本文作者:郭贺依律师
前言:
随着企业业务数字化转型,对业务SaaS化的需求越来越大。根据艾瑞咨询发布的《2022年中国SaaS行业发展研究报告》,2021年中国SaaS行业市场规模达到322.6亿元,预计2023年将达555.1亿元。但相对于海外,国内SaaS起步较晚,发展路途也并不平坦,目前仍有许多国内企业在购买并使用海外SaaS的服务。但随着《数据安全法》《个人信息保护法》等相继生效实施,我国对数据安全的监管也愈发严格、成熟,海外SaaS服务商在我国境内提供服务,其面临的网络安全、数据及个人信息保护的合规问题不容忽视。
京师律所数据出境合规法律事务部近期接受到海外SaaS服务商,以及其国内企业级SaaS用户的数据合规咨询。在本文中,笔者将结合国内SaaS行业的监管现状及数起咨询项目,对客户关注的数据合规重点问题进行梳理和解答。
一、SaaS是什么?
SaaS,即Software-as-a-Service(软件即服务),指厂商通过其部署在云端的应用程序向客户提供服务,在线上直接交付软件服务,具有低成本、灵活便捷等优势。在SaaS模式下,客户可根据实际需求,通过互联网向厂商定购所需的软件服务,按定购的服务范围、时间等向厂商支付费用,并获得厂商提供的软件维护、更新等服务,不再需要花费高额费用部署服务器、购买软件本身,以及维护、更新软件等。
以上是搜狗百科的解释,对于行业外的读者来说过于抽象。一言以蔽之——SaaS就好比是软件业里面“卖联网软件的”服务行业。
举个更形象的例子辅助理解,即共享单车。
在共享单车出现以前,我们想要骑车代步,一般需要自己花钱购买一辆自行车,此时车辆的所有权归属于我们自己,自然地,车辆的维修、保养等一系列成本,在购买车辆的质保期过后,均需要自己承担。而在共享单车出现以后,我们想要骑车,则可以直接在智能手机上联网下载一个APP,按照操作指引扫描共享单车上二维码,即可解锁骑行,到达目的地后,再把车辆上锁,完成付款,整个订单流程即告结束。在此服务场景下,我们不需要去管理车辆,也无需担心车辆是否丢失、毁损,若有车辆故障的情况,共享单车所属的公司还会主动进行回收、维修等管理工作,同时,我们也可以不断享受到免费的共享单车更新、升级的服务。
此时,我们注意到,上述两种情形的最主要区别就在于车辆的权属——在前者中,我们拥有车辆的所有权,此时车辆对我们来说属于“产品”;在后者中,我们仅拥有车辆的付费使用权,此时骑行的自行车对我们来说就是一种“租赁服务”。
而从广义上讲,服务是一种不会将实物商品的所有权从卖方转移到买方的交易。服务提供者利用资源、技能、独创性和经验,使接受服务的对象受益。
把上述共享单车的逻辑套用到SaaS(软件即服务)的概念上,就会发现其本质类似——软件由产品变成了厂商为客户提供服务的工具和载体。用户按照使用周期等模式购买这种服务后,就可以直接在浏览器或者本地客户端上使用这款联网软件,并利用软件功能创建对应的数据信息。例如我们日常办公常用的软件WPS,该软件所属公司并非出售WPS的软件给客户,而是通过软件为客户提供文档创建、文档分享、文档云端存储等功能性服务。同时,随着WPS自身的技术升级,软件服务商页划分出了一些更为高级的功能,仅限会员用户或超级会员用户付费使用。
综上,在B2B的语境之下,SaaS 通常就是指制作一个面向商业用户的联网软件,然后批量出售这个软件的使用权。那么,SaaS本质上只是一个商业形式或技术形式的统称,它根本没有具体的设计规范或者服务模式,完全是根据业务的具体需求和实际场景决定的。换言之,从用户角度,只要同时满足以下三个特点,都可以被划分在SaaS产品的范畴:
①平台部署。客户不需要购买软硬件设备即可拥有使用权,且其使用的设备由平台方来维护。
②选购灵活。客户根据服务项数和订购时长,可按阶段性向厂商付费。
③响应即时。SaaS 平台需要即时响应用户反馈,不断更新产品,长期提供服务才能获得更多的收入。
二、个保法下SaaS服务商和企业级SaaS用户的角色定位
通过上一部分的介绍,大家可以得到一个基本的共识,那就是SaaS行业的具体服务功能与类别非常广泛,若想要确定SaaS服务商和其用户之间的权利义务划分,以及其合规风险边界,首先需要判断二者之间就具体业务场景的合作关系,进而判断出二者在个保法下的角色定位。
1、角色定位之按照处理个人信息的权限区分
一般情形下,SaaS服务商服务于B端客户,而这些B端客户直接面向C端收集消费者个人信息等数据。SaaS服务商通常是依据B端客户的指示,处理个人信息,并将个人信息存储在云服务器中。此时,个人信息的处理目的、处理方式等,都是由作为委托方的B端客户自助决定的,SaaS服务商只是依据委托合同的约定,按照B端客户决定的处理目的、处理方式对个人信息进行处理活动。因此,根据《个人信息保护法》第73条的规定,在这种委托处理合同关系中,虽然SaaS服务商在客观上实施了处理个人信息的活动,但其并非个保法下的“个人信息处理者”。
