煮酒言规
///////////////
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
欢迎体验数据何规AI客服,可用特定关键词搜索历史Q&A,下面1.-5.的每一期都有审计底稿出境的讨论,太准啦!
• CONTENT •
「员工机票代订数据处理关系」
「联动登录告知同意」
「个人信息保护负责人数量门槛」
「豁免场景下,标准合同必签吗」
「TrustArc的DPIA module好用吗」
「丰巢的暗黑模式」
「AI训练咋弄」
-答1:登录态就是所谓的token。以前token只要用户没操作了,就是自动失效。比如APP退出进入后台15分钟后。现在为了所谓的用户体验,做成长登录态,能够30天内一直有效。包括很多游戏登录后都是很长时间内有效的,安全为用户体验妥协。
-答2:有些应用有公共电脑登陆和个人电脑登陆两种模式,应该就是应对文章里写的网吧上网这种情况的(个人推测,公共电脑登陆是短登陆态或者一次性登陆,个人电脑登陆是长登陆态)。
总结:游戏确实不好做啊,又有未成年,又有外挂,又有盗号。
-问:被人脸识别划为“自访客”?记者实地探访新房售楼处:偷偷“刷脸”无处不在
-答1:文章里只采访经纪人和购房人这两个反对群体,实际上开发商是为反腐来的。开发商一般也不会用这个理由给自己辩护,所以这个都快成了不能碰的话题了。文章情况大概是某客户先看到广告找去了售楼处(自然到访),中介又报了一次这个客户信息,如果没有人脸识别中介就拿到了佣金,但房企认为这是“洗客”,并非中介功劳。房企认为多花了佣金,中间经常出现内外场勾结分佣金产生贪腐。具体实施起来很复杂,因为转介审核已经在不断升级,绕开监管手段也在不断发展,总体上房企认为人脸识别能一定程度上防止内外场勾结贪腐。
-答2:主要每个楼盘涉及都是几千万,被罚也不会放弃的,其实最快的方案就是别用人脸。不用损失几千万,用了罚款100万。
-答3:地产商都还用,常年顾问知道有风险,法务知道有风险,业务也知道有风险,还是照用。客户还让我们找案例,我们给他们在指定的各省份公司找的案例也就10-30w之间,他们就更不担心了。
总结:违规成本和商业利益间的权衡。
-问:请教下 网站登录注册 同意隐私政策外,我看有的还需要同意《用户协议》之类的文件,后者这个是必须同意吗?创建时,同意隐私政策和用户协议。创建完,再登录,还需要继续同意两者咯?
-答1:注册登陆可能不是一个人,你保证不了,所有都要。
-答2:要创建账户登录的,你就搞个用户协议,不整那就光搞个隐私政策。
对于营销短信(不是服务通知短信)的发送,境内监管目前只需要用户同意过隐私政策(甚至有的监管方只要求提供后台截图证明是真的注册用户)就可以。
至于多个短信通道都发送的营销短信的,用户只能逐个通道拒收,除非签名档落款发送方能有用户友好的意识,在接到一次拒收通知后主动调整所有通道(就看后台操作是不是利索和一揽子完成)。
总结:能勾就和隐私政策一起勾一下,不碍事。
-问:同一个法律实体运营的不同平台,现在想实现sso功能,即,各平台之间的账户是通用的,如果在a平台注册完成后用户跳转b平台,直接就可以登陆并且使用了。业务是想实现跳转后默认登陆的,有必要首次跳转的时候再做一次授权登录吗?就是比如a平台注册过后,b平台就直接登陆了(两个平台功能有区别,但是是同一个网站的不同子域名)。
-答1:帐号协议咋写的呀。
-答2:看一下美团和腾讯吧。
-答3:监管不让。
总结:还是抄抄作业,看看那些集团,比如:平安。
-问:大家怎么看这个,学校能这么公示吗?为何要进行如此详细的公示,基于哪些相关规定,涉事学校相关负责人表示,此事涉及学工和教务,“目前我也没有得到这个相关的授权,具体情况我也不太清楚。”
-答2:这有任何合法性基础吗?
-答3:也许她同意了?但是身份证啥的没必要。
-答4:申请变更的时候应该有提到会进行公示流程,不过貌似也不用完整公布身份证号吧?
