. . .
这是否意味着:
1)中国的互联网公司几乎都要撤出欧盟市场了?(看评论改造产品是极其繁重的工程)
2)身居欧盟的中国公民不能再使用中国互联网公司的产品了?(要翻墙?微信、QQ都不能用了?)
1
hatw 2018-04-13 17:39:24 +08:00
意思是欧洲要代理才能上 QQ?........................
|
2
uvhchina 2018-04-13 17:42:50 +08:00 via Android
GDPR 对很多公司有影响的,大点的国际公司都在出应对方案
|
3
luoway 2018-04-13 17:46:22 +08:00
用户少,开放成本还高,还有根据全球收入罚款的风险。
不是傻子是不会为欧洲服务的 |
4
IssacTseng 2018-04-13 17:47:12 +08:00
欧盟境内且处理欧盟用户个人数据的企业均会被要求在 2018 年 5 月 25 日前达到 GDPR 的要求。
腾讯明显知道达不到要求,提前 5 天跑路。免的被罚被告。 |
5
DeutschXP 2018-04-13 18:03:38 +08:00 via iPhone
有本事把微信也停了
|
6
orangeade 2018-04-13 18:04:51 +08:00 via Android 20
看来面向欧盟的互联网产品最放心
|
7
PressOne 2018-04-13 19:02:31 +08:00
剑桥分析事件更加坚定了欧盟对互联网企业的监管,对国内的互联网公司更加不放心了。QQ、wechat 想要进入欧美市场,门都没有
|
8
xjeye804 2018-04-13 19:44:42 +08:00 via Android
非国际版的继续使用?
|
9
edwardaa 2018-04-13 22:21:28 +08:00
悄悄问句:有国内应用进军国际市场?
|
11
sneezry 2018-04-13 22:50:17 +08:00 via iPhone 30
从用户的角度看面向欧洲的软件产品确实更令人放心。但是作为程序员你知道为了 GDPR 有多闹心么?所有上传的信息不能包含可以定位到单独用户的隐私信息。听上去挺合理的对吧?尼玛错误日志里的 call stack 可能有用户名路径,要 hash 掉…后来在全公司程序员一致抗议下,法务部说错误日志里的路径暂时可以不管…整快仨月了,做的事情全是改统计信息的代码,hash 一切可以 hash 的东西,所有不确定的地方全部弹窗问用户意见,然后把用户的选择记在各种地方。所有弹窗显示文字都向法务部要,和法务部详细讲解代码在干啥,为啥要这么干,这么干之后我们会怎么使用搜集到的数据…要向法务部解释为什么有些操作是无法达成的,然后询问法务部在法律上有什么 work around …现在我们对法律有了大致了解,法务部对代码有了大致了解。
|
13
dianso 2018-04-13 22:57:13 +08:00 via Android
是的,四年前我就给几个大人物说过 QQ 国际版没必要,他们不听
|
14
lekai63 2018-04-13 22:57:48 +08:00 via iPhone
|
15
honeycomb 2018-04-13 23:16:47 +08:00 via Android
|
18
shijingshijing 2018-04-13 23:50:29 +08:00 2
@sneezry 简直太棒了!!!这就是我希望的效果!嫌麻烦可以不做啊,不要欧洲市场啊~ 不是 v2 一贯怼人的风格么?