但实践中,也存在SaaS服务商能够自主决定处理个人信息的目的、方式的情形。例如,某数据营销分析类SaaS平台,受某公司委托为其公司CRM系统中的客户数据进行用户画像分析并提供咨询报告,同时还提供精准营销服务并依据营销收入分成。此时,若SaaS服务商有权决定如何使用B端客户的C端用户的个人信息,并根据分析结果提供个性化推荐服务,则进入了个保法下的“个人信息处理者”的定义范畴,需要承担个人信息处理者的责任。
值得注意的是,在欧盟GDPR的语境下,SaaS服务商属于数据处理者的角色,B端客户属于数据控制者的角色,这是与我国个保法规定主体的一大区别。
2、角色定位之按照SaaS服务商提供的业务类别区分
SaaS服务商在云端部署软件时,可根据客户对数据、二次开发等需求为其提供公有云部署、私有云部署以及混合云部署等方式的服务。不同的云端部署方式的核心区别之一,是客户对其自身数据信息的可控性程度不同。但无论在何种云端部署方式之下,都涉及IaaS、PaaS业务,以及其他增值电信业务服务等技术资源。那么,SaaS服务商在提供服务的过程中,是否对外采购这类技术资源,则成为区分SaaS服务商提供的业务类别的一大关键要素。
类别一:纯SaaS服务商,是指SaaS服务商仅对B端客户提供软件服务,而其软件服务所依赖的IaaS、PaaS以及其他增值电信业务服务则通过向第三方采购实现。在此服务类别下,纯SaaS服务商一般仅作为网络产品/软件提供者,不属于《数据安全法》《个人信息保护法》等规定下的数据处理者、网络运营者等法定主体,其义务履行与责任承担主要来自于与B端客户的产品服务协议。
类别二:综合SaaS服务商,是指除提供软件服务外,其自身还部署有IaaS层或PaaS层业务,且对外提供相关服务(包括出租服务器、云存储服务等),或自营其他增值电信业务服务。在此服务类别下,B端用户在使用综合SaaS产品过程中,会在SaaS系统中存储、传输、运行、处理大量公司数据。此时,实际经营及提供该等数据存储、处理、网络管理等服务的综合SaaS厂商,即对应构成我国法律环境之下的网络运营者、数据处理者等主体,须遵守我国关于网络安全、数据安全等规定及履行相关义务。
三、SaaS服务商的数据合规难点
1、SaaS服务商作为受托方,是否需要履行告知同意的义务?
《个人信息保护法》第十三条
符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需……
(一)谁来取得个人的同意?SaaS服务商or B端客户?
SaaS服务商无需直接取得个人同意:根据2.1小节的探讨可知,SaaS服务商通常情形下是数据委托处理合同的受托方,根据个保法的规定,其不属于“个人信息处理者”,则不需要向C端用户征得个人同意。但在此场景之下,多数SaaS服务商提供的的服务,除了存储、处理所有由B端客户收集的个人信息之外,还包括通过技术手段自动抓取或收集C端用户的设备信息、操作日志等数据,用作安全分析。此时,SaaS服务商的收集行为所附随的告知同意义务,虽不需要由SaaS服务商向C端用户取得个人同意,但需要B端客户向C端用户履行告知同意的义务。
SaaS服务商直接取得个人同意:再根据2.1小节探讨可知,若SaaS服务商能够自行决定数据处理目的和方式,则需要履行个人信息处理者的责任,因而需要向C端用户征得个人同意。
(二)处理个人信息不必然要求知情同意的例外
《个人信息保护法》第十三条在同意情形以外,有6项其他情形意味着处理者在个人信息主体没有做出同意的情形下,也可以处理个人信息;这给与了处理者相当的自由度和灵活度。其中,主营人力资源系统相关的SaaS服务商及其B端客户尤为关注的就是第十三条第二款的情形。但到底何为“人力资源管理所必需”,这一概念目前尚无定论,可这意味着B端客户作为用人单位,在处理个人信息前需要充分考量是否选择传统的知情同意路径。
另外,SaaS服务商为B端客户提供人力资源管理中的自动化决策,可能会涉及到经由弹性福利平台,根据员工个人信息做出自动化决策,从而进行员工福利管理。比如,HR部门可能利用SaaS产品对员工的个人信息进行大数据分析,为员工推荐其可能感兴趣的产品或服务,作为福利选择,以免避免众口难调。在此业务场景下,SaaS产品采集和分析的员工信息,是否属于“人力资源管理所必须”,还是超过了此范围,甚至过度采集了一些个人敏感信息,是值得考究的难点。
2、SaaS服务商往往存在转委托处理,面对多数据处理者的情形如何尽到合规义务?
