国际版 QQ 停服是否意味着国内应用进军国际市场进一步受挫?

2018-04-13 17:26:31 +08:00
 F2Sky




原文链接: http://tech.sina.com.cn/i/2018-04-13/doc-ifyteqtq9633940.shtml
6948 次点击
所在节点    互联网
52 条回复
DeutschXP
2018-04-14 16:58:16 +08:00
@imn1 不好意思,你跟我说的基本没有任何关系,你所提出的观点,我也并没有提到或者反对,所以我不明白你为什么要 @我。我只是就就 GDPR 的部署说了一句意见而已。如果你不明白 GDPR,你可以先去了解一下。或者你可以看我这里的一个简单总结 /t/446754#r_5558932
如果你只是想要发表自己的观点,那么没必要 @我。你的第一个回复就跟我说的毫不相干,所以我说是抬杠。结果引来你又一段自说自话。
lfk0000
2018-04-14 17:34:11 +08:00
所以,如何假装自己是欧洲人呢?
imn1
2018-04-14 18:44:34 +08:00
@DeutschXP
在#25
简单的说,你可以存储个人数据,但你要告诉用户为什么存储,存多久,并且要随时提供下载和删除功能。
不存在什么不允许定位到具体个人,照这么说网店都别开了,下了订单没办法定位到个人,包裹寄给谁?
-----------------------------------------------------------------------------------------------------------------------------------------
这句话部分对,但对的部分不到 50%

GDPR 我只看了译文,英文太烂了,下面是个人理解

GDPR 对个人数据收集处理大致有三个重点:目的、收集、处理
收集前控制方(甲方)要告知被收集方(乙方),收集的内容和目的(这个目的很重要,下详)
当这个(些)目的属于 非 公共服务、法律规定等等之外的,就要经乙方同意才能收集,并非收集后告知
另外,目的也有最低限度相关规定,那种提几百个目的强制乙方接受也是不被认同的

收集分自动和「手动」,大致意思是例如 IP 之类数据,也属于「个人数据」,但属于服务器本身出于设备安全等等目的自动收集的,而不是程序特意收集,其他如身份、地址、电话之类则是「手动」,超出前面目的告知外的收集行为不被允许

甲方处理(我前面回复所说的「使用」)所收集的数据时,不能超出最初告知乙方的目的,这点非常重要
例如,甲方收集乙方的地址和手机号码,告知的目的仅仅是「送货需要」
如果甲方把这个电话地址用于分析乙方的购买习惯,或向乙方推送优惠信息,这就违反 GDPR 了,因为违反了「不能超出最初目的」这条——征得同意是「送货」,但使用却多了「消息推送」,属于未经同意的目的变更

又例如,如果乙方仅仅是逛网店,收藏一些关注商品,并未下单购买,这个时候也要获取乙方手机号,(我个人觉得)也不符合最低目的,不过这条我不清楚具体如何解读

我相信很多 APP 肆意获取大量权限的行为,在 GDPR 应该是不被允许的,不是一个「已告知」「可删除」就可以免责的


所以#30 才会说「告知和询问」

-----------------------------------------------------------------------------------------------------
另外,汉语中「定位」有两个意思,一个是地理位置确定,另一个是「可以具体确定到……」
香港上世纪末发布隐私条例,里面就是定义可以具体确定到某个人的数据才算隐私数据

解读一下这个定义——是参考当年香港关于隐私条例普法的宣传片理解的
例子:一位女顾客到裁缝店做衣服,量体后,裁缝就把该顾客的三围数字记在便签纸,贴在众人可见的小黑板,这就算侵犯隐私了

一个无记名三围数字不算隐私数据,因为它(只是三个两位数字)不能凭自身就「具体确定到」某个人,当然记名三围数字就完全算了
这个例子中的数据本来不算,但因为这位顾客刚刚量体完毕,裁缝就记下并「公示」,在场的所有人都可以把这些数字的意义和人完全联系起来,就算隐私数据了

