<p id="iluey"></p>

    
    
      <track id="iluey"><strike id="iluey"></strike></track>
    1. <pre id="iluey"><label id="iluey"><xmp id="iluey"></xmp></label></pre>
      <bdo id="iluey"></bdo>

        信息網_資訊網

        經典美文聯系我們

        周口信息網 > 熱點信息 > 正文

        SaaS服務商的個人信息保護難點

        網絡整理 2023-10-16

        (原標題:SaaS服務商的個人信息保護難點)

        引言

        SaaS服務商主要依托于云計算向客戶提供各類軟件服務。市面上大多數SaaS服務商主要服務于B端客戶,通過為B端客戶提供一系列的工具或應用,助力企業完成數字化轉型,輔助企業基于數字的精細化運營。然而提及“數字化轉型”話題,數據合規問題是一座繞不開的大山。

        在數據合規方面,SaaS產品與直接面向C端用戶提供服務的產品存在一定的特殊性與復雜性。據此,合規君主要探討SaaS服務商在個人信息保護方面的要點與難點。如無特別注明,本文所指的SaaS服務商系指面向B端客戶提供在線軟件服務的企業,數據合規的范圍僅限于涉及個人信息保護方面的合規,企業的經營信息、財務信息等數據不在本文討論范圍內。

        數據收集階段SaaS服務商扮演何種角色?

        在討論SaaS數據合規問題前,我們需要先了解數據在SaaS產品中是如何流轉的,以及各方對數據在收集、使用、存儲、加工等過程中扮演什么樣的角色。在SaaS行業,決定C端用戶數據(包括使用B端客戶產品的消費者以及在日常運營中使用SaaS產品的B端客戶員工)的收集及使用方式的,一般是B端客戶。SaaS服務商依據B端客戶的指示處理個人信息并將個人信息存儲在合作的云服務商提供的云服務器中。在GDPR的語境下,SaaS服務商一般被認定為數據處理者,而B端客戶一般被認定為數據控制者。而在我國立法語境下,SaaS服務商與B端客戶都為“信息處理者”。

        在某些場景下,尤其是涉及自動化收集、處理數據的場景中,SaaS服務商也決定如何收集并使用c端用戶的個人信息。以某SaaS產品為例,B端客戶將在市場推廣活動中收集的意向客戶的姓名、手機號碼等個人信息錄入CRM系統,并使用CRM系統提供的建單與外呼功能實現客戶的拜訪與跟進管理。在這一場景中,B端客戶決定錄入何種字段信息并決定如何使用這些信息,而SaaS服務商則根據B端客戶的指示處理相應的數據以達到B端客戶所期待的效果。該SaaS服務商的所有B端客戶收集的個人信息均存儲于SaaS的云服務商處。同時,SaaS服務商也可能自動收集C端用戶的設備信息、操作日志等用作安全分析。

        鑒于SaaS服務商的角色定位,決定了其在數據收集階段的合法性是基于C端用戶的授權還是B端客戶的授權。對于SaaS服務商來說,由于B端客戶往往才是如何收集、使用C端用戶個人信息的決策者,且B端客戶有權選擇是否接受SaaS服務商提供的服務以及選擇SaaS服務商提供的服務內容,故主要由B端客戶保證收集C端用戶個人信息的正當性、合法性與必要性。拋開必要性不談,“告知-同意”是當前企業滿足個人信息收集的合法性、正當性最主要的路徑。在我國立法語境下,在SaaS行業,SaaS服務商更多的是接受B端客戶的委托為其處理數據。那么如果說SaaS服務商是作為數據處理者,是否應當征得C端用戶的同意呢?

