数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「APP真的会监听吗」
「每次登录同意的逻辑」
「网络安全事件对外通知」
「prompt留存期限」
「数据资产入表讨论」
APP真的会监听吗?
-问:刚接到电话问我要不要种植牙,昨天聚餐刚和口腔科医生聊了这个话题。。。。
-答1:如果是看到APP内广告,可能是浏览记录推测你大概率对这方面感兴趣。但电话一般是留资广告才可能获取电话后触达。现在这个环境,监听什么的,排除一些极端的APP,只要是不想入土的APP应该都不会干,
-答2:可能的路径是输入法或者APP内的行为,输入法或者APP将你卖了,卖方可能都不知道买方是会对你在线推广或电话。卖方可能还会说传输过程安全可控,还采取了去标识化或者匿名化的方案,但除了技术方案外,什么场景下数据可以流转的规则,这个在营销行业里其实也是top1的重要性,否则即使技术、数据是安全了,过度广告推广,甚至营销电话,对用户,对行业生态也没好处。
-答3:请问现在国内广告业里面,cookie还用的多吗?比如广告商与网站经营者之间采集、共享cookie之类,进行精准投放的。
-答4:可能app预设了些关键词,如果说的次数多了就会被激活。
-答5:APP的话,还需要用cookie进行个性化吗。跨APP平台的广告投放,不是靠cookie的,至少主要不是,可能我有miss掉一些平台。
-答7:感觉现在app领域是不是用一些SDK比较多。但是看国外就cookie、第三方cookie搞得翻天覆地的,国内好像很少看到,所以不知道是不是这个技术在国内用得不多,甚至被淘汰了呀。但是各家隐私政策里面还是会带一些cookie的说辞。
-答8:也许是因为沿革下来就没动 也许是部分APP有面对海外用户时,海外还是pc端为主会有cookie。
-答9:App比较少了吧 因为App中的Cookies和网页端不一样 我印象里是需要开发人员自己实现和自己清理(不像web端可以自动清除缓存 这点可以找技术的朋友再确认一下)。隐私政策的话,因为很多时候是适用所有渠道和服务的 包含网页等形式 并不一定仅仅是针对App;还有因为大部分Cookies都是一些通用描述 有些时候没有做针对性的调整也是可能的 。
-答10:这个不同还是要从国家间产业发展的层面上理解。国内移动端app发达,手机、车机和各种物联网的触点,SDK又是app很重要的一块拼图。但是国外还是以网页端的活动为主,Meta之类的平台和trade desk之类的DMP数据base大多是70%cookies作为种子,自然cookies的监管更突出。
-答11:国内的网页监管到现在都很少,其实国内cookie用的并不少。
总结:国内外监管侧重点不同,国内APP为主,国外网页为主。这也是为啥国内网页看不到复杂的cookie管理页面的主要原因。
每次登录同意的逻辑
-问:每次登陆的时候都需要勾选隐私政策吗?是不是只有发现是新用户,才需要勾选。我还真没有想过这个必要性。有哪位大佬指点一下吗?
-答1: 看看淘宝,我的手机设备不一定是我登陆,我拿你手机号登陆淘宝,没勾选隐私政策的记录。
-答2:就默认跟互联网一样是有的。我是没想过这么细的东西,老用户根本没有让他勾。
-答3:发现是新用户的前提是不是得已经获取到手机号啥的?
-答4:我理解是成本较低的合规形式,除了应对监管的时候风险比较低,存留同意记录也比较方便,有监管检查检测、法律纠纷的时候都比较好证明企业自身拿到了用户对个人信息的有效同意。
总结:设备维度或者账号维度做记录都是可以论证的,反正做过就行。如果记录技术要求太高,每次都要求同意也是个法子。
AIGC服务安全基本要求
-问:《生成式人工智能服务安全基本要求》的适用范围到底是咋样的,回到这个,我想问,这个“安全评估”,是不是AIGC办法里面那个安全评估,又是不是现在地方网信那个大模型上线备案?