网站数据也是一个特殊例子,本来非注册用户的数据(假设没有加入指纹追踪等),并不算隐私数据,因为无指纹、无 ID 的情况下,也是不能「具体确定到」某个人的,但服务器本身会自动记录 IP 和时间。有人说 IP 也不能确定到某个人啊,但网站是不能这样理解的,因为网站不能确定这是个网吧的 IP,还是手机的 IP,如果是后者,就变成「隐私数据」成立了。
就算主观上看 IP 不是具体程序记录,只是服务器行为,但对于乙方,都是甲方在收集记录,是甲方可以控制处理的隐私数据
DeutschXP
2018-04-14 19:43:57 +08:00
@imn1 很抱歉,你的理解有问题。
首先,我说的"定位"就是指"具体确定",所以我才会用网店举例。
其次,当你在提交订单的时候,已经要接受网站的协议,这里面已经包括了相关的数据保护条款。
所以我后面说的都是为了第一句,也就是我的观点,也是实践的指导:"谈不上重新开发,像楼上举例那样其实是他们法务部门过分解读。"
我在另外的帖子已经说过,GDPR 对于欧盟国家来说不是新东西,许多细节在之前的实践中已经实施了。
而你说的东西,部分是没有必要的,或者你也进行了过分解读。

网站需要解释数据怎么使用,但是并不需要用户针对每个细节做确认,这是目前的实践指南,GDPR 是一个框架,它里面并没有很具体到技术细节。所以目前大家只需要部署到符合框架即可,如果以后有进一步的判例,那么也只需要根据判例再作调整,而不需要现在就一次性过度部署。

请再读一遍原话,"简单的说,你可以存储个人数据,但你要告诉用户为什么存储,存多久,并且要随时提供下载和删除功能。 不存在什么不允许定位到具体个人,照这么说网店都别开了,下了订单没办法定位到个人,包裹寄给谁? "

你啰嗦了一大堆,不过重复了我说的"但你要告诉用户为什么存储,存多久","为什么"就是你的使用目的,你是为了寄送包裹还是为了分析数据,甚至是为了和第三方共享,这些声明和限制在之前就已有,并不是新东西,数据滥用不是说从 5 月 25 号开始才需要受限。我对国内 App 的数据怎么使用怎么说一套做一套没有兴趣,你说的什么香港裁缝在这里也不相干,我们现在讨论的是欧盟的 GDPR,而不是中国或者香港的 GDPR。

至于你想的"提几百个目的强制乙方接受也是不被认同的",这里没有什么不被认同。你不认同就不提供服务,这是双向选择,没有人强迫你使用这个服务。
5 月 25 日之后,你访问一个网站,并不会变成先弹出一个窗口,要求你确定一大堆协议。目前基本上只要做到像 Cookies 确认一样,一个提示信息即可(意大利除外),你可以选择立刻删除你的信息,或者在你浏览完网站之后删除。你当然可以拒绝,拒绝后跳转出去就好。但是不需要做到,你一边拒绝,一边还要按照拒绝的方式继续为你提供服务。

回过头来说一下吧,你不要过于理想主义,如果一个游戏 App 非要你提供手机号码才允许你玩游戏,它只要不是骗你,它正大光明的声明了,它就是要把你的号码卖给第三方来做推销,这是一种市场行为,不会有政府指导来约束这个 App 必须下架,你自己的个人信息,你有权利出卖。这是一个卖淫也可以合法的地区,不需要遵守什么社会主义核心价值观。
当然,你可以随时和 App 联系,要求说,我现在不玩这个游戏了,也不允许你们再使用我的个人信息了。
这一点,10 年前的网站也必须遵守啊,GDPR 只不过又是重复明确了一下而已。

