「AIGC服务责任分配」
-问:关于发布《网络安全标准实践指南——敏感个人信息识别指南》的通知,发的还挺快。
-答1:和之前35273里的有啥区别?
-答2:这个对于敏感个人信息的分类逻辑和个保法保持一致了。
如有充分理由和证据表示处理的个人信息达不到a)中条件的,可不识别为敏感个人信息”。
-答11:”身份证照片“是不是有点歧义:指的是,身份证上的照片,还是对身份证的影印件?后者,有可能扩大解释包含身份证上的信息,包含身份证号?
-答12:35273说的敏感信息是身份证,不是证件号哎。
-答17:照片几个要素,号码就一个,而且很多场景,我都不知道你这个是不是对的。
-答18:身份证号码不是,照片是,实务中操作很辛苦……这个是要鼓励收身份证号不收照片?
-答19:满足最小必要性原则 能收身份证号 为啥要收照片啊。
-答20:这个是执法依据?
-答21:这个是《指南 》不是《国标》吧。
-答22:“《网络安全标准实践指南》是全国网络安全标准化技术委员会秘书处组织制定和发布的标准相关技术文件,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。”——这是官方表述。
不是标准文件、不是执法依据、不是行业自律公约,但是是“标准相关技术文件”、“提供标准化实践指引”,慢慢摸索成熟后也可能“上升”为标准。
-答23:当成35273的补充?肯定不是替代,必然合规口径退后的话也会被业务挑战。
总结:一切从《个保法》法条出发。
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 《个人信息保护法》第28条第1款
-问:请教下 通过API接入使用AIGC大模型(不做额外开发,仅内部使用),对于生成内容的合规义务或责任承担分配,目前有明确么? 模型提供方承担?还是尚不明确?那换句话说 我如果个人使用Kimi 生成了个违禁违规内容,这个责任在谁?
-答1:服务提供者责任比技术支持大。企业内部用要有使用手册。
-答3:可以参考下某软的AI音频案、重庆处罚案例,以及一些儿童学习机上出现过的舆情事件。
-答4:如果是使用经过上线备案(不是算法备案)的大模型,正常是不会生成公法上的违法违规内容的,防护栏做得很高,要不咋通过检测。如果万一生成且展示了,服务提供者应该对这个生成记录前端不再展示,账号纳入违规账号的次数记录或者直接封禁。在现有互联网信息服务的公法归责体系下,应用服务提供者的归责框架没有变。
-答5:目前责任划分还是屁股决定脑袋。大厂违法违规倒不至于,大厂怕舆情,这个最棘手,小天才这件事就是矛头指向了小天才,内容么是百度大模型生成的,小天才觉得自己很冤,我没办法干涉百度大模型啊。
-答6:然后还得求百度赶紧处理。
-答7:不冤的,他们属于服务提供者,承担了很大的网络信息内容安全责任,另外他们家还属于生态相对闭环的智能平台,服务的群体是未成年人为主,调用了第三方的接口还是上架了第三方的应用,都没有办法推卸生成内容安全拦截和管控的责任。
-答8:想想APP开发者调用第三方SDK引发违规收集个人信息的,监管方会因为开发者无法打开SDK黑箱就会给开发者免责么?同理可证。
-答9:个人觉得违法违规的底线上,从有利于大模型产业发展角度可以讨论下划定服务提供者的责任边界,不然就各自都拉一刀,到最后c端的真的是味同嚼蜡。
-答10:是的,现在大家普遍感到,涉AIGC产业的网络信息安全治理要想事半功倍,需要全生态视角才好,从传统互联网信息服务模式下简单的“服务提供者为归责核心环节”转变为,从底层模型提供者的备案评估后准入、服务提供者履行必要的用户管理义务且无二次开发微调等的就免责、实名认证后的用户对其行为自担责任等,全面合理划分责任,才能促进各方的正向协同和全产业的积极发展、避免简单归责引发的负面效应传导。不过……这些还是需要更多讨论和论证。
-答11:一个大模型而已,怎么可能不犯错啊。历史一次一次证明,“绝对”是不绝对的。
-答12:咱们还是要理解,归责严苛度是很难把握的事,各国监管都会面临content moderation方面的风险管控,在“网络信息安全”层面适用“包容审慎”原则都会比在其他层面的要小,就都挺不容易的。
新产业新生态,公法上的治理措施也得有个逐步适应、微调适配的过程,制度惯性和路径依赖也是有其客观规律所在……大家还是要相互理解、务实、配合。
-答13:罚的是百度。
8月30日,广东小天才科技有限公司发布整改公告回应称,相关问答回答来自第三方软件小度App,目前已下架该应用,整改完成前将暂不上架。
-答14:小天才也被罚啊,他那个是百度文库知识,对百度和小天才都有整改要求的。
总结:国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管。
-问:如果标准合同豁免了,dpia仅按照gdpr的标准做OK吗?也就是说是否利用总部的pia流程但其中评估的结论依据个保法,而不是落地一套类似自评估一样的如此详细的问卷。
-答1:SCC豁免了不代表个保法豁免了,PIA什么要求看个保法,不管怎么样也不看GDPR。
-答2:是不是把个保法要求的评估项都cover到就ok了?
-答3:就看现在一定要做的评估项要多细了。如果是合法性正当性必要性可以cover,如果按照标准或者自评估的程度就很难整合。
-答4:如果每个pia都按照39335那要➕人头了。
-答5:如果是按照eu的dpia模板感觉太浅了无法覆盖国内的要求 还是得融标。eu的那套做gdpr认证的机构用的比较多。
总结:入乡请随俗,这里是中国。满足个保法即可,国标仅参考。
-问:请教各位大佬一个问题 车端tbox传输到tsp的数据中其中包含gps ,未做偏转,在不考虑用户同意的情况下,gps数据由主机厂自己处理用于自动驾驶模型算法优化,属于测绘活动吗?gps算坐标对吧?
-答1:看图。
-答2:只有GPS不一定够吧?
-答3:要论证GPS不是坐标,还是有难度的。
-答4:这个有争议吧。位置、点云、影像、惯导+构图,五类数据均属于时空数据,也就是测绘数据。实践中一般都是点云、构图+关联位置的影像数据需要进图商。位置数据偏转为02坐标系就行。屁股不同,你要是问图商,他们想全进图商环境处理,问主机厂,他们都想自己处理。所以智能网联汽车时空数据安全处理基本要求回避了这个问题。
-答5:可以tsp转发吗?
-答6:进图商,不能转发;不进,也就没这个问题了。
总结:智能汽车太专业了,总结不来。
-问:请问现在法规里面有规定哪些场景下,处理敏感信息需要书面同意的?
-答1:比如:1.《征信业管理条例》规定,向征信机构查询个人信息的,应当取得个人本人的书面同意并约定用途;从事信贷业务的机构向其他主体提供信贷信息,应当事先取得个人的书面同意。2.《人类遗传资源管理条例》规定,采集我国人类遗传资源,应当征得人类遗传资源提供者书面同意。
-答2:这个书面仅限于纸质那种么?
-答3:还有其他方式。
个人信息处理者可根据产品或服务的业务功能特点,以及个人的使用习惯、隐私偏好等,选择
易于展示、便于操作的书面同意具体实施方案.例如,个人在纸质界面、电子硬件载体、网页交互式界面或对话框上进行手写签名、签章等。告知同意指南
关注小号防失联
原文始发于微信公众号(数据何规):煮酒言规 | 第139期 | 敏感个人信息到底是什么?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论