Re: 在深圳，我可以提供 DD gpg 签名

[Blair Noctis <ncts@debian.org>]

On 20/11/2024 19:49, atzlinux@debian.org wrote:
> 在 2024/11/20 18:34, Blair Noctis 写道:
>> （后续讨论如有需要请 Cc/To 我，暂时没有订阅此列表）
>>
>> == 关于 DD 签名
>>
>> Message-Id: [🔎] 63fa9d5b-d891-430c-ac28-d9524bd079ab@debian.org
>>> 请在邮件里面提供下相关信息：
>>>
>>> 1. https://nm.debian.org/ 的 id
>>> 2. DDPO 信息
>>> 3. https://salsa.debian.org 的 id
>>
>> Message-Id: [🔎] 4598f534-6e5b-4c41-acdc-c91d441db757@debian.org
>>> 是的，也要见面的，验证带照片的 政府 颁发的身份证件才行。
>>>
>>> 国内的话，身份证，护照，驾照 都可以。
>>
>> 这种说法一般人都会默认你只会检查而不会*保留*相关信息。然而，
>>
>> Message-Id: [🔎] 017f5142-c994-4682-aa2b-beea205b7fe6@debian.org
>>> 对给我进行签名验证的身份证件信息，我默认不会对外公布，这个可以保证。
>>>
>>> 但是有几点特例情况：
>>> 1，应国家法律要求需要提供的
>>> 在开源社区投毒之类的行为，也涉嫌违反计算机信息安全相关法律，如果政府部门法律单位要求我提供，我会配合提供。
>>>
>>> 2. 应 Debian 要求
>>> 这个应该是及少数情况
>>>
>>> 除以上特例外，没有得到身份证件持有人书面许可，我都不会对外提供身份证件信息。
>>
>> Message-Id: [🔎] 7daaa54d-d75d-431b-8b64-86d4de42ca3c@debian.org
>>> 凡找我签名的，我都会再当面说明下，身份证件信息在什么情况下会对外提供。
>>> 如果接受，就可以找我签名，如果不接受，就不用来找我签名哈。
>>
>> 说明你会保留相关信息。
>>
>> 请你明确表明将会验证*并保留*相关信息，避免有相关顾虑的人与你产生无效沟通及更多不愉快。
> 是的呀！从其它人和我的沟通邮件里面可以看到，他们并不是不知道我需要拍照留存的事情，只是担心我会泄露个人隐私信息，我后来邮件澄清了。

我引用的数封邮件都没有出现「拍照留存」字眼。另外，「他们并不是不知道」是「他们」知道的信息，不属于你的「明确表明」。

既然你现在提出，请额外明确表明你会拍照留存被签名人的身份证件，例如重新发布提供签名的邮件并写明「我会拍照留存你的身份证件用于以后核查」。

> 查看身份证件拍照，我见到的很多 DD 进行签名都是这样的。

「查看身份证件」，是的。「拍照」？请举例，明确指出 DD 的 Debian ID，最好有公开表明会拍照的邮件等信息，他们这样做也应当公开负责。「我见过」在这里没有说服力。

>> 另外，请问你申请成为 DD 时，你的担保人 bage 和 osamu 保留你的身份信息了吗？DSA/DAM 呢？如果没有，请解释为什么他们可以不用保留而你需要。
> 
> 担保人和 gpg 签名的人，可以是同一个人，也可以不是同一个人。
> 我申请成为 DD 的担保人，不是对我进行 gpg
> 的人，所以他们不需要保留我的身份信息。
> 
> 在 DD 申请过程中，还有 Application Manager， Front Desk or DAM 的角色，它们一样可以不用对我进行
> gpg 签名，所以不需要保留我的身份信息。
> 
> 麻烦不要把 担保人 和 gpg 签名的人，这是两个角色，混为一谈！

这里是我疏忽了。那么，根据你的 DD 申请档案 https://nm.debian.org/process/1312/keycheck/

UID xiao sheng wen <atzlinux, sina.com> 	ok, 3 non-DD sigs, 9 DD sigs:

    8D83379110000DEB: Wei Zhou (Emfox) <emfox@debian.org>
    68C078BE88F80CDA: Noèl Köthe <noel@debian.org>
    8F53E0193B294B75: Praveen Arimbrathodiyil (Pirate) <praveen@onenetbeyond.org>
    44173FA13D058888: Ying-Chun Liu (PaulLiu) <paulliu@debian.org>
    E267B052364F028D: NIIBE Yutaka <gniibe@fsij.org>
    2BF8D9FE074BCDE4: Thomas Lange <lange@informatik.uni-koeln.de>
    B01D1A72AC8DC9A1: Jonathan Carter <jcc@debian.org>
    C0BA812C6C4DCB2E: Mathias Gibbens <mathias@calenhad.com>
    4B043FCDB9444540: Mattia Rizzolo <mattia@mapreri.org>

