Re: 在深圳，我可以提供 DD gpg 签名

To: Blair Noctis <ncts@debian.org>, debian-chinese-gb@lists.debian.org
Subject: Re: 在深圳，我可以提供 DD gpg 签名
From: atzlinux@debian.org
Date: Wed, 20 Nov 2024 23:39:46 +0800
Message-id: <[🔎] f8d38272-11c7-4c25-8171-72b9da567a4e@debian.org>
Reply-to: atzlinux@debian.org
In-reply-to: <[🔎] 5b967462-0560-4bd2-8ddb-2a06024a40f5@debian.org>
References: <[🔎] 0f311e97-0a02-411f-8300-c8f0717f55e9@debian.org> <[🔎] 5910f02b-f7be-4693-a701-de3903eabc26@debian.org> <[🔎] 5b967462-0560-4bd2-8ddb-2a06024a40f5@debian.org>


在 2024/11/20 21:15, Blair Noctis 写道:
[...]

> 我引用的数封邮件都没有出现「拍照留存」字眼。另外，「他们并不是不知道」是「他们」知道的信息，不属于你的「明确表明」。
> 
> 既然你现在提出，请额外明确表明你会拍照留存被签名人的身份证件，例如重新发布提供签名的邮件并写明「我会拍照留存你的身份证件用于以后核查」。
在这个邮件列表线索里面，我签名需要拍照的事情，想必看了邮件的人，都已经很清楚了。至于是否需要“重新发布提供签名的邮件”，不知道是否还有这个必要了。
> 
>> 查看身份证件拍照，我见到的很多 DD 进行签名都是这样的。
> 
> 「查看身份证件」，是的。「拍照」？请举例，明确指出 DD 的 Debian ID，最好有公开表明会拍照的邮件等信息，他们这样做也应当公开负责。「我见过」在这里没有说服力。
在此次 Debian 韩国釜山年会上，有很多人互相拍照的。这也不是我一个人见的，与会的很多人都见了。还有
DD 甚至主动拿出名卡，身份证件供拍照，不是只有我一个人看见。你不相信的话，我也没有办法了。也许你可以问下参加这次
Debian 年会的人。

> 
>>> 另外，请问你申请成为 DD 时，你的担保人 bage 和 osamu 保留你的身份信息了吗？DSA/DAM 呢？如果没有，请解释为什么他们可以不用保留而你需要。
>>
>> 担保人和 gpg 签名的人，可以是同一个人，也可以不是同一个人。
>> 我申请成为 DD 的担保人，不是对我进行 gpg
>> 的人，所以他们不需要保留我的身份信息。
>>
>> 在 DD 申请过程中，还有 Application Manager， Front Desk or DAM 的角色，它们一样可以不用对我进行
>> gpg 签名，所以不需要保留我的身份信息。
>>
>> 麻烦不要把 担保人 和 gpg 签名的人，这是两个角色，混为一谈！
> 
> 这里是我疏忽了。那么，根据你的 DD 申请档案 https://nm.debian.org/process/1312/keycheck/
> 
> UID xiao sheng wen <atzlinux, sina.com> 	ok, 3 non-DD sigs, 9 DD sigs:
> 
>     8D83379110000DEB: Wei Zhou (Emfox) <emfox@debian.org>
>     68C078BE88F80CDA: Noèl Köthe <noel@debian.org>
>     8F53E0193B294B75: Praveen Arimbrathodiyil (Pirate) <praveen@onenetbeyond.org>
>     44173FA13D058888: Ying-Chun Liu (PaulLiu) <paulliu@debian.org>
>     E267B052364F028D: NIIBE Yutaka <gniibe@fsij.org>
>     2BF8D9FE074BCDE4: Thomas Lange <lange@informatik.uni-koeln.de>
>     B01D1A72AC8DC9A1: Jonathan Carter <jcc@debian.org>
>     C0BA812C6C4DCB2E: Mathias Gibbens <mathias@calenhad.com>
>     4B043FCDB9444540: Mattia Rizzolo <mattia@mapreri.org>
> 
> 以上为你签名的 DD 拍照留存你的身份信息了吗？如果没有，请解释为什么他们不用。根据敏感信息最小化原则，你扩大收集和留存范围的举证责任在你，「DD 有权决定自己的签名策略」也不能违背法律。
可以肯定的讲，上面的 DD 中有人拍照留存我身份证件信息。