-答1:是的,自己去拿材料了做,一般人也不一定能拿到材料。
-答2:“本文件适用于服务提供者开展安全评估、提高安全水平,也可为相关主管部门评判生成 式人工智能服务安全水平提供参考。”这句话太玄幻了。
-答3:重点是后半句,但是适用多少 到什么程度就玄学了。
-答4:结合我们的备案相关项目经验,《基本要求》所指称的备案手续即是大模型备案,从实践中大模型备案的实践情况来看,《基本要求》实质上属于大模型备案的配套指引,其第9章“安全评估要求”对备案所需安全评估应涵盖的要点进行逐一细化,第8章“其他要求”及附录A则是对于安全评估材料必备附件的细化要求。
总体而言,我们理解《基本要求》是《暂行办法》等规定的有益细化补充,尽管暂时不具备强制法律效力,但被法规、规章等正式法源引用或其实际内容被作为监管执法参照时,其效力也会发生转化。考虑到《基本要求》属于结合大模型备案支持工作经验形成,文本成熟度较高,不排除网信部门在未来的大模型备案与生成式人工智能行政执法活动中将其作为参照性标准,这也是我国APP治理等网络空间治理领域的常见实践。
总结:没做过的都靠猜,营商环境透明度呀。
prompt留存期限
-问:如果私有化部署大模型后,prompt的日志记录一般建议留存多久?担心如果发生著作权争议,prompt是关键证据。大家都在讨论IP,想着prompt留存也是风险控制的重要环节。所以来问问。
-答1: 注销后x年删,如果我是法务。存储不要几个钱的,又不是open ai。
-答2:三年呗,和诉讼时效相同。
-答3:短六月长三年,不决找先例。
-答4:一般是6个月、3年、离职后3年、10年、永久选一个,丰俭由人。
-答5:存储要钱的。具体看数据占的内存,有些数据占的内存量很大,不删就要花钱扩容去存。但这个倒不是啥问题,我们技术反馈的难点是,不同字段保存期不同,删除规则不一样,那数据库就得改造,把不同字段筛出来,到期删。
总结:prompt大部分是文本,所以占存储空间并不会特别大,费用总体还好。相较之下确实数据治理费用占大头。外规没有明确规定时,参考同业,再结合自身预算吧。
数据资产入表讨论
-问:有谁对这个case了解嘛,我就纯好奇这个产品好到什么程度可以入股哈哈
8月30日,青岛华通智研院把基于医疗数据开发的数据保险箱(医疗)产品,以作价100万元入股的方式,与青岛北岸数科、翼方健数(山东)公司签订组建成立新公司的协议,这是青岛探索数据价值化的重大突破。
-答1:实务中的数据资产入表,大部分都是能源电力这些国央企,还有地方政府大数据局之类的吧,跟民企外企是不是没有一毛钱关系?
-答2:推动数据资产化 释放数据新价值 青岛率先开展“数据资产作价入股签约”,这个入股肯定是地方政府支持的。
-答3:来者不拒。
-答4:确实,民营不是主流。民企风险太大了,大部分数据都有问题。
-答5:不是,让报表更好看一点的需求不是国企、央企独有的。
-答6:民营也很多有想法的,比如想ipo的还是会关注。
-答7:能源电力入表我感觉也挺少的。
-答8:上市公司最为关注数据资产入表,国企现在积极性也增加了。民营的上市公司实质上是积极性最高的。主要还是看数据合规情况。
-答9:这个资产入表事儿之前还问过会计。说有些公司还不愿意,因为如果转不了收益,就资产贬值,有负担。是因为一开始我以为只是确权问题。后面发现是个财务问题。
-答10:不是什么都能入。看下数据交易就知道了。
-答11:是合规+财务的问题,法律问题之外,还要解决入表的数据资产的经济价值和入表对应的成本的准确性问题。
-答12:基本都是靠成本法计量,但是很多系统投入、人工、运维等等成本都是糊涂账。尤其在大型集团,很多系统都是共享共用的。
-答13:但是没有财务驱动,其实也不会讨论合规问题~
-答14:所以未来很多企业要在一开始要做好成本的分摊、计量等工作,需要会计、审计的提前介入。
-答15:单财务部门也很难驱动,财务最多申请个会计科目。。。但是哪些能够计入,他们就抓瞎,数据血缘、系统架构等等底层都要做好。
-答16:各种分摊、计量、资产寿命,说清楚不容易。
总结:让子弹飞一会儿。
APP真的会监听吗
作者:何琛来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。