AIGC侵权首案讨论

来源:数据何规

文章摘要
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「个人信息可携带权案例」
「东南亚、阿联酋地区隐私白皮书」
「蓝牙mac地址是敏感个人信息吗」
「驻华使馆是境外吗」
「AIGC侵权首案讨论」
「APP海内外共用一个包」
「换绑定手机号需要原号码验证吗」
个人信息可携带权案例
-问:现在个保法下的可携权,跨法人主体的,有实践成功的案例吗?
-答1:手机号携号转网,云服务好像也有类似要求,其他的实现的不多。
-答2:这个微众银行的ppt也提供了一些案例:https://theasianbanker.com/finance-china2022/pdf/present-slides/Hata-Fan.pdf。


-答3:平台首个服务场景:中国工商银行“琴澳资信通” 澳门居民资信信息的跨境验证• 实现工银澳门与工商银行横琴分行无需直接传输和交换用户数据,即可通过在区块链上比对“数据指纹”(哈希值),成功验证用户数据真实有效、未篡改。这个算是可携权吗,我咋感觉这是大集团下的数据融合,同时涉及了数据跨境。
-答4:感觉是数据共享不是可携,我今天不想用工商银行了,你把我们流水,银行卡号给建设银行。
-答5:是,可携权,理论很美好,实践做不来。
-答6:要有公有的协议、标准,才能做。比如你要把日历日程导出来,那就ics;要导联系人,就vcard;要导gps轨迹,就gpx…不然大家都是非标的,你做的可携带最多也就是能看看,用不了。
总结:
GDPR下的可携带权的落实也存在类似的问题,没有统一的标准,反而导致数据只可以在大平台间携带。
东南亚、阿联酋地区隐私白皮书
-问:请问有东南亚、阿联酋这些地区的隐私报告/白皮书之类的参考材料吗?
-答1:云厂商的信任中心,如:https://www.huaweicloud.com/intl/zh-cn/securecenter/resource.html。
-答2:看看这个:https://u.ae/en/about-the-uae/digital-uae/data/data-protection-laws。
-答3:搜DLA Data protection,有一个专门的页面可以搜各国数据法简介。
-答4:UAE比较复杂,阿布扎比和迪拜有自己的规则,最好和本地顾问多确认下。
-答5:UAE有7个小国吧好像。
总结:还有下面这些供参考。

蓝牙mac地址是敏感个人信息吗
-问:蓝牙MAC地址, 国内也算敏感个人信息吗?
-答1:根据《个人信息安全规范》,mac地址是一般个人信息。
-答2:蓝牙mac地址也好,wifi mac地址也好,都是设备的mac地址,写死的就跟设备挂钩。单看蓝牙mac,也可以识别出设备厂商。拿了你的mac地址,可以近端攻击你;厂商可以溯源个体。具体是否敏感,结合自己业务场景来判断,看泄露造成的后果,每家的要求不一样。
总结:蓝牙mac地址也是设备mac地址,是否敏感需要结合场景判断。
驻华使馆是境外吗
-问:大家把驻华大使馆理解为是境内还是境外?给大使馆发送个人信息,不构成个人信息出境吧?还是目前尚有争议来的?纠结的点就是如果不是领土,一般对境内的理解包括我们的领土领空领海的,那么确实使领馆好像是境外。
-答1:大使馆的服务器应该是在国外的?放过自己吧,算了,算了。
-答2:理解为境内,不构成出境。我倾向于认为领土与司法/外交豁免存在区别,是两件事情,详见:https://www.mfa.gov.cn/web/ziliao_674904/lbzs_674975/200705/t20070524_7949252.shtml。
-答3:大使馆的东西一般都自带的,为什么不构成出境呢。
-答4:大使馆应该理解为境外吧,都不受中国司法管辖。
-答5:韩国大使馆的签证申请 出境个人单独同意书得签字。
-答6:大使馆不是大陆法域 所以自然是出境。
-答7:17年有一版数据出境安全评估指南的国标征求意见稿,大使馆是不是属于这个?不过这个在最新的数据出境安全评估指南里没有了。
注1:以下情形属于数据出境:
(1)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
-答8:可以看看洪老师这篇:个人信息和重要数据出境安全评估之“向境外提供”