以上为你签名的 DD 拍照留存你的身份信息了吗？如果没有，请解释为什么他们不用。根据敏感信息最小化原则，你扩大收集和留存范围的举证责任在你，「DD 有权决定自己的签名策略」也不能违背法律。

> DD 有权决定自己的个人签名策略，再加上我也看到很多 DD
> 也是拍照保留个人信息的，所以我会对身份证件进行核验拍照保存。

同上。你确实有权自行决定签名策略，同时我也有权指出你的策略及行为不合法、不合理或存疑之处。

>> == 关于他人敏感信息的处理
>>
>> 姑且认为保留敏感信息不违反中华人民共和国和（或）对方司法管辖区的现行法律。那么，
>>
>> Message-Id: [🔎] 017f5142-c994-4682-aa2b-beea205b7fe6@debian.org
>>> 当时我在微信群发这个照片的时候，没有特别在意这个身份证图片，就发出去了，后来群友提醒，确实是不太妥当。
>>
>> Message-Id: [🔎] 8d1fdb7a-d201-40e6-9cf9-0d51569f2d5d@lists.debian.org
>>> 信息泄露的风险始终是存在的，没有 100% 的事情。
>>>
>>> 但是在国内，只有一个身份证件的照片，现在还能够被人用来做什么呢？
>>> 在国内办很多事情，已经不是凭一个身份证复印件，一个身份证照片就可以了，国内隐私信息泄露现象非常严重。
>>>
>>> 很多重要场景，都需要本人亲自到场的。
>>
>> Message-Id: [🔎] 7daaa54d-d75d-431b-8b64-86d4de42ca3c@debian.org
>>> 一个欧盟的外国人身份证件信息，而且不把照片特意放大还看不太清楚的非正面拍摄的照片，当时胸前名卡是正面拍摄，身份证件是放在桌子上，非正面角度，照片右下角。
>>>
>>> 这个照片只是发在我的微信群里面，群里面的绝大部分人即不认识他，也不会和他有啥交流，这样的照片在微信群里面，绝大部分人都会一扫而过的。
>>>
>>> 也许有个别别有用心的人，会仔细放大看身份证件信息，但是有了这个信息，能够在中国干啥呢？会对照片持有人做出哪些伤害性事情呢？一个欧盟的身份证照片，可以说在国内，是啥用处都没有的，国内不认这个证件。外国人的护照才可以在国内买火车票的，欧盟身份证不行。
>>
>> 说明你对处理他人敏感信息没有足够的审慎意识，对你来说他人的身份信息可以随意发布。你这一行为违反中华人民共和国个人信息保护法和欧盟 GDPR。
> 
> 在中国目前这个大环境下，对个人隐私信息保护和尊重，应该说是比西方发达国家要差的。但最近几年，也在这块逐步加强。

确实在加强，颁布执行个人信息保护法就是例证。既然谈及这部法律：

第六条　处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

第九条　个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

第十七条　个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

第十九条　除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

第二十八条　敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

第三十条　个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。

-- https://www.gov.cn/xinwen/2021-08/20/content_5632486.htm

根据第六条，你应「采取对个人权益影响最小的方式」，「限于实现处理目的的最小范围」。*留存*身份证件照片理应不属此项。

根据第九条，你未能「对其信息处理活动负责」并「采取必要措施保障所处理的个人信息的安全」，相反公开辩称你泄露他人信息的行为不算什么。

根据第十七条，你未「以显著方式、清晰易懂的语言真实、准确、完整地向个人告知」所列四款事项。

根据第十九条，你未明确表明个人信息保存期限，更遑论是否为「实现处理目的所必要的最短时间」。

根据第二十八条，请解释你处理敏感个人信息的「特定的目的」、「充分的必要性」和「严格保护措施」。

根据第三十条，你未明确告知「处理敏感个人信息的必要性以及对个人权益的影响」。

GDPR 我就不列了，按你的说法，只会比个人信息保护法更严格。

> 如果当事人觉得我违反了你说的“中华人民共和国个人信息保护法和欧盟
> GDPR”，他完全可以用法律武器维护自己的正当权益。但是后来我们两个人的沟通，并没有不愉快的地方。

