数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「国美事件定性及处置」
「算法备案律所收费」
「Hash处理过的个人信息匿名化了吗」
「SaaS个人信息出境」
「GDPR自然人/家庭事务认定」
「Onetrust收费模式」
国美事件定性及处置
-问:国美这个事情,知名品牌突发!APP弹窗辱骂创始人,算是信息安全事件吗?这种事内部调查主导是哪个部门呢,是信息安全去主导调查,还是人事部门,还是廉洁部门?
-答1:技术止损,安全调查,HR开人。
-答2:安全先排查问题的原因,再分情况讨论。
-答3:我持其他看法。这种应该法律合规、内控或者稽核调查的。安全能查啥。把安全神话了。
-答4:这种应该什么职业道德检查吧,安全搞不了。
-答5:算上线过程中change management,没做好。
-答6:可能是负责内部监察、内控的部门主导。
-答7:安全能溯源。
-答8:谁负责启动调查跟企业内部职权划分有关吧?不过一般信息安全事件不会是HR启动。
-答9:如果是你把人家页面黑了篡改的呢?
总结:踢皮球吧。
算法备案律所收费
-问:现在市场上律所提供算法备案制度并协助提交跟踪这套服务的一般市场价格是多少啊?
-答1:算法备案好像挺简单的,就是耗时也很长,一个主体信息审核感觉快一个月了,还没下文。降本增效自己搞吧。
-答2:报价都差不多,但是如果找外部支持的话,就找能帮你们插队的。
-答3:3-8w不等。
总结:想快要花钱。
Hash处理过的个人信息匿名化了吗
-问:各位大佬,请教一个问题,请问用Hash哈希技术处理过的个人信息算匿名化信息吗?
-答1:是去标识,如果算完哈希就能随便给出去,业务部门可以笑死。之前有过讨论:(1)煮酒言规 | 第001期;(2)法务如何用Chat GPT和业务Battle。
-答2:35273有说明的。《个人信息保护法》去标识化的定义未明确“去”的是什么。国家标准《信息安全技术个人信息安全规范》(GB/T 35273-2020,下称“个人信息安全规范”)第3.15条注释,“去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。”根据上述规定,去标识化“去”的是“标识”,对于“标识”的理解,可以参考《信息安全技术个人信息去标识化指南》(GB/T 37964-2019,下称“个人信息去标识化指南”)第3.3条在定义去标识化时的注释,即“去除标识符与个人信息主体之间的关联性”。标识符可以实现对个人信息主体的唯一识别。
总结:35273,YYDS。
SaaS个人信息出境
-问:集团境外母公司采购同为境外的第三方SAAS服务(比如处理、存储都发生在美国),国内子公司也在该SAAS部署使用范围中,使用中,国内子公司员工信息会被收集并处理。这种情形,1.算是境外直接收集境内自然人个人信息适用个保法第三条第二款吗?2.如果是视为个人信息出境,假设标准合同适用,境外接收方是不是集团母公司或者SAAS服务供应商据可以?
-答1:(1)我认为不是,境内子公司适用个人信息出境三种合规路径;
(2)建议以母公司作为境外接收方。
等新跨境规定出来,员工个人信息出境可能被豁免~哈哈哈就啥路径都不用走了。但是PIA还是要做的,个保法55条、56条的要求~
-答2:2的话需要看SAAS服务供应商是否会访问数据,但一般都不会访问的,而且即使可以访问,也可以解释为委托处理吧。所以一般会以母公司作为境外接收方。因为员工个人信息场景下,境内子公司有自己的处理目的和方式,是处理者。
-答3:网信有段时间的口径是都可以作为境外接收方,但是通常来说,saas服务商配合做出境材料的可能性更低。集团内协调还容易一些。
-答4:2我们问过律师,像workday也是saas形式,接收方应为境外母公司。
总结:SaaS服务商做链路,HR场景母公司做接收方,但建议先等等。
GDPR自然人/家庭事务认定
-问:有人研究过相关案例吗?

-答1:是需要这个吗?
-答3:这个案例我理解对应GDPR序言第18条:Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. 即Data Subject出于个人家庭事务在社交媒体建群,此时Data Subject不视为controller被GDPR管辖。但是,提供社交媒体服务的公司应该还适用GDPR,依据也是序言18条,GDPR适用于为个人家庭实务提供工具的controller。
-答4:personal/household exemption 需要很严格的解释,德国有数据保护机构的指引和联邦法院的判决做了很窄的解释。我记得是巴符州的。
-答5:刚好今天和朋友们讨论到自然人|家庭事务认定的问题,想补充一点程啸老师书里的相关内容。
案例:张三安装摄像头拍摄了李四及其家人的活动。
张三与李四之间的个人信息处理关系属于自然人之间的个人信息处理关系,他们之间并不存在个人信息处理能力的不对等问题,依据中国《个人信息保护法》第72 条第1 款,不适用《个人信息保护法》,而适用《民法典》等法律的规定。张三安装摄像头拍摄了李四及其家人的活动,该行为当然构成侵害李四及其家人的隐私权和个人信息权益,张三应当依据《民法典》的规定承担停止侵害、排除妨害、赔偿损失、赔礼道歉等侵权责任。
(内容出自程啸、王苑《个人信息保护法教程》一书)
总结:GDPR语境下家庭事务应缩限解释。中国法下,除了《个保法》还有《民法典》人格权编对隐私和个人信息权益的保护,故稍有差异。
Onetrust收费模式
-问:群里的大佬有没有买过Onetrust服务的?想了解一下他们收费是根据板块收费(比如data mapping/DSR/dataguidance)还是根据企业实际数据规模用量收费呢?联系了他们的BD还没有得到回复,想先了解一下行情。海外的工具目前比较大的就是Onetrust了,如果大佬们有了解其他海外的工具也顺路求个推荐。
-答2:他们好像是saas服务吧,bd这么不积极。
-答3:他们比较看甲方规模的,大概50千刀一个基本服务包,附带一定数量国家的合规framework,印象中是7-8个,如果超过这个基本数,就得➕钱。一般都是印度小哥远程演示他们的服务。
-答4:1、oneTrust的价格体系分为三大类,大企业(员工数目500+)、成长企业(员工数目500以下)、特殊行业(教育、公共领域或非盈利机构等)
2、大企业与特殊行业企业,必须与oneTrust点对点沟通价格
3、成长企业的价格如下Data Mapping 750美元/月、DSR 750美元/月
4、oneTrust以SAAS服务为主,所以使用data mapping等功能要考虑清楚。(详见:https://www.onetrustpro.com/buy/)
DataGuidance 按照用户收费 440美元/月。
-答5:大概一年前帮客户询的价人民币35万一年,不过他们属特殊行业,因此未必可参考。建议还是直接联系对方报价。一般都是抢着去售前的,他们家反着来,客户随意挑选的感觉。
-答6:我再补充一个小经验,OT想要联系客服的话都是要写单,在填写的时候问题等级如果不选critical,基本就不会有人联系。
-答7:哈哈哈哈是这样,付款出问题了直接给我打回来并且根本没人搭理我该怎么打钱的问题。客户太多,不缺。
总结:店大欺客。
Hash处理过的个人信息匿名化了吗
作者:何琛来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。