        根據《民法典》第1035條第1款“處理個人信息的,應當遵循合法、正當、必要原則,不得過度處理,并且除了法律、行政法規另有規定外,應當征得該自然人或其監護人同意”、第1035條第2款“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等”、第1035條“只要是對個人信息進行了收集、存儲、使用、加工、傳輸、提供、公開等操作的,均應當征得相應的自然人或監護人的同意”,SaaS服務商作為個人信息的處理者,在進行個人信息的處理之前,也應當取得自然人或其監護人的同意。但暫且不考慮商業實踐中數據處理的多樣化場景問題,鑒于各方對于個人信息處理的控制能力與參與程度的差異,如此簡單粗暴的解釋顯然不妥當?!秱€人信息保護法(草案)》(“個保法”)二審稿第22條的規定,在委托處理個人信息的場景下,受托方應盡的義務主要是按照約定處理個人信息,并不要求受托方征得個人的同意。

        對于企業,尤其是中小企業來說,技術服務外包甚至層層外包的現象非常普遍。而作為技術服務提供商的企業可能接受成千上萬家的企業的委托進行個人信息處理。因此,要求受委托方逐一征得B端客戶服務的自然人的同意并不現實。故如“個保法”保留第22條,企業作為受托者處理個人信息的可援引此條規定作為法律、行政法規另有規定的除外情形,解釋企業的處理活動并不違反《民法典》的規定。對于SaaS服務商來說,在根據B端客戶的指令處理個人信息時,應當與B端客戶簽訂數據處理協議,要求B端企業承諾其合法合規收集、使用個人信息,在協議中雙方還應當明確各自的權利義務。

        但其實并非所有的SaaS服務商都僅接受委托處理個人信息,不承擔個人信息控制者或類似個人信息控制者的義務。GB/T35273-2020對個人信息控制者的定義為“有能力決定個人信息處理目的、方式等的組織或個人?!比绻罁硕x,對于SaaS服務商來說,是否作為個人信息控制者需要區分不同的產品功能以及場景分析。例如,當SaaS服務商收集設備信息用于安全分析或為C端用戶提供個性化推薦服務時,SaaS服務商決定收集哪些設備信息以及如何收集此類信息,故其扮演的角色為個人信息控制者。又比如,某提供CRM產品的SaaS服務商與B端客戶達成協議,為B端客戶提供基于CRM的營銷服務并依據營銷收入分成,在此場景下,如SaaS服務商有權決定如何使用C端用戶個人信息開展營銷服務,則SaaS服務商亦需承擔個人信息控制者的責任。故對于SaaS服務商而言,其到底是作為個人信息控制者還是僅作為受委托者處理個人信息,還需依據SaaS產品的特點以及收集個人信息的具體場景予以認定,并結合個人信息的全生命周期繪制數據流轉圖。

        接入第三方如何控制風險??

        鑒于中大型企業多元復雜的需求,想要更好地服務這部分B端客戶的SaaS服務商勢必需要豐富其SaaS產品功能,在一些場景下還需根據企業的需求為其提供個性化定制開發服務。而在SaaS產品接入第三方既能豐富產品的服務內容,又能縮短產品的設計周期,故SaaS服務商會在產品中接入大量的第三方服務商。這就涉及SaaS服務商如何規范第三方合法合規收集個人信息以及如接入的第三方服務提供商違規收集信息時,SaaS服務商應如何承擔相關責任的問題。

        根據GB/T35273-2020,當SaaS服務商在產品或服務中接入第三方時,SaaS服務商與第三方之間的關系可能為委托/被委托處理個人信息、共同個人信息控制者或SaaS服務商僅作為第三方渠道提供方。在這三種不同的情形下,SaaS服務商分別需承擔不同的義務與責任。

        當SaaS服務商與第三方構成共同個人信息控制者時,其承擔的責任最重,應當承擔因第三方引起的個人信息安全責任。當SaaS服務商系委托第三方處理個人信息時,則應履行的主要義務包括保證委托行為不超出已征得個人信息主體授權同意的范圍、對第三方進行個人信息安全影響評估、對受委托者進行監督、在發現受托者違反雙方約定或未能履行個人信息安全保護責任時及時采取要求停止、斷開連接或其它補救措施。當SaaS服務商作為第三方的渠道提供方時,除了做好第三方管理,還有非常重要的一點是向個人信息主體明確表示產品或服務由第三方提供并讓第三方單獨就個人信息的處理規則征得用戶同意。