我有权指出你（涉嫌）违法之处，这和当事人起诉你的权利并行不悖。

tille 可能采信了你无意拍摄并发布的说法，我对此不能也无意做出评价。

>> 所谓「欧盟身份证件在中国无用」站不住脚，如果别有用心之人散播到欧盟，还无用吗？
> 所以这句话的范围是在“中国”，不是扩散到欧盟。我不了解在欧盟，只是拿到一个非正面
> 变形的 身份 照片，能够用来做哪些事情？

你声称「这句话的范围」在哪，与所指行为实际可能造成的影响范围无关。信息一旦泄露，扩散范围就不是你能控制的。何况，既然不了解，对这种敏感信息就更应该保持审慎，而不是公开声称这无所谓。

>>> 幸好这个事情，没有成为我申请成为 DD  的障碍！
>>
>> 在我看来这是 Debian 项目的不幸。一个缺乏对他人敏感信息基本尊重的人，堂而皇之以项目正式成员的身份发表这种不负责任的言论。
> 对 Debian 项目的幸和不幸，不是你一个人可以代表整个 Debian 项目说的。

你可能没看见开头的「在我看来」。

> 你这才是堂而皇之以项目正式成员的身份发表这种不负责任的言论。
> 
> 我也许会说错话，做错事，但是不会是一个不负责任的人。

你是否负责任不取决于你自己的说法，而取决于你的言行透露出的态度。我在你涉及他人敏感信息的言论里没有看到负责任的态度。

至于我的言论是否负责任，我不自称，社区成员自有评判。

>>> 跟 Debian 社区的很多 DD 通过不同途径打过多次交道，发现很多 DD 其实情商很高的，不完全都是
>>> IT 直男。
>>
>> 这是在暗喻指责你不负责任的人都是 IT 直男？这种歧视性言论无助于解决问题。
> 你想多了吧。首先，在这个事情上，在此之前，没有其它人指责我不负责任。
> 我现在反而觉得你这个和这个事情没有直接关联的人在公开指责我。
> 你的这种言论和说话的口气，无助于解决问题。

这个邮件串里的其他人也许没有在「指责」，在我看来至少也是「指出」一些事实。我没有其他渠道的对话记录。在此意义上，你确实可以声称之前无人指责你不负责任。

我确实是在公开指责你不负责任。

如果我的这种言论和口气无助于解决问题，我很好奇，你那句「IT 直男」如何有助于解决问题？

另外，在同一邮件中你说：

> 这样的事情，正主不知道完全没有关系，正主知道了，反而有点破坏会议气氛的味道。

请问为什么「正主不知道」自己的敏感信息被泄露「完全没有关系」？

> 幸好这个事情，没有成为我申请成为 DD  的障碍！

你似乎明白这种事情可能成为障碍？

>> 如果你继续发表不负责任的言论，我会向 DPL 提请剥夺你的成员身份。
> Debian 的规则制度确实很多，关于 DD 成员可以向 DPL 提请剥夺另外一位 DD
> 成员身份的规则，我之前确实不知道。能否把这个规则发出来，让大家都知道下？
> 
> 如果没有这个明确规则，你在这个邮件列表里面这样说，我也会觉得你是不负责任的。

The Debian Account Managers (DAM) are responsible for maintaining the list of members of the Debian Project, also known as Debian Developers. DAMs are authoritative in deciding who is a member of the Debian Project and can take subsequent actions such as approving and *expelling* Project members. 
- https://wiki.debian.org/DAManager
(emphasis mine)

DAM 由 DPL 委任。我向 DPL 提请后，他自然可以视情况交给对应的委任成员处理。并且这里 DPL 只是虚指，我也可以向 DAM 或其他有相应权力的成员（团队）提请。

>> 同时提请你注意，这是公开邮件列表，请谨言慎行。列表管理员不会接受删除请求，特别是这种不负责任的言论。
> 
> Debian 公开邮件列表，还会存档的，中文邮件列表存档在：
> 
> https://lists.debian.org/debian-chinese-gb/
> 
> 任何不负责任的言论，都会记录下来。

很高兴你有这个认识。希望你能进一步认识到，尊重他人，尊重并保护他人的敏感信息（隐私），包括但不限于在自己已经意外造成他人敏感信息泄露后不要继续为自己辩解，也是一种负责任。

-- 
Sdrager,
Blair Noctis

Attachment: OpenPGP_signature.asc
Description: OpenPGP digital signature