简单的总结一下,离 5 月 25 日只有不到一个月的时间了,其实一般的公司讨论部署最迟最迟去年底也开始了。讨论都讨论好几年了,你说的那些概念根本就是基本的隐私保护的概念,你说的中国公司的那一套,不要说 1 个月后,现在在欧洲也根本行不通,只不过以前没有 GDPR,对欧盟以外的公司没有太多约束而已。在这里重复那些基本概念没任何意义,所以我在这里和另外的帖子,讨论的都只是,有哪些需要应对改进的变动。
imn1
2018-04-14 21:42:55 +08:00
@DeutschXP
1.香港那段分割线分开,不是跟你说的,pass
2.GDPR 确实早就有了,2016 年通过发布,2018 实施,两年缓冲期,就是说,目前还没开罚
3.不是我理解有问题,是你的话,意思就是改个协议,把协议涵盖到 GDPR 内就可以了
「目前基本上只要做到像 Cookies 确认一样,一个提示信息即可(意大利除外)」

4.2016 年中到下半年,我注册的一些欧盟内网站就变了,先是确认同意新的协议,然后之前随便发电邮给我,变成需要我选择接收的类别,当然除了必要通知我都没选,结果就是每月几十封电邮,变成 4~5 周才收到一封
这种变动,虽然不是重做,但数据库也要调整吧?
5.上面说的手机推送的例子,不是中国的,就是我的一个瑞典朋友跟我说的,GDPR 出来后一个月,老板就告诉他业务流程变动了。我也问过他能否改个协议就行,他用老板的话答我:你知道败诉的话,欧盟罚多少钱么?就算胜诉,律师费你给么?
6.是否理想主义不知道,是否过分解读也不知道,但改个协议实现告知就行得通?那我马上去取笑一下那几个欧洲朋友,改了几个月呢,整个公司要重新审视一遍业务流程,笨死了

我也不是今天才读 GDPR,跟国外朋友聊这事也一年多了,它影响还是比较大的,尤其是最近 FB 事件发生,不出问题涛声依旧,出了问题,赔死

很多公司法务部门不是怕输掉官司,而是避免官司
terence4444
2018-04-14 22:17:42 +08:00
@DeutschXP 我对 GDPR ( DPP ) 的理解和你有所不同,并不是说给一个协议就可以解决了,技术和业务层面上还是有很多事情要做的。

首先你也说了,需要根据用户的要求列出、和删除其在系统中的个人信息。( SEC-255)
除此以外还要有 log 记录个人信息的变化和调阅的历史。(SEC-254,265)

就这两条就涉及到了所有方面,其它还有很多琐碎的东西,年收入 4% 可不是一个小数字,公司越大越要重视这块的。
DeutschXP
2018-04-15 04:45:46 +08:00
@imn1 我在另一个帖子已经说了,需要做哪些,所谓的兼容的工作量更多在于怎么提供给用户下载和删除,而不是在于声明。
所以你不需要纠结于第 3 点,我提出的类似于 cookies 的声明,或者你觉得应该怎么样才对?必须访问一开始就弹窗要求用户阅读接受若干协议?我说了这样不现实,也没有人说必须要这么做。
4. newsletter 基本都是另外的系统,这些需要调整啥?现成的解决方案一大把。而且谨慎点的服务商早就是二次甚至三次确认了。
5. 你说的手机推送的例子,我只能说这种事情,比如德国多少年前就行不通,只不过有很多越界的,没人举报而已。不光是欧盟企业,其他大公司,好吧甚至包括阿里腾讯,他们的用户协议里面对于数据的使用都是有限制说明的吧。电话,短信,邮件,普通信件,能够做什么,不能做什么,你想要给用户打电话,需要得到用户的授权,你想给用户发短信,需要得到用户的授权,你想要寄一封信,也要得到授权。你说你只是发送包裹追踪信息,结果发送了促销信息,等着律师来找麻烦吧。这些跟 GDPR 无关,五年前没 GDPR 你也不能这么干。
换句话说,甭管有没有 GDPR,喜欢越界的,以前越界,现如今一样会越界。
6. 我再次说明,我不明白你是怎么阅读出来,觉得我认为只要改个声明就可以了。如果你没有阅读我另外一个帖子的回复,那么建议读一下。我只是就"怎么声明",以怎样的形式去声明,指出目前只需要像 Cookies 一样就可以。你与其纠结这个,不如想想怎么才能提供下载删除方案来得实际。

