专栏名称: 数据何规

数据安全及个人信息保护。

煮酒言规 | 第151期 | 变性公示的合法性基础

数据何规 · 公众号 · · 2024-12-16 00:00

正文

煮酒言规

///////////////

数据合规是一个比较新的领域，很多问题都难以通过公开渠道检索到答案。此时，实务人士间的思想碰撞、交流就显得尤为珍贵。

欢迎体验数据何规AI客服，可用特定关键词搜索历史Q&A，下面1.-5.的每一期都有审计底稿出境的讨论，太准啦！

• CONTENT •

「登录态是什么」

「员工机票代订数据处理关系」

「联动登录告知同意」

「个人信息保护负责人数量门槛」

「变性公示的合法性基础」

「豁免场景下，标准合同必签吗」

「TrustArc的DPIA module好用吗」

「丰巢的暗黑模式」

「AI训练咋弄」

● 登录态是什么

-问： “登录态”？公安网安查处新型侵犯公民个人信息案

-答1： 登录态就是所谓的 token 。以前token只要用户没操作了，就是自动失效。比如APP退出进入后台15分钟后。现在为了所谓的用户体验，做成长登录态，能够30天内一直有效。包括很多游戏登录后都是很长时间内有效的，安全为用户体验妥协。

-答2：有些应用有公共电脑登陆和个人电脑登陆两种模式，应该就是应对文章里写的网吧上网这种情况的（个人推测，公共电脑登陆是短登陆态或者一次性登陆，个人电脑登陆是长登陆态）。

总结：游戏确实不好做啊，又有未成年，又有外挂，又有盗号。

● 售楼处人脸识别为何屡禁不止

-问：被人脸识别划为“自访客”？记者实地探访新房售楼处：偷偷“刷脸”无处不在

-答1：文章里只采访经纪人和购房人这两个反对群体，实际上开发商是为反腐来的。开发商一般也不会用这个理由给自己辩护，所以这个都快成了不能碰的话题了。文章情况大概是某客户先看到广告找去了售楼处（自然到访），中介又报了一次这个客户信息，如果没有人脸识别中介就拿到了佣金，但房企认为这是“洗客”，并非中介功劳。房企认为多花了佣金，中间经常出现内外场勾结分佣金产生贪腐。具体实施起来很复杂，因为转介审核已经在不断升级，绕开监管手段也在不断发展，总体上房企认为人脸识别能一定程度上防止内外场勾结贪腐。

- 答2：主要每个楼盘涉及都是几千万，被罚也不会放弃的，其实最快的方案就是别用人脸。不用损失几千万，用了罚款100万。

-答3： 地产商都还用，常年顾问知道有风险，法务知道有风险，业务也知道有风险，还是照用。客户还让我们找案例，我们给他们在指定的各省份公司找的案例也就 10-30w 之间，他们就更不担心了。

总结：违规成本和商业利益间的权衡。

● 用户协议必需同意吗

-问：请教下网站登录注册同意隐私政策外，我看有的还需要同意《用户协议》之类的文件，后者这个是必须同意吗？创建时，同意隐私政策和用户协议。创建完，再登录，还需要继续同意两者咯？

-答1： 注册登陆可能不是一个人，你保证不了，所有都要。

-答2：要创建账户登录的，你就搞个用户协议，不整那就光搞个隐私政策。

-答3：那创建过程中手机号，发验证码之前，就必须先同意隐私政策吗？

-答4： 普遍做法还是勾选后发送验证码。

-答5： 我看现在有快捷登录上次账号的场景是不用再重复勾选协议了，这个是默认同一人了吧。

-答6： 该号码已经勾选一次就可以了。

-答7： 腾讯把登陆和验证码分开了，登陆勾选过后，单独不需要验证码的勾选了。

-答8： 首次注册环节和匿名浏览环节都需要用户知悉同意“用户协议”——毕竟在个保法之外还有合同法、消法、知识产权法和一些用户行为管理要求的存在哦。互联网业务的律师工种很多，不只有数据合规律师一个工种。至于“同意”方式，在移动端和PC端的操作方式确实会有些不同，特别是浏览态模式下。

对于营销短信（不是服务通知短信）的发送，境内监管目前只需要用户同意过隐私政策（甚至有的监管方只要求提供后台截图证明是真的注册用户）就可以。

至于多个短信通道都发送的营销短信的，用户只能逐个通道拒收，除非签名档落款发送方能有用户友好的意识，在接到一次拒收通知后主动调整所有通道（就看后台操作是不是利索和一揽子完成）。

如果是在境外业务中发送营销短信，请忽略上述境内方案，老实参照属地法律下的要求，落实正向opt in 或者反向opt in或者彻底opt out。

-答9： 我觉得验证码这种应该也算推定同意了，太正常不过的必要性。

-答10： 如果用户提供手机号作为验证，收集手机号这部分是需要告知同意的（比如一句话提示），至少不能直接通过埋点悄悄收集。如果功能设计的时候是用户主动提供手机号，点击提交的时候基本上可以理解为同意了。但之前也有案例是，先发短信验证码，再勾选同意的，我印象中应该是有些问题的。最理想的还是隐私政策勾选同意再收手机号做验证。