<img> </img> |
21
sneezry 2018-04-13 23:58:09 +08:00 via iPhone
@shijingshijing 哈哈哈,我特别希望公司能放弃欧洲市场,导致给我的工资还是那么点
|
23
zj299792458 2018-04-14 00:13:19 +08:00 via iPhone
美国拒绝华为也是一样的原因吧,拒绝国产人人有责
|
24
orangeade 2018-04-14 00:27:08 +08:00
辟谣了,看来可以伪装成欧洲用户防止腾讯获取过多隐私
|
25
DeutschXP 2018-04-14 00:54:12 +08:00 via iPhone 4
@F2Sky 谈不上重新开发,像楼上举例那样其实是他们法务部门过分解读。
简单的说,你可以存储个人数据,但你要告诉用户为什么存储,存多久,并且要随时提供下载和删除功能。 不存在什么不允许定位到具体个人,照这么说网店都别开了,下了订单没办法定位到个人,包裹寄给谁? |
26
zjb861107 2018-04-14 01:59:33 +08:00 via iPhone
已经证实是谣言
|
27
Zeonjl 2018-04-14 06:43:08 +08:00 via Android
挺好,严好,大家都份内
|
28
terence4444 2018-04-14 08:16:12 +08:00 via iPad
我最近也在搞 GDPR 的东西,表里的数据创建者和最后一次的修改着不能随便给用户看了,默认显示时要 HASH 掉或者直接不显示……
做完了还要 audit. |
29
Tarkky 2018-04-14 08:58:34 +08:00 via Android
Tencent 真面目露出来了。
|
30
imn1 2018-04-14 11:07:25 +08:00 1
@DeutschXP
告知和询问是两个概念,事后和事前 如果客户没有主动提交地址数据,你就能寄送,那是很可怕的 例如,刑事案件中,在协助调查时提供了 DNA 数据,但证实与案件无关后(调查结束或一定时间),理应清除这个调查数据,如果长期保留,是大问题 同理,一些个人数据,未经当事人同意就长期保留,也是不适当的 不过,有很多情况其实是「约定俗成」就长期记录,连告知都没有,更别说询问 例如个人医疗记录(病史)、证件办理登记……等等 隐私相关的事情,只能说仍然是「初级阶段」——存储方和被存储方互相较劲的阶段,各国都是 @terence4444 @sneezry 很久以前我做一些项目方案时,就提出要业务流程模块化和数据处理模块化同时进行 但几乎全部公司和程序员只接受前者,后者是忽略(忽视)的 |
31
F2Sky OP |
32
yulitian888 2018-04-14 12:25:02 +08:00
微博“手机 QQ ”官方号已辟谣
讨论的还真热烈啊! 所以~~~~~~~~~~~~~~~~ |
33
irainsoft 2018-04-14 12:25:15 +08:00
|
34
phy25 2018-04-14 13:35:53 +08:00 via Android
原通知地址: https://sqimg.qq.com/qq_product_operations/i18n/detail.html
现在看到的表述是 From 20 May 2018 QQi version 4.8(iOS)/5.3(Android) will no longer be available in Europe. Please upgrade to QQi version 5.0(iOS)/6.0(Android) when it becomes available. 所以是谣言。 |
37
DeutschXP 2018-04-14 15:54:48 +08:00
@phy25 你这个发的是所谓新说法。之前的通知可没有什么升级的说法。然后它自己就服务器端把通知删除了。今天早上推送了一个 we are sorry ...的通知。
谁知道他们内部怎么拍脑袋的。 |
39
imn1 2018-04-14 16:25:52 +08:00 1
@DeutschXP
防止隐私信息不当收集的意义在于什么? 纯粹收集,而不使用,还真算不上什么刑事,至少无法立证,只是诛心论 但是,谁会不用而收集呢? 一旦未经同意使用了,就基本涉及刑事(或引发)了,针对个人分析、贩卖、诈骗…… 因为全部都是涉及他人的人身、财产、精神(尊严)损害 即使保管不慎遗失,也要看是否构成渎职 防止不当收集的意义就在于防止这些后续引发的事情,至少我觉得 GDPR 有这个目的 很多人,就是因为认为收集数据「跟刑事无关」、「不是犯罪」,就错误认为「不是什么大事」 |
40
1more 2018-04-14 16:44:15 +08:00 via iPhone
辟谣了
|
41
DeutschXP 2018-04-14 16:58:16 +08:00
|
42
lfk0000 2018-04-14 17:34:11 +08:00
所以,如何假装自己是欧洲人呢?
