数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
由此,我建立了一个小规模的社群,和朋友们讨论数据合规相关的问题。我相信其中的部分讨论是兼具共性和分享价值的。初步计划每周一次,对群聊内容以问答的形式进行梳理、共享。希望对你有所帮助。
CONTENT
「单独一个手机号是个人信息吗」
「某运动品牌数据转移通知的合规性」
「数据处理服务行政许可」
「敏感个人信息的特定身份的范围」
「笔迹是个人信息吗」
单独一个手机号码是个人信息吗
-问:通过一个手机号与其他信息关联从而识别个人信息主体身份的情况,这个就不说了,毫无疑问,肯定是个人信息了。对于单独一个手机号,是否是个人信息呢?
-答1:通过这个手机号,如一打不通电话、二发不了短信、三搜不到任何相关的微信、支付宝、抖音之类的,那应该确实是瞎编的,就不算是个人信息了。(想起多年前12306刚开始上线时,不核验乘客身份证号真实性的时候,有黄牛党通过一些规则批量生成假的身份证号码占座抢票的事情)
但是,如果能通过这个手机号搜到一个人的微信/支付宝等,那就算是个人信息了,即便是瞎编的。我认为,这种情况算是与其他信息关联识别个人信息主体身份的情况。刚说的支付宝转账的情况,对方姓名一般会打码,但有些时候通过一些常见字和取名习惯猜测,或许可以猜出收款人全名真名。(之前还有人通过这种方式给收款人小额打款留言骂收款人,这应该算对他人造成骚扰或影响生活安宁的情形吧)
再比如,房产中介A将一批业主手机号(仅手机号,没其他任何信息)给了另一机构的B,B虽然不知道这些手机号对应的个人是谁,但仍可对这一批手机号一通营销(骚扰)或者诈骗。
-答2:我觉得号码能打通就算个人信息。
-追问:有些账号可以设置绑定几个手机号码,通过短信验证一般也不会再去校验是否为该账号主体;或者名字相同+号码不同+收件地址相同。对平台或运营商而言,是不是要做到每一个账号项下除了验证还要进一步核实姓名/id +手机号码,甚至要求征得其他手机号码机主本人同意?
-答3:我认为这是安全、风险、效率、体验等多种因素的平衡,不可能所有的业务场景都采用同等程度、强度的安全措施与风控机制(没有谁会花一万块的成本去保护价值一百元的东西)。
平台责任:对于平台而言,平台根据《网络安全法》要求让用户绑定了手机号并采用了短信验证码进行身份验证,那么它作为平台已经尽到了必要的、应尽的责任与义务(做到这一步,监管也不会再说啥)。如果让用户提供身份证号、照片验证,则很多场景下超出必要范围。对于(境内)电信运营商,它这一端肯定是做了身份实名验证的(不赘述),平台和电信运营商二者结合起来即实现了“前台匿名/后台实名”的效果,这是一种平衡(妥协)。例如,平台上某账号出了事情,虽然平台不知道这个用户到底是谁,但有关机构一查就知道了。
当然,也存在本人用他人手机号绑定的情况,但这种情况相对来说非常少,要么是用比较熟悉的人(如家人、朋友)的手机号,要么是用短信接码平台提供的公共手机号(对于通过某些途径搞到不用实名的号等极端情况,略)。因此,在当前大环境下,通过手机号验证的情况虽然做不到100%的实名验证,但这已能覆盖绝大多数的情况,几方平衡下来也就够了(也只能做到这个程度了,不可能所有场景都要提供身份证,至少目前)。
进一步的安全与风控措施:
1、有的平台在“手机号+验证码”的基础上,还可增加一些安全风控机制,如黑名单号码池,即检测到用户提交绑定的手机号是一个高风险号码,则禁止其绑定。对于高风险的定义,各家平台各有各的规则,比如频繁注册、接码平台共用号码、黑灰产号码等。(我用短信接码平台绑定了CSDN的手机号码并注销了账号,但试了很多次搞不定网易邮箱,想必网易是有类似的风控机制)
2、涉及资金交易、征信等重要敏感的业务场景,除了手机验证码外,姓名、身份证号、银行卡实名验证、资金同卡进出、甚至人脸识别,自不必说了。有了前面这些措施,至于用户绑定的手机号是否是本人的,我认为这倒是相对次要的了。
可以看看这个新闻:一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链。
某运动品牌数据转移通知的合规性
-问:刚刚收到个短信,这样合规吗?