[...]
>> 在中国目前这个大环境下，对个人隐私信息保护和尊重，应该说是比西方发达国家要差的。但最近几年，也在这块逐步加强。
> 
> 确实在加强，颁布执行个人信息保护法就是例证。既然谈及这部法律：
> 
> 第六条　处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。
> 
> 收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。
> 
> 第九条　个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。
> 
> 第十七条　个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：
> 
> （一）个人信息处理者的名称或者姓名和联系方式；
> 
> （二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；
> 
> （三）个人行使本法规定权利的方式和程序；
> 
> （四）法律、行政法规规定应当告知的其他事项。
> 
> 前款规定事项发生变更的，应当将变更部分告知个人。
> 
> 个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。
> 
> 第十九条　除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。
> 
> 第二十八条　敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。
> 
> 只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。
> 
> 第三十条　个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。
> 
> -- https://www.gov.cn/xinwen/2021-08/20/content_5632486.htm
> 
> 根据第六条，你应「采取对个人权益影响最小的方式」，「限于实现处理目的的最小范围」。*留存*身份证件照片理应不属此项。
假设这样一个场景，如果有人恶意在开源软件安插后门，警察请求我协助提供他的个人信息，我如果不拍照的话，就只有他的名字，邮箱，
gpg
id，中国重名的人很多，会增加警察定位犯罪嫌疑人的时间。如果有身份证件照片，这个过程将会快很多的。
[...]
> 根据第十九条，你未明确表明个人信息保存期限，更遑论是否为「实现处理目的所必要的最短时间」。
这个最短时间，应该是从 gpg 签名拍照开始，直到 停止 对 Debian 贡献的为止。

对 Debian 的贡献停止，又分为多种情况：
1. 死亡
2. 从 Debian 中退休
3. MIA， QA 接受其维护软件包按 Debian 流程进行处理
4. 因各种原因取消 Debian 成员资格（罕见情况）
5. 因各种原因，我撤销对其的 gpg 签名

当出现以上情况时，其身份证件照片就不需要保留，会删除销毁。
欢迎补充其它 停止对 Debian 贡献的情形。

> 
> 根据第二十八条，请解释你处理敏感个人信息的「特定的目的」、「充分的必要性」和「严格保护措施」。
> 
> 根据第三十条，你未明确告知「处理敏感个人信息的必要性以及对个人权益的影响」。

[...]
感觉你对这部法律比较了解，欢迎整理一个关于 gpg 签名个人信息留存的法律建议或者指引出来，放在
wiki.debian.org 或者其它合适地方，供大家参考讨论。

> 
>> 幸好这个事情，没有成为我申请成为 DD  的障碍！
> 
> 你似乎明白这种事情可能成为障碍？
是的，当时略有担心。但是成为 DD 最后一个环节，是 DPL Debian 项目领导人审核，他认识我，而且是这个事情的当事人，我们在此次
Debian 年会上多个场景下进行过多次交流。
如果他认为我不适合成为 DD 的话，会不同意或者暂停我的 DD 申请。

后来他还单独邮件我，表示欢迎我加入 Debian。这下我才放心了。

> 
>>> 如果你继续发表不负责任的言论，我会向 DPL 提请剥夺你的成员身份。
>> Debian 的规则制度确实很多，关于 DD 成员可以向 DPL 提请剥夺另外一位 DD
>> 成员身份的规则，我之前确实不知道。能否把这个规则发出来，让大家都知道下？
>>
>> 如果没有这个明确规则，你在这个邮件列表里面这样说，我也会觉得你是不负责任的。
> 
> The Debian Account Managers (DAM) are responsible for maintaining the list of members of the Debian Project, also known as Debian Developers. DAMs are authoritative in deciding who is a member of the Debian Project and can take subsequent actions such as approving and *expelling* Project members. 
> - https://wiki.debian.org/DAManager
> (emphasis mine)
> 
> DAM 由 DPL 委任。我向 DPL 提请后，他自然可以视情况交给对应的委任成员处理。并且这里 DPL 只是虚指，我也可以向 DAM 或其他有相应权力的成员（团队）提请。
谢谢说明！ 这里英文描述，比你之前的中文，更加清晰些。 所有 DD
成员在基本权利方面是一样的，大家都有互相监督反馈的权利。


-- 
肖盛文 xiao sheng wen -- Debian Developer(atzlinux)
Debian QA page:
https://qa.debian.org/developer.php?login=atzlinux%40debian.org
Debian salsa: https://salsa.debian.org/atzlinux-guest
GnuPG Public Key: 0x00186602339240CB

Attachment: OpenPGP_0x00186602339240CB.asc
Description: OpenPGP public key

Attachment: OpenPGP_signature.asc
Description: OpenPGP digital signature

Reply to:

Follow-Ups:
- Re: 在深圳，我可以提供 DD gpg 签名
  - From: Emfox Zhou <emfoxzhou@gmail.com>

References:
- Re: 在深圳，我可以提供 DD gpg 签名
  - From: Blair Noctis <ncts@debian.org>
- Re: 在深圳，我可以提供 DD gpg 签名
  - From: atzlinux@debian.org
- Re: 在深圳，我可以提供 DD gpg 签名
  - From: Blair Noctis <ncts@debian.org>

Prev by Date: Re: 在深圳，我可以提供 DD gpg 签名
Next by Date: Re: 在深圳，我可以提供 DD gpg 签名
Previous by thread: Re: 在深圳，我可以提供 DD gpg 签名
Next by thread: Re: 在深圳，我可以提供 DD gpg 签名
Index(es):
- Date
- Thread