煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
欢迎体验数据何规AI客服。
• CONTENT •
「信息科技外包」
「出境指引为什么没有法定义务」
「AIGC标识是强制的吗」
「合法利益的认定」
「招聘背调的数据处理关系」
「个保审计找谁做」
-问:请教一个软件正版化诉讼的问题。
1. 是否软件公司真的有可能通过某软件后门的技术监测到某个设备地址或者网络ip地址下使用软件的套数情况。如果有这样的技术,技术名称是什么?这样的技术被允许吗?
2. 如果对软件进行卸载,是否有卸载和删除记录会被留存,这个纪录是软件的纪录还是电脑系统的纪录。能不能彻底抹除?
-答1:1.有的,可以,没有统一名称。2.是的可以,是电脑的记录。
一般情况下,已安装程序列表中的记录在软件安装完成后生成,在软件卸载后被删除;C软件在注册表中生成的相关键值在软件安装和使用时均可生成,在软件卸载时不能完全删除;C软件错误日志文件在软件安装时不会产生,可在软件使用过程中产生并修改,在软件卸载后不会被删除。除了XXXXJC8和XXXXJC17,其余16个检材均检出C软件的安装、使用痕迹。
公众号:鉴定法典案例|司法部精选案例:计算机软件著作权侵权纠纷电子数据鉴定案(案例编号:SHSJYW1576546239)
-答2:有后门,不能直接作为证据,一般让法院上门做证据保全,抓大放小。也有的销售人员通过洽谈来诈胡固定证据的,手段很多。
2022年11月9日,怀化市文化市场综合行政执法支队执法人员在出示执法证件后,对位于湖南省怀化市经开区天星西路新外滩电力水岸E栋19层1901-1910号房的怀化市恩佩熙酒店检查时,发现当事人存在未经软件著作权人许可,复制著作权人软件的行为。当事人的行为违反了《计算机软件保护条例》第八条第一款第(四)项规定。
https://www.huaihua.gov.cn/wlgdtj/c108777/202212/8fd33ab51f2f42609efbd5c235f9be83.shtml
-答4:执法大队每年给限额的,一年一个权利人一次或者几次机会。所以那些代理机构也都是要评估,多数都是来炸胡。最近还遇到代理机构会写起诉状发给公司,一个字体纠纷,起诉状理由是美术作品,像模像样。一看最后落款北京知识产权法院。客户还真的被糊住了,专业人士一看哑然失笑。
-答5:我也看到近期的判决案例都是法院出裁定书,去做证据保全,很多时间也在立案之后审理过程中。心里觉得如果都清理掉了,实际上也很难证明。
-答6:他们自己的监测手段是不合法的,也拿不出,技术上卸载并清楚完成了就没事,交给公司的it自己解决。
总结:竟然还有销售上门取证,好有意思。
-问:信息科技外包定义到底是啥。。有人说,给到客户信息的,有泄露风险的就算科技外包。
-答1:驻场和非驻场的都算。
银行保险机构开展以下信息科技外包活动时,应当在外包合同签 订前二十个工作日向银保监会或其派出机构的信息科技监管部门报告:
(一)信息科技工作整体外包;(二)数据中心(机房)整体外包;
(三)涉及基础设施和信息系统整体架构发生重大变化的外包;
(四)信息科技战略规划(含中长期规划)咨询外包;
(五)符合重要外包条件的非驻场外包、关联外包和跨境外包;
(六)其他银保监会认为重要的信息科技外包。
公众号:中国银保监会《银行保险机构信息科技外包风险监管办法》全文
-答2:原有的监管定义比较理论,现在有范围扩大的趋势,重点就是在敏感数据出机构。按照《银行保险机构数据安全管理办法(征求意见稿要求)》是数据委托处理都可能是科技外包。
银行保险机构应当将数据委托处理纳入信息科技外包管理范围,在实施过程中不得将信息科技管理责任、数据安全主体责任外包,涉及信息科技战略管理、信息科技风险管理、信息科技内部审计及其他有关信息科技核心竞争力的职能不得外包。
-答3:《信息科技外包办法》里面已经有规定了我记得。
业务支持类。包括但不限于:市场拓展、业务运营(集中作业、呼叫中心等)、企业管理、资产处置、数据处理、数据利用等业务外包或第三方合作当中涉及银行保险机构的重要数据或客户个人信息处理的信息科技活动,法律法规另有要求的除外。
公众号:中国银保监会《银行保险机构信息科技外包风险监管办法》全文
总结:委托处理就是科技外包。
-问:网信中国今天出的《我国数据出境合规指引》里,没写网数条例中法定义务的出境豁免。想请教一下各位大佬,有人了解最近网信办对于法定义务的态度吗?
