数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「大模型备案讨论」
「APP投诉渠道」
「注销反悔期」
「同意隐私政策的性质」
「设备码及VIN码是个人信息吗」
「个人信息保护联系方式」
大模型备案讨论
-问:A提供智能客服服务能力,给B端客户提供智能问答服务,A属于服务提供方还是技术支持方?服务提供方和技术支持方,区别到底是哪里?
-答1:都提供客服服务了,那肯定是服务提供者了。
-答2:这个gpt那会我们公司就要做,大家一致意见都是对B服务也算,然后是服务提供者。
-追问:目前没有chatgpt的算法备案成功案例吧?
-答3:应该不行吧,得有备案号。理论上通过三大运营商合法接入VPN的话,可以使用吧,但仅限内部使用,所以做不了备案。
-答4:是的,如果基础模式是没有备案的大模型,应该都过不了现在。
-答5:TC260的《生成式人工智能服务安全基本要求(征求意见稿)》堵死了使用境外大模型基座。
a)提供者如使用基础模型进行研发,不应使用未经主管部门备案的基础模型。
6 模型安全要求
-答6:所以微软声称自己不用备案,但可以配合企业去做备案,根本是白搭…
-追问:继续请教一个关于aigc合规的问题:
1、 A公司研发一款面相企业的aigc工具(类似智能客服、数字人)卖给B公司,这个工具不面向用户,不在应用市场上架。B公司利用该工具为用户服务。这里面A是技术支持者,B是服务提供者吧。但是算法备案的义务主体应该是A公司吧?
2、 如果A公司的产品没有获得算法备案批号,B公司使用这个产品有什么具体的行政合规风险吗?我看《互联网信息服务深度合成管理规定》22条,写的比较笼统,目前也没有检索到公开的处罚案例(因为没有拿算法备案,A或者B公司被处罚的)。
-答6:技术支持者和服务提供者都需要算法备案的。两个备案内容不一样的,侧重不同。文心一言是两个身份的备案都做了,因为他又To B又To C。
深度合成服务提供者,一般理解为直接面向C端用户提供产品的主体,直接提供APP、网页、小程序。
深度合成服务技术支持者,一般理解为面向B端用户的企业,通常通过API、SDK的方式提供技术支持。
填报时,技术支持者在算法策略、算法风险和防范机制方面,填写的内容更为简单,一般这部分内容会严格要求服务提供者填写。
-答7:这种相当于【B2B2C】模式,B公司利用A的软件工具,向用户提供服务。比如度小满接入百度的文心一言,文心一言本身已经过了算法备案,度小满也要再做一个备案?
-答8:要的,度小满本身是作为to c的服务提供者,而且一般接入的是通用大模型,关键词库也都不是完全一样的。
-答9:跟百度和字节我都对接过,都建议我备案。
-答10:这个场景还能理解,问题是一些不那么高科技的产品,就是一个智能客服,数字主播。B企业使用A的工具,也要备案是不能理解。
-答11:看是不是集成技术,如果直接是使用方,造完了形象就自己用,你就是使用者呀,集成后对客提供AIGC能力才要,我企业捏个脸,弄个虚拟主播,去口播新闻,这种肯定不需要备案,企业自己是AIGC能力使用方,和个人客户使用没区别。
-答12:同意。界面端做标识一下。
总结:反过来想想立法目的,国家为什么要求备案?很多答案就简单了。还有,需要备案的算法有很多种,AIGC只是其中一种?从内容管理的角度,AIGC的风险是最大的。分分钟搞个特朗普出来宣布战争。绘画风险也大,PS个名人艳照,风险也很大。所以,这块儿的监管,肯定会严格的。总而言之,问就是要备案。
APP投诉渠道
-问:现在消费者向监管举报APP乱收个人信息的渠道总共都有哪些呀?
-答1:这个能用,APP专项治理工作组。
-答2:网信办举报途径:https://www.12377.cn/
工信部投诉途经:https://www.12321.cn/
互联网信息服务投诉平台:ts.isc.org.cn
-答3:其实 APP专项工作组最好用,不过他们的公众号有问题,就是如果需要补充提交资料,好像找不到如何。
-答4:他们小组已经完成历史使命了,公众号现在也转移了。
总结:还可以发微博、小红书,转发量一大就管用了。
注销反悔期
-问:请问下大家,关于账户注销的反悔期,有强制的要求吗?
