数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「网络安全产品漏洞管理」
「公司对数据产品报告享有的权利」
「数据泄露的补救措施」
「SCC备案出境期限」
「模型训练的controller的认定」
「AI皮肤检测合规」
网络安全产品漏洞管理
-问:有一个关于网络安全产品漏洞管理(识别,补救,报送等)提供期限(并非响应时限)问题请教下大家,我们注意到网安法第22条1款(以及数据数安法第29条、网络安全漏洞管理规定第7条)对于漏洞管理都没有规定要在多久的时间内均确保能提供。另一方面,网安法第22条第2款又规定网络产品或服务的提供方应在“规定或者双方约定的期限”内提供“安全维护”。那问题来了,网安法第22条“安全维护”是否能理解为包括同条提及的补救安全缺陷和漏洞的义务?如果包括,那是否意味着双方就漏洞管理可以约定提供期限?如果可以约定,在没有明确关于提供期限的规定的情况下,该等约定的有效性如何判断(特别是约定很短期限)?
-答1:似乎没有,感觉这块还没有形成普遍共识。感觉如果有一个标准说“最低提供X年的安全修复”。那么大家应该都会锚定这个时间,实质相当于过期免责,对企业来说是好事。但是感觉管理的人可能希望你只要公司不倒闭就得负责。
-答2:我们也觉得是,其实还有一个变体问题,如果从产品质量法,包括汽车三包相关的规定,其实对于传统的硬件还是能间接找到有关缺陷的管理期限的(下限起码是产品的安全使用期或者生命周期,车的强制报废也没了),但对于软件网络安全漏洞这种形态的,似乎也是无解。我也很好奇,像是银行业这种垂直管理更完备的领域,是否有更行业针对性的要求?
-答3:纯互联网服务比较好说,持续性的维护也说得过去?感觉更需要回答这个问题主要是几个类型的公司:1,软硬件结合,2,买断制软件,3,企业产品。
-答4:印象中《网络产品安全漏洞管理规定》有对上报漏洞是明确了时限要求,2天,但修复时间,就是【应当立即、及时】这类字眼,还是得根据事态严重程度来去采取措施的。可以跟安保服务商约定一个时限修复,但约定最好是根据事态严重程度分类分级这类比较灵活的。因为实质响应层面有“及时”“立即”这类要求。
-答5:B2B 合同里约定,可以算在SLa里面,监管关注漏洞上报,修复是企业与企业间的事情。
总结:供应链安全很重要。
公司对数据产品报告享有的权利
-问:杨晓玲:互联网平台数据不正当竞争行为的司法认定,由这篇文章引出一个小问题:公司自采并加工的数据,对外以数据报告的形式提供给用户,那公司对这份报告享有的是什么权利呢?是知识产权吗?之前公司法务写的是知识产权,但我总觉得不对劲,又说不上来。我的理解是:公司以自由模型对自采数据进行加工,形成数据报告,享有的类似于一个数据权益,不涉及知识产权。
-答1:看合同限制吧。
-答2:知识产权的我见过,知识产权和数据权益也不冲突。
-答3:看一下数据20条
-答4:之前群里其实也讨论过。一般会写数据权益,不会写死知识产权,现在已经明确了。两者是并行的。
-答5:浙江出了一个数据知识产权的指南,但内容比较水,主要还是以创造性劳动和实质性加工(贡献程度)为判定是否能主张知识产权的依据,至于是何种具体的知识产权,是软著(或者泛的著作权)、还是专利,就看这个数据产品的载体和表现形式了。我理解这个,但我的想法是我们重复使用的是报告背后的“数据”,并不会拿着同一份报告提供给不同客户。
-答6:是不冲突,我的疑问在于,这份报告的知识产权真的那么重要吗?很多时候大客户坚持把知识产权归他们,但我们公司法务又强调知识产权必须归我们,不然业务没法开展。
-答7:数据是数据,报告是报告,两个层面的问题。数据权益这个概念现在又没有定论,挺虚的概念。真遇到问题 还是在既有路径里解决。
-答8:我作为客户以前写的知识产权条款重点还是报告及报告本身的内容 不是数据,所以我说,知识产权和数据权益你可以分开条款约定。
-答9:业务做不做是业务侧决定的,法务提示风险,业务确定接受这个风险或者请示领导确定同意接受这个风险就行,业务做不做不需要也不会由法务决定。
总结:数据权益和知识产权不冲突,法务能做的就是提示风险,让业务做决策。
数据泄露的补救措施
-问:假设可能发生或发生了个人信息泄漏,怎么评估可能对个人和个人造成的危害,由谁来评估。个保法还规定了要通知“个人可采取的补救措施”,都有哪些补救措施啊,能想到的只有换密码,不要点击钓鱼邮件这些常规的预防措施。
-答1:你可以自己评,法务加安全,也可以找外部,记得留痕。本身有安全事件的制度流程,我按照流程定级为1级的,然后自己评估留档就行。
-答2:泄漏信息字段 设计用户数量 对主体影响程度 ,补救措施有 短信通知、app推送 , 除改密码、钓鱼邮件外 ,还有反诈。
-答3:内部评估影响程度的时候可以参考《网络安全事件的分级分类标准》;此外个人信息安全事件评估时候重点考虑受影响个人信息主体数量、是否涉及敏感个人信息等因素,一般内部评估的话涉及法务、合规、IT、安全,看公司实际架构设计。
-答4:实操层面,M家酒店当时是发了一个改密码的通知,还有附赠酒店积分。。。M家服装店是发了短信告知泄露但是当时没有说改密码。
总结:掩人耳目和法定义务之间的两难决策。
SCC出境期限
-问:不知道有木有大佬清楚现在SCC备案,监管会做实质审查吗?会不会和评估一样来来回回问好几轮问题呀?
