数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「大模型内容安全」
「签名是敏感个人信息吗」
「AIGC备案材料」
「open/user ID是敏感个人信息吗」
「海外测绘法规库」
「speak up program是hr确需吗」
大模型内容安全
-问:很想知道目前比较好的解决方案是什么,感觉国内有些大模型屏蔽提示这块的表现,拒答率有点子高。
免注册版 ChatGPT 引入了更多内容保障措施,例如在更广泛的类别中屏蔽提示和生成。
-答1:内容风控不是法律侧的事情。我理解可以有几个方向,第一,对风险问题进行同义替换而不是拒答,比如用户问西藏是不是中国一部分,替换为更广义的,对领土完整怎么看。第二,解决提出问题的人,多次触发风控线直接封号。
-答2:有非拒答库的,正向引导。
-答3:是不是直接封号成本更低呀。
-答4:预算充足的话直接采购人民网舆情管理的内容合规产品吧。
-答5:我用敏感问题测试了五次国内某大模型给我封号了。落实了《安全基本要求》的规定。
-答6:数据合规与内容合规,一个是铠甲一个是盾牌,双剑合璧。
-答7:数据合规的有些灰色地带可以商讨take 不take risk,内容合规应该是无商讨的余地吧。
总结:内容安全不好做。
签名是敏感个人信息嘛?
-问:目前敏感个人信息的判断,大家主要依据是否是结合35273的附表,再结合个保法下的定义来自主判断? 合同的签名信息,有被认定为敏感个信的嘛?
-答1: 我个人理解 签名信息跟名字应该是同等的敏感度,即便手写签名,其敏感度也未及敏感个人信息的程度
-答2:之前讨论过一次。
-答3:感觉他概念上有点类似于生物识别信息,还得结合处理方式去考虑。类似人的照片v人脸识别信息。以前有一稿生物识别特征的国标征求意见稿,是把签名作为生理特征的“行为特征”来写的。
-答4:企业里面各类合同都有签字,这完全不可避免,量级上也不容小觑。如果按照敏感个人信息算,涉及出境的话,合规成本是真的也不少呢。我理解手写签字如果被提取后去鉴定笔迹-那笔迹按敏感个信算还能理解。 但纯手写签字,签完就扫描进系统,也不做进一步分析,还按敏感个信算就有点太过了。
-答5:生物敏感信息没跑啦 跟虹膜 指纹 啥的一类的。
-答6:简历上的照片和用于门禁识别的照片,分场景来判断敏感度。
-答7:出境就是按照35273啊,其他的可以不看。
总结:个人认为笔迹确实属于敏感个人信息,涉及合同签字信息出境的,直接马赛克处理就好。
AIGC备案材料
-问:国家互联网信息办公室关于发布生成式人工智能服务已备案信息的公告,这个是大模型备案吧?不是算法备案吧。
-答1:不是,这两个相互独立,但都要通过,系统暂未打通。
-追问:申请大模型备案,是不是必须要完成安全评估啊?是不是可以理解为大模型备案做完的,安全评估肯定做掉了。
-答2:大模型备案的提交材料包括备案表和安全评估报告两部分,报告可以自评估也可以第三方评估。
-答3:一表五附件,大模型上线备案表,安全评估是里面一个附件。我了解的,现在会找第三方,但是都写自评估,外部的作为专家。
总结:还是要做的。
open/user ID是敏感个人信息吗
-问:Open ID 和User ID算非敏感有问题么?
-答1:看到这个 新浪微博的 User ID 怎么消失了?不对外展示了?
-答2:我理解应该不算,泄露不会对生命、财产、人格尊严产生严重不利影响。早上正在讨论小程序获取open id的问题。微信的生态里面,但凡进入小程序,就必须调用open id,但通过隐私政策获得同意的节点是滞后的。一般市面上首次进入小程序时也不会对open id的调用进行说明或拿授权。
-答3:一些比较特殊的app有讨论空间。
-答4:比如,同性交友软件的user id?因为软件的敏感性,而敏感了。
-答5:我觉得医疗app和金融app构成。
总结:原则上不敏感,但具体情况具体分析。
海外测绘法规库
-问:有没有大佬调研过海外的测绘/地理信息数据法律法规啊,有啥好的平台/数据库吗?
-答1: 汤森路透。
-答2:建议可以从各个国家的政府网站和职能部门入手看看。不过得一个个国家找,也不是个一劳永逸的办法。举个例子,新加坡,相关的可能有数据管理部门(PDPC):https://www.pdpc.gov.sg/;土地管理部门(Land Surveyors Board, LSB):https://lsb.mlaw.gov.sg/. 然后分别找公开的guidelines,regulations, e.g.:


-答3:那也得目标区域有对应的概念,和欧洲律师费老大劲让他们理解,最后全给我绕回到个人数据了。
总结:出海不易。
speak up program是hr确需吗
-问:请教一下大家,员工内部举报投诉,这种信息出境也算是人力资源管理必须吧?听说欧盟还是美国针对员工speak up的数据似乎有一些特殊要求(如服务器放在哪里),有群友了解这块内容的吗?
-答1:这是境外直采吧,义务在总部,员工又没把信息给境内实体,是直接投诉给总部的。作为境内法务,友好提示相关风险即可。
-答2:我们还真问过,监管似乎对于举报这种事情没有啥概念。我们的场景是(i)举报人是国内公司员工;(ii)接收方是境外母公司;(iii)政策是境外公司制定的,数据也不经手中国公司。我们主张境内公司不构成处理者,是境外公司直接收集。但是监管当时和我说(a)境内公司是处理者,因为是境内员工的事儿;(b)一定要“取得被举报人的单独同意”才能出境。因为过于难以操作,后面也没有去报进SCC里。
-答3:很多外企这个供应商就在欧洲,很多时候是投诉给境外供应商。
-答4:这很难撇干净吧,尽管数据流上能解释是供应商或接收方处理的,境内公司不沾手(甚至也不完全一定,后续不调查啦?),但确实是境内这个公司的内部管理事务?
-答5:speak up program 和PIPL 3.2(a)和3.2(b)的applicability紧密相关。whistleblowing hotline在这块也是一样的,考虑PIPL的适用性分析可能有不同的答案。在投诉全球直管的情况下,我个人觉得不会将local entity作为controller来处理。
总结:境内实体不决定处理目的,所以不管。
AIGC备案材料
作者:何琛来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。