【某运动品牌】尊敬的用户,作为全球业务调整的一部分,我们将同步转让A在中国大陆地区的业务。如同其他资产一样,A在中国大陆运营过程中收集或生成的数据,将于2022年5月1日转让至A公司(“接收方”),其中可能包含您的个人信息。转让完成后,我们将不再保留您的个人信息。接收方将遵循当地法律的要求,继续保障您的个人信息权益,并履行个人信息处理者的责任和义务。您可通过021-XXXXXXX联系接收方,以行使您的个人信息权利。 若接收方变更个人信息的处理目的或方式,将按照当地法律的要求重新取得您的同意。
-答1:有合并分立导致的个人信息移转不用单独同意,只要告知就好。
个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
《个人信息保护法》第22条
-答2:感觉这个通知行文有些模糊,不知道是否有意为之呢?
【某运动品牌】尊敬的用户,作为全球业务调整的一部分,我们将同步转让A在中国大陆地区的业务(给谁?)。如同(谁?)其他资产一样,A在中国大陆运营过程中收集或生成的数据,将于2022年5月1日(由谁?)转让至B(“接收方”),其中可能包含您的个人信息。
-答3:反正没有100%合规,只有降低风险。更流行的说法是“削减风险”。其实对风险的三个选择:take it, leave it,transfer it。
数据处理服务行政许可
-问:请教下大家,数据安全法第34条“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。” ——现在有哪些业务是要取得行政许可的吗?
-答1:数据交易有许可证吗?比如那些数据交易所,是不是要拿牌照?
-答2:增值电信业务许可证?比如最基础的IDC。或者EDI算吗?
EDI许可证,即在线数据处理和交易业务许可证。B21是第二类增值电信业务,是指运用与公共通信网络或互联网相连的各类数据处理与交易/事务处理应用平台,通过公共通信网络或互联网用户提供在线数据处理和交易/事务处理的业务。在线数据处理和交易处理业务包括交易处理,电子数据交换业务和网络/电子设备数据处理业务。与淘宝,京东等在线交易平台类似,EDI许可证是合法经营最基本的需求和条件。
-答3:我理解数据处理本来就是很广的范围,是不是理解为A业务需满足自身的行政许可,且A服务可以被认为数据处理,则适用此条。
-答4:这里的行政许可更多是不是指营业执照那种。万国这种营业执照上的经营范围是不是也可以算。
-答5:涉及密码的很多业务本身是数据处理,也会涉及很多行政许可,比如国密局的电子认证服务使用密码许可。
敏感个人信息的特定身份的范围
-问:个人敏感信息中的特定身份的范围具体指什么?我理解有宗教信仰、党派这种。
-答1:法院院长,军长等。具体可参考下文:
(一)根据中组部、公安部等5部委印发的《关于加强国家工作人员因私出国(境)管理的暂行规定》(公通字[2003]147号)及教卫党委有关通知精神,结合医学院及附属单位实际,特定身份报备人员范围应为如下:
1、在职和退(离)休的市管干部;
2、所有正处级以上干部;
3、各单位班子成员、院长助理;
4、各单位以下重要岗位人员
(1)院长办公室、党委办公室负责人;
(2)组织、纪监审、人事、财务、资产、科研部门负责人;
(3)产业部门负责人;
5、涉密人员(涉密科研项目负责人、机要员等);
6、其他(由各单位根据实际情况自行确定)。
-答2:看看法工委和最高院的态度吧。
法工委的话不多,但是很重要:“对个人人格尊严和社会评价有重大影响的身份信息”。比如说LGBT群体?
最高院的书介绍了条文变迁,草案中的用词都是“种族、民族”,这些也肯定是。
-答3:我感觉还有一种情况可能就是涉刑、刑事处罚的身份或身份历史,包括罪犯身份、受害人身份。
笔迹是个人信息吗
-问:每个人的手写笔迹都不一样。那么,手写笔迹算个人信息吗?
-答1:算,笔迹与签字不同。一定是签字分析后的结果,类似声音和声纹。如果仅仅是签名、签字,我理解也算的。我可能会把笔迹作为敏感个人信息分类。笔迹可以带来歧视。用笔迹做性格分析,打标签。而把签字,非签名作为普通个人信息 。
-答2:笔迹一旦被复制,可能会给主体造成重大损失,赞同。签名被伪造还能鉴定笔迹,笔迹被高仿可就难喊冤了。越来越清晰的感受到了技术和法律对待同一问题的不同视角!从应用场景、法律后果性质、证据效力,各个角度来思考。
笔迹是个人信息吗
作者:数据何规来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。