|
43
imn1 2018-04-14 18:44:34 +08:00
@DeutschXP
在#25 简单的说,你可以存储个人数据,但你要告诉用户为什么存储,存多久,并且要随时提供下载和删除功能。 不存在什么不允许定位到具体个人,照这么说网店都别开了,下了订单没办法定位到个人,包裹寄给谁? ----------------------------------------------------------------------------------------------------------------------------------------- 这句话部分对,但对的部分不到 50% GDPR 我只看了译文,英文太烂了,下面是个人理解 GDPR 对个人数据收集处理大致有三个重点:目的、收集、处理 收集前控制方(甲方)要告知被收集方(乙方),收集的内容和目的(这个目的很重要,下详) 当这个(些)目的属于 非 公共服务、法律规定等等之外的,就要经乙方同意才能收集,并非收集后告知 另外,目的也有最低限度相关规定,那种提几百个目的强制乙方接受也是不被认同的 收集分自动和「手动」,大致意思是例如 IP 之类数据,也属于「个人数据」,但属于服务器本身出于设备安全等等目的自动收集的,而不是程序特意收集,其他如身份、地址、电话之类则是「手动」,超出前面目的告知外的收集行为不被允许 甲方处理(我前面回复所说的「使用」)所收集的数据时,不能超出最初告知乙方的目的,这点非常重要 例如,甲方收集乙方的地址和手机号码,告知的目的仅仅是「送货需要」 如果甲方把这个电话地址用于分析乙方的购买习惯,或向乙方推送优惠信息,这就违反 GDPR 了,因为违反了「不能超出最初目的」这条——征得同意是「送货」,但使用却多了「消息推送」,属于未经同意的目的变更 又例如,如果乙方仅仅是逛网店,收藏一些关注商品,并未下单购买,这个时候也要获取乙方手机号,(我个人觉得)也不符合最低目的,不过这条我不清楚具体如何解读 我相信很多 APP 肆意获取大量权限的行为,在 GDPR 应该是不被允许的,不是一个「已告知」「可删除」就可以免责的 所以#30 才会说「告知和询问」 ----------------------------------------------------------------------------------------------------- 另外,汉语中「定位」有两个意思,一个是地理位置确定,另一个是「可以具体确定到……」 香港上世纪末发布隐私条例,里面就是定义可以具体确定到某个人的数据才算隐私数据 解读一下这个定义——是参考当年香港关于隐私条例普法的宣传片理解的 例子:一位女顾客到裁缝店做衣服,量体后,裁缝就把该顾客的三围数字记在便签纸,贴在众人可见的小黑板,这就算侵犯隐私了 一个无记名三围数字不算隐私数据,因为它(只是三个两位数字)不能凭自身就「具体确定到」某个人,当然记名三围数字就完全算了 这个例子中的数据本来不算,但因为这位顾客刚刚量体完毕,裁缝就记下并「公示」,在场的所有人都可以把这些数字的意义和人完全联系起来,就算隐私数据了 网站数据也是一个特殊例子,本来非注册用户的数据(假设没有加入指纹追踪等),并不算隐私数据,因为无指纹、无 ID 的情况下,也是不能「具体确定到」某个人的,但服务器本身会自动记录 IP 和时间。有人说 IP 也不能确定到某个人啊,但网站是不能这样理解的,因为网站不能确定这是个网吧的 IP,还是手机的 IP,如果是后者,就变成「隐私数据」成立了。 就算主观上看 IP 不是具体程序记录,只是服务器行为,但对于乙方,都是甲方在收集记录,是甲方可以控制处理的隐私数据 |
44
DeutschXP 2018-04-14 19:43:57 +08:00 1
@imn1 很抱歉,你的理解有问题。
首先,我说的"定位"就是指"具体确定",所以我才会用网店举例。 其次,当你在提交订单的时候,已经要接受网站的协议,这里面已经包括了相关的数据保护条款。 所以我后面说的都是为了第一句,也就是我的观点,也是实践的指导:"谈不上重新开发,像楼上举例那样其实是他们法务部门过分解读。" 我在另外的帖子已经说过,GDPR 对于欧盟国家来说不是新东西,许多细节在之前的实践中已经实施了。 而你说的东西,部分是没有必要的,或者你也进行了过分解读。 网站需要解释数据怎么使用,但是并不需要用户针对每个细节做确认,这是目前的实践指南,GDPR 是一个框架,它里面并没有很具体到技术细节。所以目前大家只需要部署到符合框架即可,如果以后有进一步的判例,那么也只需要根据判例再作调整,而不需要现在就一次性过度部署。 请再读一遍原话,"简单的说,你可以存储个人数据,但你要告诉用户为什么存储,存多久,并且要随时提供下载和删除功能。 不存在什么不允许定位到具体个人,照这么说网店都别开了,下了订单没办法定位到个人,包裹寄给谁? " 你啰嗦了一大堆,不过重复了我说的"但你要告诉用户为什么存储,存多久","为什么"就是你的使用目的,你是为了寄送包裹还是为了分析数据,甚至是为了和第三方共享,这些声明和限制在之前就已有,并不是新东西,数据滥用不是说从 5 月 25 号开始才需要受限。