-答11： 所以注册环节手机号验证的目的是实名制？如果是实名制的要求那其实是仅告知就行了反而不用先勾选同意了。

总结：能勾就和隐私政策一起勾一下，不碍事。

● 联动登录告知同意

-问：同一个法律实体运营的不同平台，现在想实现sso功能，即，各平台之间的账户是通用的，如果在a平台注册完成后用户跳转b平台，直接就可以登陆并且使用了。业务是想实现跳转后默认登陆的，有必要首次跳转的时候再做一次授权登录吗？就是比如a平台注册过后，b平台就直接登陆了（两个平台功能有区别，但是是同一个网站的不同子域名）。

-答1： 帐号协议咋写的呀。

-答2：看一下美团和腾讯吧。

-答3：监管不让。

-答4：

测评估计也会有问题。

-答5： 之前碰到过，建议还是要做的（至少要有跳转页面，提示通过A平台调取账号信息用于B平台免登陆），隐私政策里一般也会说明免登陆跳转的功能。

总结：还是抄抄作业，看看那些集团，比如：平安。

● 变性公示的合法性基础

-问：大家怎么看这个，学校能这么公示吗？为何要进行如此详细的公示，基于哪些相关规定，涉事学校相关负责人表示，此事涉及学工和教务，“目前我也没有得到这个相关的授权，具体情况我也不太清楚。”

-答1： 这…不考虑对学生个人的影响吗？难道是在变更期间需要要变更宿舍到女寝，或者万一变更期间住在男寝受到侵害说不清楚，所以进行公示的吗？

-答2：这有任何合法性基础吗？

-答3： 也许她同意了？但是身份证啥的没必要。

-答4： 申请变更的时候应该有提到会进行公示流程，不过貌似也不用完整公布身份证号吧？

-答5： 要么学生自己同意，要么是履行法定义务，但怎么样也觉得不是学校来履行公示义务吧。

-答6： 之前看过一些讨论，基本大学毕业后跨性的，学历都废掉了。

-答7： 前几天看到一个博主说，变了后之前的学历、工作经历，全部归零。等于之前的人不存在了。

总结：公开个人信息的合法性基础：1、取得本人单独同意；2、履行法定义务。如果都没有，那侵犯隐私及个人信息权益没跑了。当然，除了个人信息保护之外，有没有其他利益需要考虑，事情就复杂了。

● 豁免场景下，标准合同必签吗

-问：在豁免情形下，签署SCC是最佳实践还是强制性义务？我打电话问网信办，他们也是认为必须签。但另一个同事去打电话又说不需要。网信办是跟我说协议肯定你是要确保不低于中国法律要求的啊，有现成的scc，先用上呗，不想签慢慢negotiate，但大面上的东西得有啊

-答1：结论是“之一”，也没错。实操中境外接收方愿意，直接签scc例子也有，但不愿意的居多，然后选择“删减版”scc或者额外签其他版本dpa。

- 答2：我们和子公司就是在scc基础上删减的。我们子公司也抓我们签欧盟GDPR。各自满足各自监管要求。

-答3： 史博士的观点很对。

新规施行后，被豁免“安全评估/标准合同/认证”的企业反而需要重视数据处理协议。此前没有调整空间的签约主体数量、协议语言版本、合同结构、权利义务、管辖法院等都成为了可以讨价还价的事项。比如此前的标准合同，只能一对一签署，想要把其他主体加进来就只能另外去签协议，但现在可以直接在数据处理协议中加入甲方、乙方、丙方、丁方……此外，双语合同、外文合同都成为了可选项，甚至可以参考GDPR下的SCC去设计一份协议，也能满足合规要求。

史宇航，公众号：送法上网数据跨境新规豁免了我的义务，那还需做什么吗？

总结：没有任何规定说必需签SCC，落实同等保护义务有很多方式。

● TrustArc的DPIA module好用吗

-问：有大神用过TrustArc的DPIA module吗？体验行吗？我们买了一直没用，开始考虑用起来，就怕花了很多时间完成流程迁移（线上化）却不好用就很麻烦。如果不好，下半年可以考虑换其他供应商

-答1： 你先了解下呗，用的话应该还是要花时间根据自己公司情况设置下问卷的。OneTrust的问卷我看过，挺花时间去定制化的。

-答2：已经了解过了，开始要调整我们问卷了。OneTrust我几年前接洽过，没用，不知道现在他们什么样了，我觉得可能比TrustArc体验会好。

-答3： OneTrust UI 好。

-答4： onetrust还可以，反正比线下好，功能挺全。

-答5： 线上工具还是比较适合复杂业务场景的，搞个通用版先，然后加上特殊内容针对特殊场景。

-答6： 麻烦的是定制化问卷如果不是重复的场景单个场景去调整感觉花的时间不少。

-答7： 用过，刚入手的话有学习成本，但感觉跟关键的问题在于怎么让其他部门配合走这个流程，这个比工具本身更难搞。

-答8： 刚刚研究了一下，发现还可以，custome问卷没有我想的那么难。。。其他部门配合我们流程上要求一般还是可以的，但如果这个工具本身不好用，会是个问题。

总结：没用过，不总结了。

● 丰巢暗黑模式

-问：

煮酒言规 | 第151期 | 变性公示的合法性基础

正文

请到「今天看啥」查看全文