-答1:看各个地方要求,目前央办的回复是,按照办法执行。
在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:
(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;
(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;
(三)可能影响个人信息权益的其他情形。
《个人信息出境标准合同办法》第8条
-答2:按照办法执行,是不是就是有效期写了多久就是多久呀。
-答3:问过国家网信办,是开放的,可以不约定,也可以在附录二约定,除非出现前述情况。
总结:除非地方网信办另有要求,想写多久写多久。
模型训练的controller的认定
-问:请问下大家,在GDPR下,如果processor把相关数据用于自身模型训练和算法改进(以更好提供服务),是否会被认定为controller呢?
-答1:看这个目的是谁决定的?另外,模型训练,是一个单独的数据使用目的分类(和提供功能、产品改进并列),不能用其他的目的来覆盖。
-答2:如果私自增加处理目的的话,在这个目的下,就会被认定为是controller,承担controller的义务。
-答3:但是这个很难判断,processor完全可以说是基于此项目/需求下的算法改进,是基于controller要求的处理目的。
-答4:模型训练和模型算法改进,和实现模型的预期功能,是两个独立的目的项目,技术和产品实现上也是分开进行的。我觉得两种情况,1。processor在出于各种目的的耍流氓,欺负人不懂或者就是想多要数据。。2. 有可能是这个产品本身需要不断根据使用者情况进行微调,这种情况下如果采用算法的人知情且认可,那我觉得也可能可以认为是采用人决定了这个目的,但是我又倾向于是共同控制,因为实际上用这个算法的人都不知道你具体咋训练的。后面这种可能角色判断可能得具体情况具体分析了。
-答5:赞同具体决定具体分析。单独控制和共同控制(包括由concurrent decision导致的共同控制)都很难完全排除。具体到是否超出指定的处理目的,有一些可参考的相关案例。之前的Criteo案是一例,相对简洁一些。Ruter的沙盒报告会细致很多,对后期训练和进一步研发是否超出目的也有专门小节。03/2013号意见依然有用。猜测之后西班牙的沙盒报告出来会有更具体的结论。
-答6:通过数据流检测很难发现问题,但至少可以仔细看应用部署方对C端用户的隐私政策、模型提供方接口的协议或隐私政策或合作协议,经常能看出不少于训练数据使用有关的问题(一些描述暧昧模糊、透明度不够,但可能很有深意)。
总结:具体情况具体分析。
AI皮肤检测合规
-问:请教下大家两个问题,这种基于真实人脸数据,训练研发的皮肤状态检测工具,属不属于算法应用,需要做算法备案吗?另外这种所谓的辅助检测工具,需不需要什么医疗器械资质的备案?
-答1:关于医疗器械备案或批准应该是需要的。但如果仅仅是采集图像的分析,没有采集任何皮肤细胞用试剂进行分析,那么认定为医疗器械的概率是较低的。
-答2:我试用了一下这个产品,检测结果倒不是什么医疗诊断意见,就是类似你有黑眼圈,哪个地方是痤疮,细纹,暗沉啥的,然后下一步才是匹配所谓的皮肤顾问但也不是医生,就给出一些卖货建议了
-答3:这类产品一般没有训练这么高级的功能 就是检测你的皮肤一些指标。
-答4:我对比了一下法条,这种检测工具应该不属于个性化推送,排序精选和调度决策类的算法类型。有没有可能属于“检索过滤类”的算法,就是类似自动识别敏感词的算法一样,识别皮肤状态这种?或者能属于“生成合成类”算法吗?——通过分析有一些类似诊断结果的效果呈现。
-答5:基础的功能二年前就有不少公司做了 如果需要医疗器械资质 查一查现有产品就能看到。
-答6:我感觉很难算诶,我感觉这个可能就是一个基于深度学习算法的图像处理技术。
-答7:感觉更像是用户标签,和备案系统的说明贴不上。
-答8:但是下一步马上就会个推了 基于结果推荐医美方案或护肤产品。
总结:不叫AI,估值很难上去。
数据泄露的补救措施
作者:何琛来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。