数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「车载终端需要ICP证吗」
「SaaS企业办公APP的运营者」
「网信办知网处罚」
「网络安全审查办公室和网信办的关系」
「公开个人信息出境」
车载终端需要ICP许可证吗
-问:请教个问题 车载终端需要增值电信许可吗?属于电信设备吗?车机系统(车机OS,就和手机系统一样的 比如小米miui系统)需要增值电信许可吗?
-答1:Tbox要进网许可证。
-答2:车机系统是说的哪个,底层的TBOX应该要,大屏那些不要吧
-答3:我怎么感觉大屏更需要呢,有的时候,比较容易出现B25类目下的服务。
-答4:大屏不就个显示器吗,信号还是Tbox接收,给到中央域控制器,再给到大屏。如果是硬件的话,你可以直接问相应的研发工程师,认证准入的事他们可能更清楚。主机厂一般只负责整车的认证吧。
-答5:车载终端上的应用商店不需要增值电信许可吗?
-答6:应用商店没说要增值电信许可吧,网信备案是要。
-答7:我也想问,增值电信许可哪里说必须要的啊?来源在哪里呢?
-答8:《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》(十)加强平台网络安全管理。车联网服务平台运营企业要采取必要的安全技术措施,加强智能网联汽车、路侧设备等平台接入安全,主机、数据存储系统等平台设施安全,以及资源管理、服务访问接口等平台应用安全防护能力,防范网络侵入、数据窃取、远程控制等安全风险。涉及在线数据处理与交易处理、信息服务业务等电信业务的,应依法取得电信业务经营许可。
-答9:信息服务业务是指SP吗?我想问车载OS属于SP范畴吗 ?
-答10:信息服务业务是指B25。
-答11:一个是工信部的sp 一个是通管局的icp。我看sp许可证里面有一项客户端服务需要这个 所以我理解车载系统应该属于客户端服务吧?
-答12:icp里面适用于信息发布平台及递送服务里面有一个应用软件发布平台服务,edi里面有一个物联网应用服务平台感觉和车辆应用商店相关,但是实际办理的时候这块好像基本还是按照传统互联网业务审批。
-答13:icp 和 sp 本质都是工信部下审批的,只不过区域 icp 审批权限下放给了省一级通管局,全国 icp 和 sp 还在部委。
总结:个人理解,车载系统的要求同手机系统即可,应用商店同理。
SaaS企业办公APP的运营者
-问:请教一个问题:办公协同APP 平台给某个企业专门做一个定制版,该企业集团直接部署给全部员工。定制版隐私政策明确是这个企业运营APP并提供服务。那么,怎么来认定,谁是个人信息处理者(controller)?根据隐私政策直接认定呢,还是根据实际的运营情况,穿透来认定?SaaS 服务,前端是 APP。要求全体员工都要安装。勾选同意的隐私政策,也是定制版隐私政策,即由这个企业,而非平台,运营并提供服务。
-答1:私有化部署的话,其实背后的APP平台无法获取所收集到的数据了。我了解到的私有化部署一般是收集到的数据放在使用该软件的企业服务器而非软件服务提供方,当然软件服务提供方作为受托处理我认为是没有异议的。私有化部署,SaaS平台方一样访问、存数据的。
-答2:SaaS平台是受托处理数据吧,可以获取的。类似威胜公司很多企微的SaaS产品。
-答3:我理解提供软件这个服务的是processor,使用这个软件服务并进行本地化部署为员工提供服务的是controller。
-答4:企业是控制者 服务方是处理者。和钉钉差不多。
总结:谁决定处理目的,谁就是controller。
网信办知网处罚
-问:求国家网信办对知网(CNKI)依法作出网络安全审查相关行政处罚,为啥网络安全审查查出一堆个保的问题?
-答1:针对数据处理活动,审查重点为:核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险。网络安全审查的重点似乎是这个。
-答2:《网络安全审查办法》第二十条当事人违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。因为要罚5000万,没有一部法律能像PIPL一样罚得高。
-答3:网络安全审查过程发现其他问题,可以同时开展检查呀。滴滴之前也是这样的,“根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴公司涉嫌违法行为进行立案调查。”
-答4:看措辞,它网安审查还是有问题的,只是这份公布里无法公开?
-答5:重点可能在“相关”
-答6:对于“网络安全审查相关行政处罚”,左晓栋认为,“相关”二字非常重要。通报指出,根据网络安全审查结论及发现的问题和移送的线索,国家网信办对知网涉嫌违法处理个人信息行为进行立案调查。详见:国家网络安全审查又出重要消息,但这一次是考语文
总结:答案看这篇:国家网络安全审查又出重要消息,但这一次是考语文。
网络安全审查办公室和网信办的关系
-问:这俩是上下级关系还是并列关系呢,是不是网络安全审查了很容易触发个人信息审查啊,
第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。
《网络安全审查办法》
-答1:“设在”本身就回答问题了
-答2:有说是网信办的下属事业单位,相当于网信办的乙方,但我不是很理解
-答3:感觉审查办公室应该主要以项目形式为主吧,常设人员在cac。
-答4:看看答记者问。
问:赴国外上市网络安全审查如何提交申报材料?
答:网络安全审查办公室设在国家互联网信息办公室,具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口。
咨询电话:010-82261114
咨询邮箱:shencha@isccc.gov.cn
联系地址:北京市东城区安定门外大街56号
公众号:网信中国《网络安全审查办法》答记者问
-答5:网络安全审查办公室,我理解是一个虚设机构,网信办牵头,各部门参与网络安全审查,部分职能可能让下面做了。
-答6:是的,特别是进入实质审查阶段后,可能会联系相关行业主管部门一起参与审查。
-答7:emmm,可以大胆地猜测,没有编制。
总结:虚设机构,部分职能交由下级事业单位行使,重要事件会由各部门组成调查组,如滴滴。
公开个人信息出境
-问:请教一下,向境外提供已公开的个人信息,还需要走SCC或安全评估吗?有没有放宽的口径。我理解没有豁免,看看大家在实操中有没有遇到过绿灯。
-答1:没有,你公开的时候可能就触发安全评估了。
-答2:现在海外也不能直接访问企查查天眼查吧。
-答3:直接访问不就触发了,公开的数据也有重要数据,并没什么豁免。
-答4:仅在境内公开网页展示,境外可以通过公共网络访问,这种不属于出境。
-答5:很早之前的《信息安全技术数据出境安全评估指南(征求意见稿)》,列举的不属于数据出境的情形包括:公开信息、网页被境外的机构、组织、个人访问查看的。
-答6:没有,无论是用别人家的产品(里面收集的公开信息),还是自己收集中国境内的公开信息卖给境外的客户,CAC那边都不是绿灯。
-答7:没准还涉及到间谍、情报、国安...etc. 更绝望了。
总结:清晰又绝望。
网络安全审查办公室和网信办的关系
作者:何琛来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。