我对国内 App 的数据怎么使用怎么说一套做一套没有兴趣,你说的什么香港裁缝在这里也不相干,我们现在讨论的是欧盟的 GDPR,而不是中国或者香港的 GDPR。 至于你想的"提几百个目的强制乙方接受也是不被认同的",这里没有什么不被认同。你不认同就不提供服务,这是双向选择,没有人强迫你使用这个服务。 5 月 25 日之后,你访问一个网站,并不会变成先弹出一个窗口,要求你确定一大堆协议。目前基本上只要做到像 Cookies 确认一样,一个提示信息即可(意大利除外),你可以选择立刻删除你的信息,或者在你浏览完网站之后删除。你当然可以拒绝,拒绝后跳转出去就好。但是不需要做到,你一边拒绝,一边还要按照拒绝的方式继续为你提供服务。 回过头来说一下吧,你不要过于理想主义,如果一个游戏 App 非要你提供手机号码才允许你玩游戏,它只要不是骗你,它正大光明的声明了,它就是要把你的号码卖给第三方来做推销,这是一种市场行为,不会有政府指导来约束这个 App 必须下架,你自己的个人信息,你有权利出卖。这是一个卖淫也可以合法的地区,不需要遵守什么社会主义核心价值观。 当然,你可以随时和 App 联系,要求说,我现在不玩这个游戏了,也不允许你们再使用我的个人信息了。 这一点,10 年前的网站也必须遵守啊,GDPR 只不过又是重复明确了一下而已。 简单的总结一下,离 5 月 25 日只有不到一个月的时间了,其实一般的公司讨论部署最迟最迟去年底也开始了。讨论都讨论好几年了,你说的那些概念根本就是基本的隐私保护的概念,你说的中国公司的那一套,不要说 1 个月后,现在在欧洲也根本行不通,只不过以前没有 GDPR,对欧盟以外的公司没有太多约束而已。在这里重复那些基本概念没任何意义,所以我在这里和另外的帖子,讨论的都只是,有哪些需要应对改进的变动。 |
45
imn1 2018-04-14 21:42:55 +08:00
@DeutschXP
1.香港那段分割线分开,不是跟你说的,pass 2.GDPR 确实早就有了,2016 年通过发布,2018 实施,两年缓冲期,就是说,目前还没开罚 3.不是我理解有问题,是你的话,意思就是改个协议,把协议涵盖到 GDPR 内就可以了 「目前基本上只要做到像 Cookies 确认一样,一个提示信息即可(意大利除外)」 4.2016 年中到下半年,我注册的一些欧盟内网站就变了,先是确认同意新的协议,然后之前随便发电邮给我,变成需要我选择接收的类别,当然除了必要通知我都没选,结果就是每月几十封电邮,变成 4~5 周才收到一封 这种变动,虽然不是重做,但数据库也要调整吧? 5.上面说的手机推送的例子,不是中国的,就是我的一个瑞典朋友跟我说的,GDPR 出来后一个月,老板就告诉他业务流程变动了。我也问过他能否改个协议就行,他用老板的话答我:你知道败诉的话,欧盟罚多少钱么?就算胜诉,律师费你给么? 6.是否理想主义不知道,是否过分解读也不知道,但改个协议实现告知就行得通?那我马上去取笑一下那几个欧洲朋友,改了几个月呢,整个公司要重新审视一遍业务流程,笨死了 我也不是今天才读 GDPR,跟国外朋友聊这事也一年多了,它影响还是比较大的,尤其是最近 FB 事件发生,不出问题涛声依旧,出了问题,赔死 很多公司法务部门不是怕输掉官司,而是避免官司 |
46
terence4444 2018-04-14 22:17:42 +08:00
@DeutschXP 我对 GDPR ( DPP ) 的理解和你有所不同,并不是说给一个协议就可以解决了,技术和业务层面上还是有很多事情要做的。
首先你也说了,需要根据用户的要求列出、和删除其在系统中的个人信息。( SEC-255) 除此以外还要有 log 记录个人信息的变化和调阅的历史。(SEC-254,265) 就这两条就涉及到了所有方面,其它还有很多琐碎的东西,年收入 4% 可不是一个小数字,公司越大越要重视这块的。 |
47
DeutschXP 2018-04-15 04:45:46 +08:00 1
@imn1 我在另一个帖子已经说了,需要做哪些,所谓的兼容的工作量更多在于怎么提供给用户下载和删除,而不是在于声明。
所以你不需要纠结于第 3 点,我提出的类似于 cookies 的声明,或者你觉得应该怎么样才对?必须访问一开始就弹窗要求用户阅读接受若干协议?我说了这样不现实,也没有人说必须要这么做。 4. newsletter 基本都是另外的系统,这些需要调整啥?现成的解决方案一大把。而且谨慎点的服务商早就是二次甚至三次确认了。 5. 你说的手机推送的例子,我只能说这种事情,比如德国多少年前就行不通,只不过有很多越界的,没人举报而已。不光是欧盟企业,其他大公司,好吧甚至包括阿里腾讯,他们的用户协议里面对于数据的使用都是有限制说明的吧。电话,短信,邮件,普通信件,能够做什么,不能做什么,你想要给用户打电话,需要得到用户的授权,你想给用户发短信,需要得到用户的授权,你想要寄一封信,也要得到授权。