数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
由此,我建立了一个小规模的社群,和朋友们讨论数据合规相关的问题。我相信其中的部分讨论是兼具共性和分享价值的。初步计划每周一次,对群聊内容以问答的形式进行梳理、共享。希望对你有所帮助。
CONTENT
「遥感卫星数据可以买卖吗」
「共同处理的界定」
「失联修复的合规性」
「豁免告知的理解」
「东数西算」
「刷脸考勤的合规性」
遥感卫星数据可以买卖吗
-问:有群内大佬了解过“中国科学院遥感与数字地球研究所”吗?(网址:ceode.cas.cn)有遥感卫星数据查询和标价,还可以下单购买,不应该构成重要数据了吗?
-答1:这块应该是归测绘成果有关规定来管理的,如果达到一定精度会构成重要数据(根据此前重要数据的国标,但没说精度是多少),另外测绘法律法规里对于属于国家秘密的测绘成果也有范围划分,可以公开购买的应该都是脱敏不涉密的,一些浅见。
根据《测绘成果管理条例》,下列测绘成果为基础测绘成果:
(一)为建立全国统一的测绘基准和测绘系统进行的天文测量、三角测量、水准测量、卫星大地测量、重力测量所获取的数据、图件;
(二)基础航空摄影所获取的数据、影像资料;
(三)遥感卫星和其他航天飞行器对地观测所获取的基础地理信息遥感资料;
(四)国家基本比例尺地图、影像图及其数字化产品;
(五)基础地理信息系统的数据、信息等。
《基础测绘成果提供使用管理暂行办法》:提供、使用不涉及国家秘密的基础测绘成果,由测绘成果资料保管单位按照便民、高效的原则,制定相应的提供、使用办法,报同级测绘行政主管部门批准后实施。
-追问:ceode官网 有价格的数据产品,看了眼 是基础测绘成果的(三) 遥感卫星和其他航天飞行器对地观测所获取的基础地理信息遥感资料;关于精度,测绘领域一般精度指什么啊?经纬度?还是说精确程度,是不是能定位出“卫星发射地”的具体位置?隔行如隔山。
-答2:记得此前向各地自然资源部门咨询,什么标准才能构成“实景影像”(大概就是谷歌实景地图),是否必须有定位信息,得到的回复也都不太相同。
参见:2020年7月出台的:《测绘地理信息管理工作国家秘密范围的规定》及《测绘地理信息管理工作国家秘密目录》。
共同处理的界定
-问:如果某技术公司参与数据治理平台的搭建,包括:结构化改造、设计搭建平台的过程中融入了自身对数据治理的理解。那么这个公司算不算是与客户共同处理数据了呢 ?数据治理平台的软件著作权属于客户,数据也不在技术公司落地。
-答1:不算,共同处理,因为技术公司不决定处理目的,只是为实现客户的处理目的而提供服务。
-答2:我觉得技术公司不算共同处理,举个例子,人脸识别的门禁系统,技术服务商为客户设计的时候也会基于自己对数据合规的理解设计产品功能满足合规要求,但这并不影响场所使用者是个人信息处理者的定性。
-追问:那再举一个比较极端的例子 如果技术公司开发了某项功能 客户不知道 委托协议里也没有提到该功能 那么技术公司算不算参与了这个环节的数据处理呢?
-答3:不算,除非有数据收集功能。
-答4:感觉还要看平台方是否尽到一定审查义务,如果平台方审查了,受托方技术很厉害还是恶意逃过了,那我感觉都有点非法控制计算机信息系统的味道了。我觉得受托方就是供应商提供技术服务,顺带处理了数据,应该是被圈定在受托处理范围内的。
-答5:平台对外承担侵权责任,然后向平台建设方主张违约责任。如果涉刑的话,看平台方履行审查义务的情况,做过审查并要求承诺的话,那就是技术方自己担责。
-答6:或许也可以进一步考察相应设计是否影响个人信息的目的、期限、信息种类、保护措施等(在比较的意义下,就是考察GDPR相关指南中的“实质性处理方式”)。
-答7:可参考程啸教授的《论个人信息共同处理者的民事责任》一文。
失联修复的合规性
-问:跟大家咨询个小问题:a客户在申请业务的时候填写了b的手机号作为联系人。由于联系不上a,机构给b打电话,b告诉机构可以通过电话号码c联系客户a。机构给号码c打电话,机主否认是a。问:此时,机构能不能把号码c提供给第三方验证号码c和客户a的关系?如果可以,在第三方验证认为是a本人时,是不是可以继续通过号码c去联系a?
-答1:机主都否认了,你再联系人家还否认不行吗。你就验证了再给人打电话说,我验证了这个就是你,你承不承认吧。
-答2:运营商有个失联修复,感觉只能他们干吧。法院和淘宝好像也有这种服务。
-答3:应该再加一个预设场景,a投诉到监管,监管转件到金融机构后,金融机构怎么摆平投诉件。号码保鲜,保险公司对孤儿单客户常用的失联修复手段,借助运营商做的。a本人没授权金融机构使用号码c吧,b虽然是联系人,但b没法代表a的意志,其他合法性基础也感觉走不通。一般金融机构很少有亲自做外呼的,都是给第三方去做的,但是第三方行为无法直接豁免金融机构的法律责任,而且会多出一层向监管解释合作关系的义务。
-追问:如果隐私政策里约定了,机构可以通过其他渠道获得a的信息并使用呢?
