隐私政策修改要征求意见吗

来源:数据何规

文章摘要
数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
由此,我建立了一个小规模的社群,和朋友们讨论数据合规相关的问题。我相信其中的部分讨论是兼具共性和分享价值的。初步计划每周一次,对群聊内容以问答的形式进行梳理、共享。希望对你有所帮助。
• CONTENT •
「企业如何申请VPN访问外网」
「新增SDK隐私政策版本号」
「征信机构处理个人信息合法性」
「游客模式信息留存」
「SDK双清单披露」
「隐私政策修改征求意见」
「个人信息出境的认定」
「有赞与品牌方间个人信息处理关系」
「自动化决策认定」
「广告主处理个人信息的合法基础」
「个人财务报销数据保存期限」
企业如何申请VPN访问外网
-问:公司要使用VPN访问境外网络开展业务的,有什么相关的规定和要求吗?如果不自己搭建,可以走什么渠道合法的使用VPN?需要跟通管局备案吗?背景是公司在海外业务,需要访问海外的服务器、系统等。想合法合规地使用VPN进行访问。
-答1:找移动运营商租,可以看看这篇:试析我国对于VPN的监管以及企业如何合规使用VPN服务。
-答2:使用vpn跨境和租用跨境专线是两个概念,如果有业务需要那就租用三大运营商的跨境专线吧,不涉及跨境传输个人信息和重要数据的话,合规风险不大,当然前提是你的业务是合法的,不是黄赌毒这种。
-答3:还可以参考这几篇:(1)国内VPN资质怎么申请;(2)关于VPN的申请和使用;(3)VPN的法律基础分析及典型案例评析;(4)关于翻墙法律问题系列文章。
-答4:我理解租用国际网络是需要备案的,但这种备案在三大运营商是他们负责为其客户做备案。
互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起30日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案,并及时报告本网络中接入单位和用户的变更情况。
《计算机信息网络国际联网安全保护管理办法(2011年修订)》第十二条
新增SDK隐私政策版本号
-问:现在隐私政策都有生效的版本日期,如果只是增加了一个新的SDK(只有用户主动点击参加某个活动才用到这个SDK),SDK清单是隐私政策的附件,实操中大家会把这个变化算成隐私政策更新了一个版本吗?
-答1:是识别出来了原有的SDK还是新增SDK,新增肯定算新版本。是否属于重大更新则看SDK自身。
-答2:有的厂,改两个字,隐私政策就换个版本号。
征信机构处理个人信息合法性
-问:根据《征信业管理条例》《征信业务管理办法》,征信机构对个人不良信息保存5年。那征信机构又是基于什么理由,对非不良的个人信息进行保存呢,比如百行、朴道掌握的信贷记录,评价信息?
-答1:百行、朴道是市场化个人征信机构。基于银行和借款人签的《征信授权书》进行报送,征信机构留存。一般个人信息的流通都要有业务场景,但是征信机构不用,可以合法“贩卖”个人信息给银行,因为事先要拿牌照。
-追问:合法“贩卖”,不予删除的依据是什么呢?证券机构也是持牌,但是对于资料,交易记录也是有法规要求的存储期限的。
-答2:征信数据的管理后续会有特别法规定。目前的三家机构,控股方都是国有资本。这些数据不仅有个人信息的属性,也是重要数据的属性。
-答4:这块确实有点问题。条例和办法只对不良信息的保存期限做出了要求,某种意义上是不是默许其他类的征信信息可以一直存储?《条例》因为13年出来的,那会也没有个人信息保护法,而且当时也只有人行征信中心一家官方机构,还好理解。不过《管理办法》年初刚出台,也没考虑到和个保法的衔接问题。
游客模式信息留存
-问:在APP首次运行,隐私政策的弹窗中。看到现在有的APP有提供不同意进入基本模式(或者游客模式),游客模式下用户可以浏览文章、视频等。用户浏览文章或者视频的记录按照35273的定义是个人信息,属于个人上网记录。这种合规吗?
