特别鸣谢

特邀顾问-汤倩玉

近日，在中共中央政治局第三十四次集体学习时，国家再次强调了网络强国战略和国家大数据战略。身处全球智能算力霸权时代，中国对正在经历的这场覆盖基础设施、算力和算法模型等多关键领域的科研之“战”抱有极大的期望和决心。 作为拥有着全世界最多的人口、大城市、工业场景和政府支持的国家，中国的数据资源极其丰富，也正因如此，确保数据的规范管理、有效保护和合法利用，对自身安全和国家的长远发展尤为重要。 近几年，个人信息泄露事件频频出现，从几年前爆出的wifi探针搜集用户手机信息，到今年315揭露出的商家偷取人脸信息、百万简历信息流向黑市，个人信息安全保护问题成为整个社会关注焦点。习总书记在会议中强调，要规范数字经济发展，坚持促进发展和监管规范两手抓，在发展中规范，在规范中发展。今年，《中华人民共和国个人信息保护法》在历经一年的修订后，将于11月1日正式施行。 个人信息保护法修订亮点 第十四条 基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。 第十五条 基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。 个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。 第十七条 个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项： （一）个人信息处理者的名称或者姓名和联系方式； （二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限； （三）个人行使本法规定权利的方式和程序； （四）法律、行政法规规定应当告知的其他事项。 前款规定事项发生变更的，应当将变更部分告知个人。 个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。 第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

1、SaaS行业的个人信息保护难点

SaaS服务商主要依托云计算向客户提供各类软件服务。目前市面上大多数的SaaS服务商服务的主要是B端客户，通过为B端客户提供一系列的工具或应用，助力企业数字化转型，而这当中就绕不过数据信息合规问题。 相较于直接服务C端用户的产品，服务于B端的SaaS产品在个人信息保护方面有其特殊性和复杂性。用户使用SaaS产品的场景通常是，B端客户收集C端用户个人信息，SaaS服务商经由B端客户授权，对C端用户信息进行处理。 那么，作为被委托方的SaaS服务商，是否应当征得C端用户的同意呢？ 由于普遍存在的层层外包等复杂情况，绝大多数SaaS服务平台所采取的方法是，与企业B端签订数据处理协议，由B端授权后，在C端首次激活平台使用时，以“隐私协议”的方式明确告知个人信息的使用情况和隐私保护的承诺。C端用户在勾选同意“隐私协议”后方可激活使用SaaS产品。

2、“隐私协议”可能存在的漏洞

SaaS服务商作为受托者凭以上方式处理个人信息的行为并不违反《民法典》和《个人信息保护法》。然而，市面上存在不良商家，看到隐私协议的漏洞，在获取个人信息使用权之后，将个人信息在用户不知情的情况下进行贩卖。在这个情形下，“隐私协议”已不足够保护用户的个人信息安全。 基于《个人信息保护法》第十四条、第十五条规定，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。2C行业发生的信息安全泄露问题对SaaS行业一样具有借鉴意义。SaaS服务商在使用个人信息的时候，如若存在不同场景，或有不同处理目的、处理方式，有义务重新向用户征询允许。

3、汇联易个人信息保护行业标杆

汇联易自成立以来，始终秉承“追求极致”的价值观，以成为中国最好的 SaaS 公司为目标。截至目前，大客户及合作伙伴三千余家，覆盖用户群体数百万，保持行业领先。汇联易是国内费控领域唯一一家拥有SOC1&2 双项认证的企业。拥有国家级高新企业证书，国家信息安全三级等保、ISO27001、ISO27017 等专业资质，有完善的信息安全管理制度，部署了多款具有国际标准的安全产品来实现数据的传输和存储安全。旗下品牌Spendia在日本历经海外市场层层严苛考验，位居市场前三。我们深知，在用户个人信息安全问题上绝对不允许惰怠。 针对此次《个人信息保护法》的出台实施，汇联易保留原有面向企业及个人的“隐私协议”，同时增加《汇联易消费商授权协议》，将用户每一次的个人信息数据使用动向——“哪些信息”、“提供给谁”、“个人可以如何实时管理授权”以及提问投诉渠道，清晰地一一罗列给每一位用户个体。

4、兼具“透明性”与“便捷性”的授权协议

当汇联易用户个人信息的处理目的、处理方式和处理的个人信息种类发生变更时，用户会收到授权提醒。只有在权限开通后，信息才会按照授权协议中的指示被使用，个人信息动向透明可监督。 与此同时，若用户未开通授权，汇联易也将严密保障用户的信息安全，为用户的信息打造最后也是最坚实的“保护墙”。 当再次出现同样的个人信息处理情况时，系统将会默认授权，以避免繁琐操作。同时，个人也可以在“授权管理”界面随时撤回同意，撤回前基于个人同意已进行的个人信息处理活动不受影响。这样的系统设计使得个人信息的授权既无负担，又便利可控。

5、授权协议对新老用户开启实施

《汇联易消费商授权协议》已在今年10月15日进入使用，弥补了SaaS行业“隐私协议”中，可能存在的个人信息使用动向不明的隐患。为个人信息的安全保障又添上一把安心锁。 对于B端用户可能存在的企业个人信息管理问题，系统提供企业管理选项，使成千上万的信息数据管理更规范、更可控。 对于新用户企业，系统会在初次的协议中提示勾选符合企业自身管控需求的功能选项；对于原有的老客户企业，系统将自动延续原有状态，并在后台提供更改选项以满足不同需求。

6、以实事求是的态度挖掘“数据价值”

国家对个人信息乃至大数据的监管，是对非法滥用行为的管控压制，更是对良好数字创新应用生态环境的鼓励，和对数字化经济发展的大力扶持。我们应当以实事求是的态度，在确保数据安全和监管到位的基础上，去充分发挥我国海量数据和丰富应用场景的优势，挖掘数据价值，为我国提高数字信息基础设施建设能力，打好关键核心技术攻坚战作牢靠的基石。 数字经济事关国家发展大局，为要做好我国数字经济发展顶层设计和体制机制建设，尽快实现高水平自立自强，汇联易呼吁SaaS行业所有同仁们：以自身行动在力所能及的领域，自觉拥护国家相关法案的出台，为推动数字经济更好服务和融入新发展格局尽己一份力！