-答4:我觉得这里的“其他渠道”是需要进行释明的,这个表述不够具体,既不符合公开透明原则,也没有尽到披露处理方式的义务,难以构成一个合法有效的授权。不过银保监和工信部对个人信息授权合规性的实际关注要点似乎有所不同,感觉银保监对灰色授权问题的态度更近乎“金融机构能与金融消费者和解”就行...
-答5:我觉得还好 a留手机号时 就不能留b的 这本身就是违约吧 。现在金融机构找到了a的手机号c号,c号主不承认是a。作为金融机构获得a的手机号有合同基础 号码验真如果就是a 那有什么违规的 本来金融机构就有权利获取a的手机号,验真不是a的 金融机构不获取 这个c的号主人是谁的身份信息就没问题啊。
豁免告知的理解
-问:关于《个保法》第18条第1款的理解:“个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。”

根据程啸老师和江必新老师的理解,“法律,行政法规规定”只用于限定“应当保密的规定”,而不限定“不需要告知的情形。我想问一下老师们,在下面两个场景中还需要告知吗?第一个是使用公开个人信息需要告知吗,如果处理者改变了原来是公开目的呢?第二个是招聘时投简历属于“不需要告知的情形吗?
-答1:我之前一直以为,无需告知,也是得法律规定的。按照程啸老师和最高院的理解,那感觉有些宽啊。
-答2:法工委杨合庆老师的观点如下:
-答3:法律法规规定肯定是限定后面两种情况:应当保密或无需告知的呀。实务中比较常见的场景有 利用企业公开的法人,股东,高管信息 进行营销推广活动,这算不算合理利用。
-答4:朱老师新书中观点如下。
东数西算
-问:有朋友了解东数西算工程吗?算力中心是为公共数据服务,还是对外招租,商业实体去租用哦?
-答1:可以参考这篇:万国数据 (09698.HK)“东数西算”正式启动。
我知道万国数据去宁夏拿地,建自己的数据中心。
-追问:还是不太懂商业世界是怎么玩的……现在枢纽和集群明确好了,那各种基础设施的厂商、服务商入场了吗(都需要那些类型的服务商/厂商呢)?
-答2:类似于万国数据这样的公司就是服务商。枢纽和集群是地方政府有便宜的电力资源和土地资源,优惠招商政策。
-答3:万国主要是做IDC的吧,整条产业链很长
-答4:大概明白了,国家划了几个区域专门打算建造算力中心——数据中心运营商去买地、建算力中心(数据中心2.0)+一些能源企业的支持+建造企业+网络服务(我看华为也发解读了)——算力中心最后对外招租(服务枢纽对应的集群点)——集群点内的企业把自己的数据托管到这些算力中心去。
-追问:像这些IDC运营商,他们会涉及到什么数据合规的业务吗?比如他们帮客户存储数据的时候,是能直接帮客户分类分级吗?还是只是给客户的数据提供一个存储的“场所”。
-答5:最后一点可能理解不一样,算力的调度需要考虑最终数据使用的性质(例如冷热数据)和网络架构规划(考虑时延之类的),一般是服务商提供多个节点满足用户的不同需求,没法说只局限在一个物理区域。IDC更多还是传统的牌照基建风火水电节能和网络安全。算是物理层、逻辑层的东西多一些,和现在大家讨论用户界面的“数据合规”可能还没太结合。但如果是数据泄露或者危机演练也会考虑IDC的情况。
-答6:是,他们应该更注重的是数据安全和网络安全。
刷脸考勤的合规性
-问:公司刷脸考勤的场景下,员工接受刷脸打卡的行为算不算对公司处理人脸信息的默认同意?
-答1:国内没有默认同意这一说法。从合理性角度,是否构成同意,个人认为需要结合员工刷脸后的动作确定,如果员工前几次打卡后提出异议,个人认为是不构成同意的。真的同意的没那么多事,不用补也没问题。有异议的不补还好,一补就拒绝签字,明示拒绝。这个跟劳动法领域让员工签字确定新制度的实践有异曲同工之妙。有物业公司采用opt-out机制,拒绝的边上登记申领门卡。
-答2:前提是员工一直没有异议。我在想还是补书面同意比较保险 因为首次采集的照片要长期存储 而动作默认更多是针对采集行为。应当告知的有“个人信息的处理目的、处理方式、处理的个人信息种类、保存期限”,这里面种类(可能是视频、照片)和保存期限是无法被员工直接感知的。
-答3:补采集同意。关键点,离职有没有删。
-答4:
根据《个保法》第14条的“充分知情”要求,同意是没法默示的。同时告知也没有做。不合规。
共同处理的界定
作者:数据何规来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。比如,某个特定的场景抄哪家大厂的作业比较合适。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。