-答1:游客模式本身就是救济方案,正常浏览文章、看视频、是可以不收集个人信息的。如果在游客模式下收集的浏览行为记录属于个人信息。
-答2:监管的要求是不收集任何个人信息的浏览模版,复杂的App做不到。
-追问:那在隐私模式下,收集了IMEI,这个时候还不知道用户身份,这个算个人信息吗?
-答3:IMEI具有可识别性,是个人信息。仅浏览文字时,改善游客模式下的用户体验并不具备正当性,收集个人信息不符合最小必要性原则。
SDK双清单披露
-问:用了三方SDK,仅本地处理个人信息,没有给三方回传。这种情况有必要在双清单披露三方主体吗?
-答1:要的,这情况还需要披露一下是否本地化部署SDK。
-答2:首先,APP收集了个人信息。我们在第三方SDK清单里面,列的都是收集/使用的个人信息。所以写没毛病。而且从检测技术上来说,他通过技术手段发现你在收集。但是你在SDK清单没列,甚至这个SDK都没写。你觉得检测机构会怎么做。目前检测技术有2类,静态扫描和动态行为分析。如果通过静态扫描,发现你内嵌了个SDK,例如A SDK,但是你没写。直接认为有问题。如果静态扫描发现你声明了某个权限,然后整个隐私政策+SDK清单没写这个权限使用。也直接认为有问题。然后才是动态行为分析。发现A SDK在某个流程获取了MAC地址。然后找SDKs清单,看到了A SDK,但是收集信息列没有mac地址描述。直接认为有问题。所以监管是不管你是本地用还是远程用。因为技术上很难分析的特别清楚。技术上能分析清楚的,就是你收集了。通过判断的就是对应隐私政策也描述了。
-追问:现在SDK也必须本地化么?
-答3:不用,还是那句话,要写清楚。合法合理使用。当然这仅是第一步。第二步就是人为判断,是否符合最小必要原则。法律支撑是一块。符合个人信息保护规范要求又是另一块,法律支撑只是解决了最小必要性的难题。
-答4:不是,但原则上敏感个人信息不出公司。
-答5:不是,看业务需求。
隐私政策修改征求意见
-问:隐私政策的修改,需要按照电商法的规定提前公示、征求意见吗?隐私政策算服务协议和交易规则吗?目前没看到哪家修改隐私政策征求意见的,但其他规则是有的。
-答1:隐私政策不算服务协议和交易规则吧。我觉得个保法说的很明显,就是向用户【告知】,隐私政策就是个人信息处理规则。
-答2:不算,但可以参照适用,往个人权益保护这个核心点上去考虑解决方法就好。
-答3:不征求,但是会比较清晰的通知。
-答4:我理解隐私政策兼具获取个人主体同意和处理个人信息承诺的双重属性,如果隐私政策修改涉及处理信息方式、目的等的实质修改,应该重新获取同意。但不用征求意见。不涉及实质修改,将修改内容告知即可。
-答5:未来《网数条例》生效就另说了,那个要求大平台提前30个工作日征求意见,还要说明不采纳意见的理由。
-答6:只能说,还没看到有企业因为没有征求意见而被处罚。
个人信息出境的认定
-问:如果委托境外主体处理非个人信息数据,算不算是数据出境呢?