-答1:网数条例25年1月1日起施行,网信中国今天发的指引还不能援引吧。
-追问:有中国法律项下的义务,让我们出境吗?
-答2:药品管理法要求药品上市许可持有人监测不良反应、收集信息,我们的药品上市许可持有人是境外药企,通过境内代理人传递出境PV信息。
人民法院依法调取证据属于履行法定职责的情形,当事人依法提供证据,既属于维护自身权益的自助行为,也属于履行诉讼中举证责任、诚信诉讼的法定义务。
公众号:怪兽法圈2417互联网|国家标准不可直接作为法律适用渊源,但有参考作用
-答6:如果被告还没有取得,需要个人提供。个人是否有权不提供?是法定义务。针对没有掌握的个人信息,个人是否有权不提供?
总结:还是想不到一个比较结实的个人信息出境法定义务。
-问:求教一下,这个AI生成图像的标识义务不是强制的吗?可以提供无水印下载的版本?我们技术那边用工具解了一下,没看到隐式水印元数据的标识。或者有更高级的隐藏方式?但用户协议是这么写的。
您不得利用本产品编造、传播虚假信息。我们会通过技术手段对本产品下的合成内容予以标识,您不得通过裁剪或其他技术手段移除标识,同时您应通过以其他显著方式对合成内容予以注明(包括但不限于在生成图片中添加水印、附上非真实信息声明)。如您非法利用本产品编造、传播虚假信息的,我们会依法保存有关记录,并向网信部门和有关主管部门报告。
《通义产品用户协议》4.1.5.
-答1:是不是他们论证不属于这个范围。
深度合成服务提供者提供以下深度合成服务,可能导致公众混淆或者误认的,应当在生成或者编辑的信息内容的合理位置、区域进行显著标识,向公众提示深度合成情况:
(一)智能对话、智能写作等模拟自然人进行文本的生成或者编辑服务;
(二)合成人声、仿声等语音生成或者显著改变个人身份特征的编辑服务;
(三)人脸生成、人脸替换、人脸操控、姿态操控等人物图像、视频生成或者显著改变个人身份特征的编辑服务;
(四)沉浸式拟真场景等生成或者编辑服务;
(五)其他具有生成或者显著改变信息内容功能的服务。
深度合成服务提供者提供前款规定之外的深度合成服务的,应当提供显著标识功能,并提示深度合成服务使用者可以进行显著标识。
《互联网信息服务深度合成管理规定》第17条
-答2:是不是满足了这个条件,顺便分享一篇文章:《AI生成的内容可以被区分出来么?》
如用户需要服务提供者提供没有添加显式标识的生成合成内容,可在通过用户协议明确用户的标识义务和使用责任后,提供不含显式标识的生成合成内容,并留存相关日志不少于六个月。
《人工智能生成合成内容标识办法(征求意见稿)》第9条
总结:服务提供方也是不容易,对齐头部实践吧。
-问:有没有朋友很熟悉欧盟合法利益的?假设市场部通过一个比较大的供应商进行社会反馈调研,看看公开渠道对我们公司都有啥评论反馈文章啥的,涉及到一些公开文章微博等作者的个人数据,供应商是通过网页抓取做的。
-答1:我第一反应可以依赖合法利益,因为都是公开的,而且也不会对那些作者有什么接触的动作,主要就自己内部分析和提升。所以balancing test我觉得应该是没有问题的,个人利益不会override公司利益。但是,好像,欧盟privacy legal觉得这风险很大,通不过balancing test。