你说你只是发送包裹追踪信息,结果发送了促销信息,等着律师来找麻烦吧。这些跟 GDPR 无关,五年前没 GDPR 你也不能这么干。 换句话说,甭管有没有 GDPR,喜欢越界的,以前越界,现如今一样会越界。 6. 我再次说明,我不明白你是怎么阅读出来,觉得我认为只要改个声明就可以了。如果你没有阅读我另外一个帖子的回复,那么建议读一下。我只是就"怎么声明",以怎样的形式去声明,指出目前只需要像 Cookies 一样就可以。你与其纠结这个,不如想想怎么才能提供下载删除方案来得实际。 你阅读的中文版也好,英文版也罢,你应该能看到,如我所说,这个东西只是一个框架的抽象的东西,它并没有涉及到具体的技术和方式。所以,现在的过分解读甚至去实践,没有太多的意义。不如耐心等待,反正就一个月时间了。你看看一个月后,是不是互联网会有翻天覆地的变化。 其实,并不会。 |
48
DeutschXP 2018-04-15 05:14:41 +08:00
@terence4444 我什么时候说只是一个协议了?既然我都说了需要能够列表,删除,怎么又会只是一个协议呢?
另外,请给出具体的条款,我确实不明白你的数字在说什么。 GDPR 我只看到在 Chapter IV, Section 1, Article 30,指出数据的处理"processing" 需要记录。但这里的 record 并不是指 log,不是每读取一次数据库就要记录一下。而且这种记录,并没有要求你提供给用户。 另外,我不太理解你指的个人信息变化是什么?如果指的是比如某个人上个月收入 3000,这个月是 3500,这种变化不应该有任何记录保存,这是个很危险的行为。除非你明确的告诉了用户,你想要保存他的所有历史记录,那么这又是用于何种目的呢?我想不到任何合适的借口,只会给自己带来风险,以及用户的拒绝。 |
49
aleung 2018-04-15 08:51:48 +08:00 via Android
刚刚做完 GDPR 改造,工作量还不少,对系统的性能也带来影响,并不是提示一下用户协议那么简单。
我们是欧洲公司,系统不直接面向最终用户,也有那么多工作,可想而知中国的互联网流氓真要符合 GDPR 得做多少改变,也许产品根本行不通了。 中国和欧盟在隐私问题上就是两个极端, |
50
zingl 2018-04-15 10:29:12 +08:00
不但用户为了便利性愿意放弃隐私,程序员为了(自己的)便利性也是愿意放弃(自己和别人的)隐私的
|
52
DeutschXP 2018-04-17 05:20:06 +08:00 via iPhone
@aleung 反正不是我说的只需要一个协议。但要说几乎全盘改造,那属于太夸张。
正好刚刚收到 Amazon 信用卡的通知: Am 25.05.2018 tritt die neue Datenschutz-Grundverordnung der Europäischen Union (EU DS-GVO) in Kraft. Da für uns der Schutz Ihrer Privatsphäre und der respektvolle Umgang mit Ihren persönlichen Daten oberstes Gebot sind, möchten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten und Ihre Rechte nach dem neuen europaweiten Datenschutzgesetz informieren. Zu diesem Zweck haben wir für Sie alle Informationen übersichtlich und transparent in den Datenschutzhinweisen der Landesbank Berlin AG zusammengestellt. Diese finden Sie unter www.lbb.de/datenschutzhinweise – selbstverständlich können Sie die Unterlagen auch telefonisch anfordern. 大概意思就是,我们发邮件告诉你 GDPR 马上实施了,给你链接自己去看我们关于数据使用的声明,你要不乐意看电子版,不嫌麻烦就给我们打电话索取资料吧。 总之就是,GDPR 没想象的那么严重,本来就是一个框架的东西,也不仅限于互联网,只不过现在有的企业无动于衷,有的企业过分解读,而已。 我倒真想看看,按照这些过分解读的企业的想法,是不是下个月去超市买东西,刷卡之前需要先签一大堆协议,因为这同样也属于个人数据的保存,使用,和转交给第三方。 我更好奇,如果我回国刷卡,是不是一看,欧洲卡,也要先看护照,然后要我签了协议才允许我刷卡,毕竟国内 POS 机结算要先从国内银行和中国银联过一遭吧?交易过程必须保存数据吧。这同样涉及到了欧洲的信息数据吧? |