-答1:根据《信息安全技术数据出境安全评估指南(征求意见稿)》
3.7 数据出境data cross-border transfer
网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。
注1:以下情形属于数据出境:
a)向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;
b)数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);
c)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
注2:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。
注3:非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。
-答2:根据史律师的文章:
境内处理者委托境外主体处理个人信息,境外的处理者本质上是以境内处理者的名义处理数据,发生在境外的处理活动不会触发《个人信息保护法》第3条第2款的域外效力或第3章中向境外提供数据的条款。因为受托者在境外的处理活动本质上是境内委托人的处理活动,境外的处理活动并不是独立的。
时雨行,公众号:送法上网思想实验:数据跨境规则的逻辑推导
-答3:对相应条款中提供概念的狭义理解可能成立。从个人信息保护法多处以“向其他处理者”限定“提供”出发,再考虑其他相关法律法规国家标准中紧密相关条款“提供”(例如,因业务需要,确需向境外提供……)的含义,对提供的广义理解亦有可能成立。目前可见的数据出境安全评估办法(上位法依据与概念体系均综合多部相关法律),相应条款亦未明确限定(或可谓足以涵盖)境内外涉数据出境主体间可能存在的关系类别。部分学者也倾向广义理解提供(如彭錞,2022)。如果以广义理解,相应条款的提供可能覆盖委托境外主体处理的情形。同期待出境安全评估办法会明确委托处理这一问题,并进一步明确其中综采不同法律行文(处理者及相关用语/运营者及相关用语)和兼用若干含义交叉概念(出境/提供、转移、获取/利用等)可能造成的困惑。估计会有相应的建议。
-答4:之前EDPB发布的关于GDPR第五章数据跨境转移法律适用的指导意见征求意见稿,里面规定的是否适用第五章规定的判断标准很有参考性。可参考这篇:图解EDPB《关于GDPR第三条适用与第五章跨境条款相互作用的指南(征求意见稿)》
有赞与品牌方间个人信息处理关系
-问:品牌方通过有赞小程序进行产品销售,有赞方面声称若没有品牌方的授权告知后台账号密码等,其无法访问到品牌方在小程序中的客户信息,包括建议记录等。对此,大家理解品牌方和有赞方面构成委托处理个人信息吗?或者技术的小伙伴们有赞方面的声称是否可信?
-答1:之前有遇到过类似问题,当时我们认定为品牌方和有赞是委托处理关系。有赞是SaaS,品牌方在有赞销售的数据存储在有赞的服务器里,有赞应该在技术上可以访问这些客户数据,但根据合同约定是不会去主动访问。
-答3:技术上应该是可以访问或处理,只是合同约定会说没有授权不能进行处理,即便不考虑访问和处理,但是存储是一定有的。应该还是构成委托处理关系。
自动化决策认定
-问:一个视频里,会自动选出算法认为最佳的几帧,截成图片给用户展示。这个功能是否涉及“自动化决策”呢?
-答1:自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。我觉得不算。
-答2:未必不算。
-答3:视频里有人也不算,除非你的剪辑有按照个人喜好。
广告主处理个人信息的合法基础
-问:媒体平台向广告主提供用户设备信息(包括可变和不可变的标识,且这些用户有的是广告主自身的原有客户,有的不是),再由广告主从中挑选向哪些设备发送广告。在这个过程中,对于不是广告主自身原有客户的设备信息,在其被广告主最终结合其他信息识别为特定个人前,是否达到《个保法》下“已识别或可识别的自然人有关的各种信息”的标准?是否应被认为个人信息且应履行个保法规定的义务?如是,广告主在聘请第三方进行投放分析时,如何取得处理的合法性基础?
-答1:相关设备ID可以协助识别出个人,走可识别的路径应该是个人信息。可是广告主连触达渠道都没有,告知同意没法做。
-答2:“可识别”应该还是限于某一个法律主体可识别吧,对这个主体来说只要识别不出来,就不应该课以个保法项下的义务;反过来说对某个主体不可识别的信息,结合其他主体掌握的信息,一定是能识别的,这种上帝视角的“可识别”,就没有区分的意义了。但是第三方分析公司有可能识别出来,它可能还有其他数据,数据融合后可能就重标识了。
-答3:《个人信息安全规范》附录已经广告ID是个人信息了。

-追问:如果确实属于个人信息,如何取得合法性基础?