-答2:建议再参考一下上个月的荷兰体育会KNLTB案的判决理由,还是三步走,过balancing test有难度。因为按照上引的EDPB指引,需要考虑社会大多数人的平均期待,会不会超出大家的合理期待~我理解大多数人知道social listening怎么运作的还是超出合理期待的。
-答3:我们欧盟legal的意见是那个荷兰案例不具有代表性,可能不会被其他监管尤其是ICO follow,所以可以暂时不特别依照那个。公开文章评论微博作者应该有基本预期?还有就是我们只是内部使用为了提升服务,不会损害作者们的权利和自由,不知道这两点考虑是不是有帮助。
总结:挺有意思的一个合法性基础,不在PIPL放也是对的,不然不知道会被滥用成啥样,哈哈。
-问:在候选人背调阶段对其背调。
1:如果用人单位S已经获取候选人的工作经历和联系人证明信息,委托A背调公司进行真实性调查。S把已经获取候选人的工作经历和联系人证明信息给到A,这算委托处理的数据关系吧?
2:用人单位S没有候选人的犯罪记录或失信相关信息,仅有候选人姓名和手机号。S把手机号给尽调公司B。B向候选人发短信告知受S委托对其雇前调查,给候选人一个超链接,点开后开始收集候选人:姓名、身份证号、手机号;然后候选人 人脸识别的同步或稍后进行电子签名。这样B尽调公司就能查到候选人有无犯罪或失信被执行信息;把有无犯罪或失信被执行信息给到用人单位S。用人单位S把候选人姓名和手机号给尽调公司,是属于委托处理还是共享啊?B尽调公司后续收集姓名、身份证号、手机号,并进行人脸识别和电子签名并获得有无犯罪记录等信息,是不是属于独立的数据处理者?
-答1:背调的问题可以去看看历史讨论:https://cbe8t1r4a5.feishu.cn/wiki/wikcnrutNhoLSm5s9ESK30T6gDv。
-答2:委托处理主要看事实上的关系,即判断A对于尽调的目的、至少是方式是否具有较强的影响力、决策能力(协议更多的是对双方合意的记录,可作为关系确定的佐证材料)。
第一个场景里,S的指令确实比较明确,但是对于真实性调查的方式其实是没有做限制的。对于真实性调查,A的能动性有多大会影响数据关系的判断。候选人信息给到尽调公司与后续尽调属于两个行为,不需要考虑信息传输/提供是否属于委托处理:若S与尽调公司之间是独立处理者,那两者之间共享个人信息属于个保法下的“提供”(A23),须单独同意(A13其他情形除外)、个人信息保护影响评估。若S与尽调公司之间是委托处理关系,那两者之间共享个人信息属于个保法下的“传输”(A4),须获得同意(A13其他情形除外)。
在第二个场景中,S对于采集方式做了限制,决定了目的和方式,我个人认为可以构成委托处理。后续尽调是否属于委托处理,就需要按照您的立场以及实际情况(指令的详细程度、技术上的控制力等)来权衡一下。不要一个人下判断,相关工作留痕。
总结:还有一个思路是,订立劳动合同必需的对外提供。
-问:个人信息的合规审计现在是倾向于找律所还是咨询公司呢?
-答1:也可以自己做?需要安全部门深度参与。国标里有审计团队成员的要求。
-答2:不着急的话可以先等等看,或者储备着先。目前还在征求意见稿阶段,路边社说快出正式文件了。对律所会计师事务所咨询公司技术公司没啥具体要求,内审也可以,但为了不背锅,建议还是找外部机构做吧。
总结:等等党终将迎来胜利!
• END •
关注小号防失联