《个人信息保护法》第二十一条
个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
个保法第二十一条规定的委托处理情形,尤其受到SaaS服务商的关注。该情形常见于SaaS服务商为了节省经济和技术成本,往往会将服务建立在其他云服务商的IaaS和PaaS平台上,或是根据业务需求引入其他SaaS服务商,这就存在转委托情形。在此场景下,SaaS平台收集到的客户数据会被其他SaaS平台或IaaS、PaaS平台访问和调取,因此难以界定各方的数据安全责任。
由此笔者建议,SaaS服务商在转委托时,首先应当经过B端客户的书面同意;其次,应当增强其安全保护措施,做好数据分类和数据隔离,提升防范病毒及安全措施的能力。
3、境内主体使用海外SaaS服务器的数据出境合规如何解决?
许多境内主体担心,目前的监管形势和法律要求之下,还能不能使用数据中心位于中国境外的SaaS服务器?不仅如此,越来越多的企业应用上云后,跨国公司的数据在云端存储,也会面临存储地点的数据合规问题。
根据《个人信息出境标准合同》《数据出境安全评估办法》的规定,数据出境活动已有了明确的定义。定义之中包含了数据处理者收集和产生的数据存储在境内,但境外的机构、组织或者个人可以访问或者调用的情况。那么,境内主体使用海外SaaS服务器必然属于“数据出境”,存在合规风险。但目前,监管机构还没有逐一主动查禁,暂且算是灰色地带。不过在数据出境的监管体系下,未来的监管走向必然会愈发严格。因此,作为数据处理者的境内主体(即境外SaaS服务商的境内B端客户)有主动履行数据出境合规的义务,其需要根据不同数据类型、体量,选择合适的数据出境合规路径。
在此情况下,境外SaaS服务商就需要履行提示、配合、数据安全技术补强的义务。
四、对SaaS服务商及其B端客户的数据合规指引
仅针对本文探讨的数据合规难点,笔者建议:
其一,SaaS服务商与其B端客户建立合作关系时,要格外注重合同内容的起草,切勿在与不同主体合作过程中使用同样的模板合同,而是要针对不同B端客户的不同需求,具体调整合同内容,确定所提供的服务功能、主体地位与权责边界,避免在发生数据安全事件时额外引发双方之间的纠纷。
其二,双方在合作过程中,涉及类似上述“人力资源管理所必须的”个人信息认定中,应持谨慎态度,宽泛保护,避免引发个人信息侵权事件需要承担连带侵权责任。
其三,双方均应组建专门的数据安全合规小组,委任有资质的人选担任DPO,牵头负责内部数据合规制度体系搭建。同时,海外SaaS服务商为中国境内主体提供服务时,也建议其在中国设立办公室或委任外部律师团队,负责其在中国境内客户的数据安全咨询负责人,以便于随时关注国内相关立法动态,因地制宜地解答中国境内客户的咨询。
其四,SaaS服务商应注重平台用户协议、免责声明等隐私政策的实时调整与更新,以使其准确符合其所提供服务当地的监管规则。
其五,针对于我国境内主体使用海外SaaS的情况,笔者认为,主动发起数据出境合规的义务人系我国境内主体,应选择安全评估或标准合同等合规路径,尽快进行数据出境合规申报或备案。而海外SaaS服务商作为境外数据接收方,则应当尽到主动提示与积极配合的义务。同时,也可以探索是否可以通过技术手段解决数据跨境传输的合规管控问题,例如,将受监管的数据存储到符合监管要求的云服务器上,而将没有监管要求的数据存储在企业客户自身控制的数据库上,即提供数据驻留云服务,以符合中国或其他国家的监管要求。
作者介绍
京师律所数据出境合规法律事务部,郭贺依律师。EXIN-DPO,数据安全师,企业合规师(高级),中国中小企业协会调解员。