时间:2024-06-30 07:06来源:[db:来源]作者:[db:作者]点击:
(原标题:SaaS服务商的个人信息保护难点)
引言
SaaS服务商主要依托于云计算向客户提供各类软件服务。市面上大多数SaaS服务商主要服务于B端客户,通过为B端客户提供一系列的工具或应用,助力企业完成数字化转型,辅助企业基于数字的精细化运营。然而提及“数字化转型”话题,数据合规问题是一座绕不开的大山。
在数据合规方面,SaaS产品与直接面向C端用户提供服务的产品存在一定的特殊性与复杂性。据此,合规君主要探讨SaaS服务商在个人信息保护方面的要点与难点。如无特别注明,本文所指的SaaS服务商系指面向B端客户提供在线软件服务的企业,数据合规的范围仅限于涉及个人信息保护方面的合规,企业的经营信息、财务信息等数据不在本文讨论范围内。
在讨论SaaS数据合规问题前,我们需要先了解数据在SaaS产品中是如何流转的,以及各方对数据在收集、使用、存储、加工等过程中扮演什么样的角色。在SaaS行业,决定C端用户数据(包括使用B端客户产品的消费者以及在日常运营中使用SaaS产品的B端客户员工)的收集及使用方式的,一般是B端客户。SaaS服务商依据B端客户的指示处理个人信息并将个人信息存储在合作的云服务商提供的云服务器中。在GDPR的语境下,SaaS服务商一般被认定为数据处理者,而B端客户一般被认定为数据控制者。而在我国立法语境下,SaaS服务商与B端客户都为“信息处理者”。
在某些场景下,尤其是涉及自动化收集、处理数据的场景中,SaaS服务商也决定如何收集并使用c端用户的个人信息。以某SaaS产品为例,B端客户将在市场推广活动中收集的意向客户的姓名、手机号码等个人信息录入CRM系统,并使用CRM系统提供的建单与外呼功能实现客户的拜访与跟进管理。在这一场景中,B端客户决定录入何种字段信息并决定如何使用这些信息,而SaaS服务商则根据B端客户的指示处理相应的数据以达到B端客户所期待的效果。该SaaS服务商的所有B端客户收集的个人信息均存储于SaaS的云服务商处。同时,SaaS服务商也可能自动收集C端用户的设备信息、操作日志等用作安全分析。
鉴于SaaS服务商的角色定位,决定了其在数据收集阶段的合法性是基于C端用户的授权还是B端客户的授权。对于SaaS服务商来说,由于B端客户往往才是如何收集、使用C端用户个人信息的决策者,且B端客户有权选择是否接受SaaS服务商提供的服务以及选择SaaS服务商提供的服务内容,故主要由B端客户保证收集C端用户个人信息的正当性、合法性与必要性。抛开必要性不谈,“告知-同意”是当前企业满足个人信息收集的合法性、正当性最主要的路径。在我国立法语境下,在SaaS行业,SaaS服务商更多的是接受B端客户的委托为其处理数据。那么如果说SaaS服务商是作为数据处理者,是否应当征得C端用户的同意呢?
根据《民法典》第1035条第1款“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并且除了法律、行政法规另有规定外,应当征得该自然人或其监护人同意”、第1035条第2款“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”、第1035条“只要是对个人信息进行了收集、存储、使用、加工、传输、提供、公开等操作的,均应当征得相应的自然人或监护人的同意”,SaaS服务商作为个人信息的处理者,在进行个人信息的处理之前,也应当取得自然人或其监护人的同意。但暂且不考虑商业实践中数据处理的多样化场景问题,鉴于各方对于个人信息处理的控制能力与参与程度的差异,如此简单粗暴的解释显然不妥当。《个人信息保护法(草案)》(“个保法”)二审稿第22条的规定,在委托处理个人信息的场景下,受托方应尽的义务主要是按照约定处理个人信息,并不要求受托方征得个人的同意。
对于企业,尤其是中小企业来说,技术服务外包甚至层层外包的现象非常普遍。而作为技术服务提供商的企业可能接受成千上万家的企业的委托进行个人信息处理。因此,要求受委托方逐一征得B端客户服务的自然人的同意并不现实。故如“个保法”保留第22条,企业作为受托者处理个人信息的可援引此条规定作为法律、行政法规另有规定的除外情形,解释企业的处理活动并不违反《民法典》的规定。对于SaaS服务商来说,在根据B端客户的指令处理个人信息时,应当与B端客户签订数据处理协议,要求B端企业承诺其合法合规收集、使用个人信息,在协议中双方还应当明确各自的权利义务。