总结:从严解释,算。

AIGC侵权首案讨论
-问:大家怎么看这个案子?
新闻稿:天元成功代理国内AI绘画第一案
裁判文书:AI生成图片著作权侵权第一案判决书
-答1:看了下判决书原文,法院实质采用了创作工具说,这与知识产权学界一些大佬的观点是有差异的,详见:王迁:再论人工智能生成的内容在著作权法中的定性
-答2:北互的论证独创性的思路和美国版权局指南比较像
3月16日,美国版权局发布人工智能生成作品登记指南。《指南》指出,能够取得版权的作品必须由人类创作且存在人类创造性输入和干预。当前AI技术中,用户对AI如何理解提示(promt)和生成作品缺少创造性控制,promt更像是给艺术家的委托指令。另一方面,如果人类艺术家以足够有创意的方式选择或安排 AI 生成的材料,以及艺术家修改 AI 生成的材料以符合版权保护标准,使得 AI 生成的作品包含足够的人类作者身份,则可以支持版权主张。
我理解版权局指南的意思并非提示词绝对不产生独创性,重点是用户能否控制AI解释提示和生成材料、控制程度。指南举的一个不构成独创性的例子是“以莎士比亚的风格写一首关于版权法的诗”,此时用户不能通过提示词控制决定押韵模式、每行中的单词以及文本的结构。而北互这个案子用的是stable difussion,在提示词、反向提示词以外,还有模型选择、参数调整这2个层面可以论证控制程度。特别是用到controlnet的SD作图,虽然用户不是直接画图,但其对于画面布局构图等是可以设置调整的。
-答3:认同,对提示词是否具有独创性我理解还是要case by case。不同提示词的差异太大了。
-答4:虽然存在一定模糊性。但版权局明确说了,提示词实际上更像是指示受委托人进行创作的行为。因此,从逻辑上看,这种指示很难构成产生独创性意义的选择。正如王迁的举例,一个老师教学生画画。老师的教导并不产生对学生画作的独创性来源。
-答5:是的,调参小能手,这个时候很难综合评价具体的参与程度,比如确实有用户调参(Prompt),但是SD还有一个比较重要的其他因素,比如模型,模型(可以自行训练、也可以使用他们公开(这里暂时不区分是以何种形式公开)的模型),那这个具体的“创作”环节以及由谁创作(贡献/比例),就更难评价了。在现在这种情况下(发展得极为迅速,而且已经直接运用在商业项目中),认定为作品而且予以保护,起码在商业秩序、市场稳定以及相关的法益保护这块来说还是有益的。
-答6:赔500其实还是挺麻烦的,就怕未来有和蘑菇头一样的职业维权人士。弄一大推图,等着你侵权,批量诉讼。企业愿意应诉要请律师花钱,不愿意应诉,赔个几百元,对面不要太开心。
-答7:这个就要说业务影响评估了,现在大家做的都是基于业务的影响评估。实际上还有基于系统关联性的影响评。这玩意太耗时了,系统-部署-服务-组件-组件间关联-影响。基本上没人会做这种基础性工作。
-答8:有道理,用ai自动批量生成,自己搭个网站公开这些图片,总有图片会被搜索引擎收录然后被某些冤大头使用,坐等起诉收钱。
-答9:简直是AI版某觉中国。
总结:坐观后效。
APP海内外共用一个包
-问:有无办法做到一个APP包,在海内外应用商店都上架,但是国内使用时的数据存储地是国内,展示国内隐私政策。海外用户用的时候数据存储地在海外,展示海外隐私政策。我跟业务说,国内外的数据存储地必须区分开,隐私政策必须区分开。然后他们不想维护不同的包,就在想办法用一个包解决这个事情。我感觉应该是做不到的吧。
-答1:可以啊,用ip+系统语言来判断,展示不同的页面。
-答2:IP地址的收集时机,怎么解决?境内可是需要 同意隐私政策弹窗后才可以收集的。
-答3:这个时候,可以把问题抛给业务,你们见过哪个产品是这样一个包搞定海内外的,发给我们,学习研究一下。
-答4:因为不想维护不同的包,所以愿意维护不同的隐私政策不同的服务器不同的管理端?
-答5:ip收集的问题在具体技术里感觉是不成立的,app作为前端,向服务器请求时,即使参数不传输ip,但对于服务器来说就是会自动获取到客户端ip,即使没有征得同意。因为在osi网络架构里,ip就是会在里面封装然后传输出去。可以国内和国外部署cdn,当app去访问服务器的时候,cdn自动就会决定和转发这个流量是去国内还是国外。
-答6:Cdn 走就近路由 那么就有个问题 外国人 在中国下载该App 显示的是哪国的隐私政策 数据存储在什么地方?反之也是。
-答7:可以这样考虑,app还是运行在手机系统上的,先读取系统语言(把系统语言作为必需的个人信息),展示该语种的隐私政策,当用户同意后,再用ip或cdn来判断走境内境外的服务器,落到服务器后当地存储,从而先前置解决隐私政策语言问题,再后置来解决存储地区的问题。
-答8:很多中国公民 使用e文系统语言的。对于隐私政策弹窗 可以让用户自己选择,语种。不分版 难点 其实在 app内的广告归因、风控 等sdk。很容易切不干净 出现跨境传输。
-答9:可以在域名解析那边做个设置,如果是境内的用户同一个域名A解析道境内服务器IP地址,如果是境外的用户,域名A解析道境外服务器IP地址。
总结:能做的同业早就做了。
换手机号需要原号码验证吗
-问:为什么支付宝现在修改手机号都不用验证老手机号了,只需要给给新手机号发验证码啊?
-答1:换手机号场景,本来大概率就是旧手机号不用了要更新。验证原手机号是不合适的。至于是否有风险,后台会有风控策略的。
-答2:风控策略大概是这样:
1.换机不换号,重新登录;
2.换号不换机,设备指纹不变,不触发风控;
3.换机换号,触发风控,增强验证。
总结:安全又便利。

技术驱动法律,专业成就未来