数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
由此,我建立了一个小规模的社群,和朋友们讨论数据合规相关的问题。我相信其中的部分讨论是兼具共性和分享价值的。初步计划每周一次,对群聊内容以问答的形式进行梳理、共享。希望对你有所帮助。
小程序测评机构
-问:小程序是否会后台抓取个人信息,有第三方的机构做测评吗?
-答1:爱加密会做小程序的检测,可以进一步咨询是否做这个检测项目。
-答2:小程序是具备这个抓取个人信息这个能力的,所以工信部明确把APP、SDK、小程序并在一起管理的。
SDK公示的完整性
-问:APP公示SDK,如何保障公示的完整性,比如APP自身集成的SDK,SDK嵌套的SDK,以及H5页面出现的SDK?
-答1:只公布自己集成的就好,其他没管了。
-答2:SDK嵌套的SDK有接口调用就有点尴尬,如果还超频就更尴尬。
-答3:最终责任都在APP。所以现在做法是集成一个新的SDK,通过技术手段,管控所有SDK的行为。
-追问:请问现在业内有类似的实践吗?
-答4:这个就比较技术了。最笨的就是hook手段。实践也是有的,一些大点的公司自己做了,大概手段就是管控SDK行为,允许的做白名单放行,不允许的,如果偷偷拿用户设备信息,直接拦截或者返回一个假的。外面评测机构也有自己开发的。我理解梆梆,爱加密这种应该都有。
个人信息保护负责人由谁担任
-问:大家公司里的个保负责人都是谁来担任呀?什么层级的?
-答1:知道某网约车行业的公司曾经信息安全负责人是CEO后改为CTO。如果是搭人员架构的话 负责人一般都会放C Level的吧。
-答2:应付监管现在定了是合规负责人,但实际上内部还没有定论。
-追问:我了解到的,有CTO、合规部门负责人、法务部门负责人。技术口、legal口、compliance口都有,但总感觉后两个话语权弱了点。
-答4:很多公司没有让部门负责人担任这个职位。
-答5:律所也建议过。个保负责人不建议级别太低的。最好是一把手。监管也要看形势的。你要是派个小喽喽当,搞不好出不来了。真一把手,也不管小事大做。而且真罚款,一把手肯定罚不了的。公司掏钱。小喽喽要是公司不管你死活,就你自己掏钱。10万人民币了。钱也不是天上掉下来的。
-答6:可考虑由党口负责人担任此职务。
APP数据归属
-问:APP运营数据由APP实际运营者产生 ,APP软著人为另一法人主体 ,问软著人有权要非个人数据吗(无软件授权许可约定)。开发者主体为运营者。
-答1:补个许可吧。数据归属肯定是开发者/运营者。无许可APP怎么上架的。
-答2:看合同关系。APP著作权,可以是一家公司以购买、租用方式向开发这购买、租用,购买方为数据控制者、归属方,另一方为处理者。软著方委托,另一家公司运营,是委外处理合同。软著方就是数据控制者、归属方,另一方为处理者。
-答3:这个还是看合同的。有公司的APP软著和运营都是A公司,服务器和数据在B公司。B公司属于数据受托加工方,数据归A公司所有。所以证书也不一样。ISO27001是B公司的,等保是A公司的。员工也是B公司的。
-答4:有时出于风险隔离和业务隔离,会将技术和业务运营用单独的主体。比如云计算公司和项目运营/销售公司,前者负责系统、技术研发,也方便单纯技术产品的b端销售和接入;后者单独搭建平台运营。
DPO与数据安全负责人的关系
-问:GDPR下的DPO,对应的是我国的数据合规第一责任人,还是数据合规部门的负责人呢?
-答1:随意,但无法对应各种法中的“XXX负责人”。
-答2:均可。
-答3:目前根据国内立法,网络安全负责人,数据安全负责人和个人信息保护负责人必须要设立的。金融监管已经查过了,也要求金融机构进行整改了。
-追问:三个负责人可以兼任吗?
-答4:没有禁止性规定即可兼任。不过很多国企已经确定了网络安全负责人必须是党政一把手。
个人信息保护负责人由谁担任
作者:数据何规来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。