但其实并非所有的SaaS服务商都仅接受委托处理个人信息,不承担个人信息控制者或类似个人信息控制者的义务。GB/T35273-2020对个人信息控制者的定义为“有能力决定个人信息处理目的、方式等的组织或个人。”如果依据此定义,对于SaaS服务商来说,是否作为个人信息控制者需要区分不同的产品功能以及场景分析。例如,当SaaS服务商收集设备信息用于安全分析或为C端用户提供个性化推荐服务时,SaaS服务商决定收集哪些设备信息以及如何收集此类信息,故其扮演的角色为个人信息控制者。又比如,某提供CRM产品的SaaS服务商与B端客户达成协议,为B端客户提供基于CRM的营销服务并依据营销收入分成,在此场景下,如SaaS服务商有权决定如何使用C端用户个人信息开展营销服务,则SaaS服务商亦需承担个人信息控制者的责任。故对于SaaS服务商而言,其到底是作为个人信息控制者还是仅作为受委托者处理个人信息,还需依据SaaS产品的特点以及收集个人信息的具体场景予以认定,并结合个人信息的全生命周期绘制数据流转图。
鉴于中大型企业多元复杂的需求,想要更好地服务这部分B端客户的SaaS服务商势必需要丰富其SaaS产品功能,在一些场景下还需根据企业的需求为其提供个性化定制开发服务。而在SaaS产品接入第三方既能丰富产品的服务内容,又能缩短产品的设计周期,故SaaS服务商会在产品中接入大量的第三方服务商。这就涉及SaaS服务商如何规范第三方合法合规收集个人信息以及如接入的第三方服务提供商违规收集信息时,SaaS服务商应如何承担相关责任的问题。
根据GB/T35273-2020,当SaaS服务商在产品或服务中接入第三方时,SaaS服务商与第三方之间的关系可能为委托/被委托处理个人信息、共同个人信息控制者或SaaS服务商仅作为第三方渠道提供方。在这三种不同的情形下,SaaS服务商分别需承担不同的义务与责任。
当SaaS服务商与第三方构成共同个人信息控制者时,其承担的责任最重,应当承担因第三方引起的个人信息安全责任。当SaaS服务商系委托第三方处理个人信息时,则应履行的主要义务包括保证委托行为不超出已征得个人信息主体授权同意的范围、对第三方进行个人信息安全影响评估、对受委托者进行监督、在发现受托者违反双方约定或未能履行个人信息安全保护责任时及时采取要求停止、断开连接或其它补救措施。当SaaS服务商作为第三方的渠道提供方时,除了做好第三方管理,还有非常重要的一点是向个人信息主体明确表示产品或服务由第三方提供并让第三方单独就个人信息的处理规则征得用户同意。
为什么说这一点非常重要呢?在GB/T35273-2020第9.6条中有一个非常重要的注释,提到如果个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件,但该第三方又未单独向个人信息主体征得收集个人信息的授权同意的,则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。依据这一条,如果SaaS服务商在产品中接入了第三方插件,例如接入第三方提供的SDK、API等,而未向用户表明相应的产品或服务是第三方提供且第三方没有以隐私政策弹窗等方式征得个人用户的授权同意的,SaaS服务商可能会与第三方被认定为个人信息收集阶段的共同个人信息控制者,并将承担因第三方引起的个人信息安全责任。
不少SaaS服务商在产品中接入第三方时并未向个人信息主体明确标识产品或服务由第三方提供,更遑论第三方单独向个人信息主体征得相应的授权同意,此种情形下如第三方违规收集个人信息,SaaS服务商可能需要就第三方的违规行为向个人信息主体承担责任。不过或许是考虑到了这一点,在实践中,也有不少SaaS服务商,尤其是头部的SaaS服务商会在个人信息主体启动由第三方提供产品或服务时,会以第三方的隐私政策弹窗或要求用户勾选的方式征得用户的授权同意。这一做法虽然在法律层面降低了SaaS服务商的风险,但如果用户每次在首次启用SaaS产品中嵌入的第三方产品或当第三方更新个人信息的收集、处理规则时均需要再单独同意第三方的隐私政策,也影响用户的体验。并且后续随着《个保法》的出台实施,企业的告知义务将会加重,SaaS服务商在接入第三产品或服务时可能需要履行更加严格的告知义务,如何平衡合规要求与用户体验,也是摆在SaaS服务商面前的一个难题。
当然前面的分析还存在一个问题是虽然在执法层面GB/T35273-2020已成为监管部门执法的重要参考依据,但在法律层面该文件并不具有强制力。而《民法典》与《个人信息保护法草案》二审稿对于如何解释信息处理者、如何界定“共同处理信息”的行为、何种情形构成“共同决定个人信息的处理目的和处理方式”等均未作出明确的规定。在法律层面未明确这些概念时,清晰地界定SaaS服务商与第三方产品/服务提供商的关系就变成一个难题。不少SaaS服务商在接入第三方服务时,会与第三方服务提供商签订协议,从合同层面将部分风险转移给第三方服务提供商从而控制SaaS服务商自身的风险。但SaaS服务商与第三方服务提供商的协议仅能约束协议相对方,不能对抗第三方。如果个人信息权益受到侵害,权利主体应当向谁主张责任呢?期待最终定稿的《个人信息保护法》能对相关概念有更加清晰的定义。
本文系未央网专栏作者:张豪 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!