-答5:要么学生自己同意,要么是履行法定义务,但怎么样也觉得不是学校来履行公示义务吧。
-答6:之前看过一些讨论,基本大学毕业后跨性的,学历都废掉了。
-答7:前几天看到一个博主说,变了后 之前的学历、工作经历,全部归零。等于之前的人不存在了。
总结:公开个人信息的合法性基础:1、取得本人单独同意;2、履行法定义务。如果都没有,那侵犯隐私及个人信息权益没跑了。当然,除了个人信息保护之外,有没有其他利益需要考虑,事情就复杂了。
-问:在豁免情形下,签署SCC是最佳实践还是强制性义务?我打电话问网信办,他们也是认为必须签。但另一个同事去打电话又说不需要。网信办是跟我说协议肯定你是要确保不低于中国法律要求的啊,有现成的scc,先用上呗,不想签慢慢negotiate,但大面上的东西得有啊
-答1:结论是“之一”,也没错。实操中境外接收方愿意,直接签scc例子也有,但不愿意的居多,然后选择“删减版”scc或者额外签其他版本dpa。
-答2:我们和子公司就是在scc基础上删减的。我们子公司也抓我们签欧盟GDPR。各自满足各自监管要求。
-答3:史博士的观点很对。
新规施行后,被豁免“安全评估/标准合同/认证”的企业反而需要重视数据处理协议。此前没有调整空间的签约主体数量、协议语言版本、合同结构、权利义务、管辖法院等都成为了可以讨价还价的事项。比如此前的标准合同,只能一对一签署,想要把其他主体加进来就只能另外去签协议,但现在可以直接在数据处理协议中加入甲方、乙方、丙方、丁方……此外,双语合同、外文合同都成为了可选项,甚至可以参考GDPR下的SCC去设计一份协议,也能满足合规要求。
史宇航,公众号:送法上网数据跨境新规豁免了我的义务,那还需做什么吗?
总结:没有任何规定说必需签SCC,落实同等保护义务有很多方式。
-问:有大神用过TrustArc的DPIA module吗?体验行吗?我们买了一直没用,开始考虑用起来,就怕花了很多时间完成流程迁移(线上化)却不好用就很麻烦。如果不好,下半年可以考虑换其他供应商
-答1:你先了解下呗,用的话应该还是要花时间根据自己公司情况设置下问卷的。OneTrust的问卷我看过,挺花时间去定制化的。
-答2:已经了解过了,开始要调整我们问卷了。OneTrust我几年前接洽过,没用,不知道现在他们什么样了,我觉得可能比TrustArc体验会好。
总结:没用过,不总结了。
-问:手机里连抖音都没有,反复确认了几次确实没有在抖音买过东西,果然点了继续取件柜子就弹出了……
-答1:他是dark pattern骗授权而已。他也骗淘宝的。直接要你扫码,不知道的以为是扫码取件呢,实际你点叉号就行。商家寄件是虚拟号,丰巢无法通过公众号服务号之类的推送,少了流量入口,发不了广告,没法变现而已。关联上,你微信支付宝又授权过真实号码,就能直接扫码拿了。
-答2:之前有用过丰巢的快递,因为有段时间出差不在家,想设置成放在快递点,如果要改设置的话需要下载丰巢的app设置。之前还遇到过取件码失效打不开,打电话去找客服的情况。之前用的时候感觉用户体验很差,丰巢客服能响应的内容非常少,但是又收了很多信息。
-答3:快递小哥是要给快递柜公司服务费的,一单几毛钱这样,因为帮助小哥提高了最后一公里的派件速度,如果一天能多100来单,每单少赚点,但是总体收入就提高了。然后就是面向用户收的超期服务费,还有第三个类似分众传媒,他们想把柜机广告的收入做大,但是这块儿显然跟电梯广告不能比,我觉得就是他们还是想做获取一些取件人的信息,关注公众号甚至下载APP拿到手机号之后,做私域弄点电商业务。
总结:苦丰巢久矣。
-问:是不是AI训练这个事,其实是个很技术的活,并不是谁都可以多问几个问题就能把模型调教成自己想要的样子?
-答1:训练需要大量数据的,自己的一些knowledge只够微调模型,没有开发模型来的专业,训练更多是一个需要时间反复试验的。基础模型时很重要的,定制化,或者说基于基础模型的垂类模型。难度要小很多。
-答2:要看模型的构建机制,是算法预训练还是应用过程中会把数据作为训练素材,如果是大语言模型,“问问题”更多类似于设定参数,即所谓的调试,但模型本身的训练在应用上线前基本就已经完成了(应用过程中可能会有离线/在线训练,但一般都是批处理的)。
总结:想了解就自己先多花点时间。
• END •
关注小号防失联