你阅读的中文版也好,英文版也罢,你应该能看到,如我所说,这个东西只是一个框架的抽象的东西,它并没有涉及到具体的技术和方式。所以,现在的过分解读甚至去实践,没有太多的意义。不如耐心等待,反正就一个月时间了。你看看一个月后,是不是互联网会有翻天覆地的变化。
其实,并不会。
DeutschXP
2018-04-15 05:14:41 +08:00
@terence4444 我什么时候说只是一个协议了?既然我都说了需要能够列表,删除,怎么又会只是一个协议呢?
另外,请给出具体的条款,我确实不明白你的数字在说什么。
GDPR 我只看到在 Chapter IV, Section 1, Article 30,指出数据的处理"processing" 需要记录。但这里的 record 并不是指 log,不是每读取一次数据库就要记录一下。而且这种记录,并没有要求你提供给用户。
另外,我不太理解你指的个人信息变化是什么?如果指的是比如某个人上个月收入 3000,这个月是 3500,这种变化不应该有任何记录保存,这是个很危险的行为。除非你明确的告诉了用户,你想要保存他的所有历史记录,那么这又是用于何种目的呢?我想不到任何合适的借口,只会给自己带来风险,以及用户的拒绝。
aleung
2018-04-15 08:51:48 +08:00
刚刚做完 GDPR 改造,工作量还不少,对系统的性能也带来影响,并不是提示一下用户协议那么简单。
我们是欧洲公司,系统不直接面向最终用户,也有那么多工作,可想而知中国的互联网流氓真要符合 GDPR 得做多少改变,也许产品根本行不通了。
中国和欧盟在隐私问题上就是两个极端,
zingl
2018-04-15 10:29:12 +08:00
不但用户为了便利性愿意放弃隐私,程序员为了(自己的)便利性也是愿意放弃(自己和别人的)隐私的
rannnn
2018-04-15 13:42:17 +08:00
@aleung 我们公司也在做 GDPR 改造,基本新功能开发都停滞了把人手都弄去搞那个了
DeutschXP
2018-04-17 05:20:06 +08:00
@aleung 反正不是我说的只需要一个协议。但要说几乎全盘改造,那属于太夸张。

正好刚刚收到 Amazon 信用卡的通知:
Am 25.05.2018 tritt die neue Datenschutz-Grundverordnung der Europäischen Union (EU DS-GVO) in Kraft. Da für uns der Schutz Ihrer Privatsphäre und der respektvolle Umgang mit Ihren persönlichen Daten oberstes Gebot sind, möchten wir Sie über die Verarbeitung Ihrer personenbezogenen Daten und Ihre Rechte nach dem neuen europaweiten Datenschutzgesetz informieren. Zu diesem Zweck haben wir für Sie alle Informationen übersichtlich und transparent in den Datenschutzhinweisen der Landesbank Berlin AG zusammengestellt. Diese finden Sie unter www.lbb.de/datenschutzhinweise – selbstverständlich können Sie die Unterlagen auch telefonisch anfordern.
大概意思就是,我们发邮件告诉你 GDPR 马上实施了,给你链接自己去看我们关于数据使用的声明,你要不乐意看电子版,不嫌麻烦就给我们打电话索取资料吧。

总之就是,GDPR 没想象的那么严重,本来就是一个框架的东西,也不仅限于互联网,只不过现在有的企业无动于衷,有的企业过分解读,而已。

我倒真想看看,按照这些过分解读的企业的想法,是不是下个月去超市买东西,刷卡之前需要先签一大堆协议,因为这同样也属于个人数据的保存,使用,和转交给第三方。

我更好奇,如果我回国刷卡,是不是一看,欧洲卡,也要先看护照,然后要我签了协议才允许我刷卡,毕竟国内 POS 机结算要先从国内银行和中国银联过一遭吧?交易过程必须保存数据吧。这同样涉及到了欧洲的信息数据吧?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/446598

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX