数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
由此,我建立了一个小规模的社群,和朋友们讨论数据合规相关的问题。我相信其中的部分讨论是兼具共性和分享价值的。初步计划每周一次,对群聊内容以问答的形式进行梳理、共享。希望对你有所帮助。
CONTENT
「通信网络安全防护测评怎么做」
「债权转让个人信息流动」
「未成年人个人信息告知同意怎么做」
「算法公示怎么抄作业」
「个人信息保护负责人设置」
「隐私政策更新弹窗」
通信网络安全防护测评
-问:有没有群内大佬了解通信网络安全防护测评大概测评的范围呀?
-答1:和漏洞平台一个路数。
-答2:更接近区块链备案。
-答3:有自评估方法,做自评估报告,然后定级。可以找你们的等保测评机构再多要一份风险评估报告。
-答4:如果是通管局新要求的话,跟等保差不多。
-答5:两个定级方法不一样。是通管局很早的要求,只是以前不查,这几年要求越来越高。
-答6:通管局有个通讯网络安全符合性测评,简称符合性测评,目前就上海和深圳有要求。
债权转让个人信息流动
-问:债权转让情况下,将债务人的身份信息给到债权受让方,是否需要单独获得债务人同意?
-答1:这种情况,债务人并不是债务转让合同的当事人,因此走不了履行合同所必需。而且似乎也没有法定义务可以走。在进行借贷时事先签单独同意函也没有用,因为那时候也不能预测债权受让人是谁。
-答2:感觉如果形成了债权转让的合意,原债权人就需要将债务人的相关信息提供给受让方。否则受让方怎么去实现债权就是个问题,不知道是不是能(强行)解释为民事关系中的法定义务。
-答3:我个人不成熟的认为,是应当豁免一定范围内个人信息的单独同意的。债权转让合同的标的是债权转让的权利义务变更,债权作为请求权,自然应当具有可确定的请求对象,这是债权形成与转移所应当具备的要件。因此在一定程度上为了履行债权转让所必须,也因当提供债务人的部分信息,例如主体名称。但这个尺度在哪里我还没有想好,再结合转让人对债务人的通知内部能不能内化这种关于个人信息的告知义务,也值得思考。但如果个保法会之间干涉到传统法的正常运行,我个人理解应该也不是其本意,应当为了避免滥用而不是连很多正当使用都被限制了。
-答4:我提供一个思路:1)如果是债务人是个人,适用个保法第72条豁免适用;2)如果是非个人借贷,则债务人信息不属于个人信息。以上思路不能涵盖所有场景。
-答5:EDPB 2019年发的指引,其中第23段至39段讨论了何为基于GDPR Art.6(1)(b) ,即数据处理是为履行数据主体作为一方的合同所必需。更多强调的是为履行合同的客观必要的个人信息处理行为,才能被此合法性基础所涵盖,并发出了扪心四问(第33段),供参考。详见:EDPB关于GDPR中合同必要性指引。
未成年人个人信息告知同意怎么做
-问:如果旨在避开处理未成年人个人信息需征得监护人同意这个实际操作中比较tricky的问题,而选择不面向14岁以下未成年人提供服务,会不会存在其他的法律问题?
-答1:如何实现不向未成年人提供呢?人脸识别还是用户自己声明?
-补充:隐私政策声明+生日信息识别?不过实际中很难保证绝对不收集14岁以下未成年人信息。
-答3:可是生日信息识别这一步已经处理个人信息了。
-答4:举个例子,给小孩买保险。身份证,出生证或者户口簿信息你都收集了。
-追问:如果是对年龄要求不太敏感的服务呢?比如点外卖网购这种。
-答1:这种情况下地址手机是谁的呢?我觉得也不用太过严格地落实,弄个加减乘除验证码就好了。
-答5:之前有个国标《告知同意指南》的附录 关于未成年人信息的告知同意,有一个示范。


-答6:这个国标还是征求意见稿,正式稿一直没出,需要慎重参考。
-答7:前PIPL时代的标准都该慎用,包括《个人信息安全规范》。
算法公示如何抄作业
-问:大家有看到哪个app按照算法推荐规定,做了规则公示或者标签吗?
-答1:美团外卖“订单分配”算法公开。
-答2:对外公布的话,美团、今日头条(算法原理(全))、微博都有。嵌在App里的话,滴滴出行的平台规则里有公示派单规则,美团App隐私设置也有所谓的内容推荐算法说明和广告算法推荐说明,但内容很水。
-答3:豆瓣评分、微博热搜也以类似的形式做过算法说明。
微博热搜管理规则:https://share.api.weibo.cn/share/274664449.html
豆瓣电影评分八问:https://www.douban.com/note/529770230/?_i=3100287f25pB3r
此外,美团还有另一个算法公开:让外卖配送算法更透明,让更多声音参与改变。
个人信息保护负责人设置
-问:刚刚听讲座,一位前辈介绍在上海50%以上的DPO设在法务部,大家怎么看?
-答1:我觉得应该在安全部门。
-答2:DPO这个角色,如果公司没有专门的数据合规部门,那么法律合规或者技术团队数据管理部门会比较适合。
-答3:安全部门也行,就是要看安全部门的地位。
-答4:上海不是明确说了不建议由法务部门履行合规管理职能吗,不过那个只是杨浦区检察院的建议。
-答5:我们借着杨浦检察院的那个指引,试图把DPO的事情推出去了,但法务部会配合法规政策解读工作。
-答6:放哪决定成本出在哪,出了问题谁主责,所以在这个阶段 IT也好安全也好包括法务,都不希望成为主要负责部门,除非真的有专门的部门了,有这个部门的也都是非常重视且愿意划预算的。
隐私政策更新弹窗
-问:隐私政策变更,一定要在弹窗里告知变更的全部内容吗?
-答1:弹窗勾选就行了吧,在给个隐私政策超链接。
-答2:突然想起来,为什么印象里从来没看到过微信隐私政策更新的弹窗呢。
-答3:可能是非重大变更,抖音好像也是消息通知比较多。
-答4:更新并不必然触发弹窗。
-答5:个保法生效时更新微信会有弹窗,除此之外没怎么见过。
-答6:上线新功能才需要弹窗,隐私政策文字表述无需弹窗。
-答7:也可以从用户体验的角度看这个问题,相信用户也不希望有任何改动就弹窗,说到底实质重于形式。
算法公示怎么抄作业
作者:数据何规来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。