」
「等保要重复做吗」
-问:《网络数据安全管理条例》“第三十三条 重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关”,大家理解的是2025年1月1日生效之后当年就要报送评估报告,还是2026年首次报送?从行业主管部门的数安办法征求意见来看,金融监管局规定每年1月15日前(七十四条),人行规定下年度一季度末(四十三条)。
-答1:我觉得是2026初报2025全年度的,但最终以金监爸爸的意见为准。
-答2:24年1月国金总局已经收到很多银行和保险机构交的报告了。上海通管局去年开始拉企业正式做了。上海网信办去年拉企业试点。今年网信办开会时候明确也会抽企业做的。不管网数条例是否生效,监管们实质上已经在开展了。
总结:比较技术,IT牵头核实,合规只能辅助。
-问:个保法55条要求的,需要记录的情况(处理敏感个人信息、对外提供、委托处理、跨境、自动化决策)需要评估和记录。对于这个要求,如果企业实操中落地的话,好难,因为企业几乎每天都有在处理大量的个人信息,专门去记录这些。。。
-答1:不是记录每天的处理日志,是制作RoPA,RoPA从0到1是最辛苦,劳民伤财。
-答2:欧盟是要求250人以上的才做。
-答3:首先,最好做的是自动化决策的。场景很少。可以优先做。其次是敏感信息收集。这个一次性补完,后面很少有新增的。公开的基本大家都不涉及。需要长期去做的,就是数据对外提供和委托处理。这个卡流程。我们很多流程的通过法审系统和IT系统来卡。比如通过接口传输的,你不做,就没法注册接口,数据就发不出去。签订数据传输类的合同的,要求就对外传输数据字段进行合规评审和安全评审。
总结:丰俭由人,量入为出。
-问:大家怎么看这个案子?中国再出判决认可AIGC图片可版权性
相关评论:
-答1:其实我一直都好想问,是不是只有网络法(泛义)领域才有自导自演的案子。
-答2:只有网络法反应的这么快。
总结:期待更加细致的判决,期待反对判决。
-问:请教下等保问题:ab是A的子公司,系统1存了ab两个子公司的数据。如果a对系统1做了等保,b是否还需要做等保?
-答1:我理解不需要,而且也做不进吧。
-答2:b子公司仅为使用者,不承担管理责任,通常不需要再单独进行等保。
总结:别做了,放过自己。
• END •
关注小号防失联