-答5:间接收集,让媒体拿用户的授权同意?现在做个业务好难啊。有些平台的隐私政策里提到广告优化的时候,是说对外提供的时候,用去标识化、匿名化或加密等措施处理后,使接收方无法直接识别到用户身份。但我也不太确定,这样是不是就能达到个保法的要求了。
-答6:分享两点:1. 这种碰撞通常只有advertiseid,就是idfa,oaid,gaid这些。广告投放过程,除了自有私域中,通常不应该有不可变id。另外一般这种场景的ad-id可以支持hash后碰撞。2. 可能在于谈判地位了,通常常见的广告投放方会有这种人群包服务,广告主带着id的人群包去投放。
-答7:其实当前隐私政策最终目的就是,让用户知道并确认广告投放行为。
-答8:媒体方的广告主那么多,如果按个保法的要求,媒体方把用户信息给到第三方广告主,得披露广告主的信息,那得是多长的一个清单啊。可能只能作为附件了。
-追问:人群包可以展开说说吗?
-答9:人群包通常有custom audience和lookalike不同模式,基本逻辑都是广告主带着自己的advertising id包来投放,格式自选,可以支持特定哈希算法后的id。投放方根据这些id匹配,投放给命中的人群,或是和这些人群相似的人群。
-答10:分享几篇人群包的推送:(1)当没有人群画像时,腾讯广告人群包可以这么玩;(2)腾讯广告人群包玩法;(3)个性化广告与个人信息保护如何平衡的几点思考。
个人财务报销数据保存期限
-问:公司的个人报销财务数据,是怎么确定存储周期的 目前会计档案法要求保存30年 哪些属于会计档案法的会计档案保存范围 哪些属于可以删除的个人信息,应该怎么评估,有无可参考实践?还有个问题是如果既有电子会计档案又有纸质会计档案,是不是两者都有保存的必要?还是保存其一就可以?
-答1:保存期限和保存文件范围要参照档案法和会计准则,还要兼顾具体行业的特殊规定。电子凭证和原件的问题,以前会计准则对于凭证保存都是要求“原件”,不确定现在有没有与时俱进进行修订。像电子发票,本身就是电子形式,不存在纸质原件的形式。
-答2:我理解财务档案有很多是原件,比如凭证附带发票合同啥的,这些应该是按规定例如30年,和电子版无关。
-追问:我理解这些会计凭证应该是无法关联到个人的信息吧 就是一个会计记账凭证?但是实践中有些数据,比如一个员工出差,住过哪个酒店,再比如这个员工接待过哪个领导或供应商产生了哪些费用,能跟他个人相关的报销流程申请记录类似的数据存在两个问题:1.这些数据是不是需要在离职审计或者是相关的审计完成后删除?2.这种数据是否属于会计档案法要求保存的范畴。目前从我们财务的角度来看,他们认为都属于会计档案范畴。不知道行业是怎么处理这些数据的。
-答3:以外资企业人员招待政府官员的报销流程为例,按照公司反商业贿赂合规流程要求,事前需要提交招待申请,列明宴请事由,时间,官员的名字,参会员工的名字。事后申请费用报销,需要提交发票。财务据此做账形成会计报表。在这个事例中,发票、报表属于严格意义的财务凭证,一般来说不会包含个人信息;招待申请包含个人信息,基于中国法并不属于严格意义的财务凭证,但基于FCPA和SOX合规要求,又是必须的合规证明文件。基于上述分析,回到你的问题:1、申请文件是否可以离任后销毁,要基于适用法律来判断。如果是美资公司,答案是不可以,会违反FCPA等域外法规定。宴请申请文件本身严格意义上不是中国会计准则所定义的财务凭证。但不能据此就认为可以自由处理。这一定程度上是财务管理和个人信息保护法益的冲突,两者的权利位阶并没有绝对的高低。
-答4:员工报销基本都会涉及企业的财务审批流程和管理,报销关联的财务票据和记账凭证应是会计档案,会涉及公司审计和财务核算。
-答5:报销这个关联到个保应该是目前才提出来的新问题吧,比如可能有的酒店水单上带个人信息,财务把这个做凭证只是连带的,这个角度肯定算会计档案,甚至本来财务就需要验证是这个人本人住宿发生的费用。我理解只要不是财务单独提出需要员工个人信息的情况,都是无解,或者不是从会计档案这端去解决。宴请申请文件不是凭证本身,但是从财务内控角度可能会属于凭证该附带的。

技术驱动法律,专业成就未来