-答1:一般的没有吧(从实践反推),强监管领域会有吗?如金融。
-答2:看各地监管尺度自行决定,有的地方监管不允许强制设置或默认设置反悔期,有的允许设置。从账号系统开发和客服工作简单化而言,注销之后不再恢复是比较好的,但为了避免用户纠纷和反悔,要在注销流程中做多次增强告知提示,注销流程周期可以长一些(但最长15日,不是15个工作日),注销结果和账号权益损失告知清楚。如果仅仅为了维护用户量而强制设置反悔期而且没有明确告知,有些得不偿失,还是会有不小的监管侧风险(例如被认为是假注销)。
-答3:淘宝因为这个事,我记得被全国消协通报过。详见:http://m.cca.cn/zxsd/detail/30315.html
总结:不弄冷静期最好。
同意隐私政策的性质
-问:麦当劳文字更新了,但UI看起来没跟上。
-答1:好像有个案子【(2019)京0491民初23942号】,里面的意见是知道了不代表同意。详见:案例笔记:杜某诉知乎隐私政策更新案。
-答2:点击同意只是代表知道了。
-答3:是的,在个人信息保护的视野下,隐私政策这一法律文件的核心定位和本质是履行“告知”义务且仅是全量告知义务(绝非单独同意所需的“告知),而不是双务或单务合同条款,无需点击“同意”才生效,遑论有的数据处理活动还无需“同意”。
“同意”隐私政策的准确表述其实应该是“知悉”隐私政策,但用户习惯如此、很多监管方也这样要求,就约定俗成都写“同意”了。
个人信息保护法下的“同意”(consent)也不是合同法上的agree,就是两个东东。此前很多学者论述都阐述了consent的意义。但是司法界不少法官对隐私政策和consent的理解和理论研究还不到位,相比之下,有的监管机构要求用户同意隐私政策后也不能收集全部数据or需要提供纯浏览模式 其实反而更接近“隐私政策”本意。
想象一下,一位欧盟或美国隐私律师听说“隐私政策”需要consent才能生效、基于合同法上的请求权基础而直接可诉,会不会要晕倒。
-答4:35273也是这么说的,不宜视为合同。但是监管爸爸可不一定这么理解。
总结:隐私是否可诉,同意是否是意思表示,同意和授权的区别,都值得好好研究。
设备码及VIN码是个人信息吗
-问:各位觉得终端设备的序列号在产品激活前是否属于个人信息呢?
-答1:如果是的话,是谁的呢?
-答2:确实,识别不到个人。只有激活、绑定后才和个人有关系。所以35273里用序列号举例个人信息常见类型,我理解应该指的是激活后的?
-答3:参考VIN,其实激活后也很复杂。
-答4:是不是国内跟车企掰扯仅VIN码对于外部供应商不是个人信息,是基本不会成功的…
-答4:参考前期讨论,知识库都有。
-答5:最近欧盟那边也有独立售后备件市场vin码不构成个人数据的案例(C-319/22)。
-答6:只有少部分国家,例如沙特才不把交付后车辆的Vin当做个人信息吧。
-答7:从GDPR的角度,可以分析下游外部供应商,无法难道关联的信息使得下游能够识别到个人,也要求主机厂不要给关联信息。这样。对于下游外部供应商确实无法识别到个人(集团内部关联公司之间自己另一码事,可能会被认为是个人信息)。
-答8:欧盟法院有前提条件的,如果仅仅是VIN码,可以理解成纯数字,但是如果可以和其他信息相结合可以识别出个人,还是算个人信息的。总体上没有跳出GDPR的概念。所以法院的态度还是看案件场景,没有直接给死结论。
-答9:套国内PIPL也能得出类似的结论,但条件都比较苛刻、
-答10:车企基本都是围绕VIN码的,如果不区分,基本数据库里的全是个人信息,也没啥好分类分级了。
-答11:是的,并且欧盟法院也挺会打太极的,故意回避了对“什么是合理手段识别出个人”的解释,把这个问题推回给了原来的法院。
-答12:我记得“合理手段”之前也有指导意见。是不是来自一个group的,也是判断的关键。有谁能找得出EU的论述嘛…
-答13:C-319/22这个VIN判例里引的是之前Breyer案的论述 B案讨论的是IP地址是不是个人信息。
-答14:但B案也没有给出具体的什么是“合理手段”的解释。
-答15:对于下游提供的售后服务,vin 码都不是必须的,只要有有个code避免重复索赔即可。但车企往往不会做这个工作,而是直接给vin code…想拿“最小必要原则”掰扯,然而可能也无济于事。
总结:个人信息是什么,很难。按照关联路径,几乎万物都是个人信息,企业也难做了。
个人信息保护联系方式
-问:有没哪要求隐私政策必须写明个人信息负责人联系方式的?
-答1:不用非得一定是负责人,有个联系方式就行。
-答2:以前要人,后面改了。
-答3:个保法要求公示个保负责人联系方式,但不一定要在隐私政策。官网和隐私政策都有,一般就留个邮箱。
-答4:汽车行业有公布联系人姓名的要求,但未必是隐私政策。
-答5:个保法17条,《App违法违规收集使用个人信息自评估指南》评估项3。
-答6:负责人是指一号位吗,还是只要管这事情的人就好。
-答7:反正不要名字,一个邮箱就好。
-答8:监管会问你怎么不留电话。
-答9:过渡期,正在调整,回头补。
-答10:留个座机就成
-答11:感觉现在写邮箱的多,或者400,邮箱可以一个部门一起用。
总结:留个联系方式就好,邮箱或座机,有人响应就好。
大模型备案讨论
作者:何琛来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。