        為什么說這一點非常重要呢?在GB/T35273-2020第9.6條中有一個非常重要的注釋,提到如果個人信息控制者在提供產品或服務的過程中部署了收集個人信息的第三方插件,但該第三方又未單獨向個人信息主體征得收集個人信息的授權同意的,則個人信息控制者與該第三方在個人信息收集階段為共同個人信息控制者。依據這一條,如果SaaS服務商在產品中接入了第三方插件,例如接入第三方提供的SDK、API等,而未向用戶表明相應的產品或服務是第三方提供且第三方沒有以隱私政策彈窗等方式征得個人用戶的授權同意的,SaaS服務商可能會與第三方被認定為個人信息收集階段的共同個人信息控制者,并將承擔因第三方引起的個人信息安全責任。

        不少SaaS服務商在產品中接入第三方時并未向個人信息主體明確標識產品或服務由第三方提供,更遑論第三方單獨向個人信息主體征得相應的授權同意,此種情形下如第三方違規收集個人信息,SaaS服務商可能需要就第三方的違規行為向個人信息主體承擔責任。不過或許是考慮到了這一點,在實踐中,也有不少SaaS服務商,尤其是頭部的SaaS服務商會在個人信息主體啟動由第三方提供產品或服務時,會以第三方的隱私政策彈窗或要求用戶勾選的方式征得用戶的授權同意。這一做法雖然在法律層面降低了SaaS服務商的風險,但如果用戶每次在首次啟用SaaS產品中嵌入的第三方產品或當第三方更新個人信息的收集、處理規則時均需要再單獨同意第三方的隱私政策,也影響用戶的體驗。并且后續隨著《個保法》的出臺實施,企業的告知義務將會加重,SaaS服務商在接入第三產品或服務時可能需要履行更加嚴格的告知義務,如何平衡合規要求與用戶體驗,也是擺在SaaS服務商面前的一個難題。

        當然前面的分析還存在一個問題是雖然在執法層面GB/T35273-2020已成為監管部門執法的重要參考依據,但在法律層面該文件并不具有強制力。而《民法典》與《個人信息保護法草案》二審稿對于如何解釋信息處理者、如何界定“共同處理信息”的行為、何種情形構成“共同決定個人信息的處理目的和處理方式”等均未作出明確的規定。在法律層面未明確這些概念時,清晰地界定SaaS服務商與第三方產品/服務提供商的關系就變成一個難題。不少SaaS服務商在接入第三方服務時,會與第三方服務提供商簽訂協議,從合同層面將部分風險轉移給第三方服務提供商從而控制SaaS服務商自身的風險。但SaaS服務商與第三方服務提供商的協議僅能約束協議相對方,不能對抗第三方。如果個人信息權益受到侵害,權利主體應當向誰主張責任呢?期待最終定稿的《個人信息保護法》能對相關概念有更加清晰的定義。

        本文系未央網專欄作者:張豪 發表,內容屬作者個人觀點,不代表網站觀點,未經許可嚴禁轉載,違者必究!

        免責聲明:信息網轉載此文目的在于傳遞更多信息,不代表本站的觀點和立場。文章內容僅供參考,不構成投資建議。如果您發現網站上有侵犯您的知識產權的作品,請與我們取得聯系,我們會及時修改或刪除。

        Tags:[db:TAG標簽](1111599)

        轉載請標注:信息網——SaaS服務商的個人信息保護難點

        猜你喜歡

        国内精品久久久久伊人AV_最新无码国产在线视频走光_亚洲日本成年在线看_国产 欧美 日韩 亚洲αv