经常有客户和我讨论关于“数据安全”的话题,但我发现:客户通常问的并非技术上的“安全”,而是另外一个话题叫“数据隐私”。客户真正在意的是:你是否会把数据共享、或者卖给别人?一直以来,我认为这是杞人忧天,但近来SaaS圈里的一些动态还是让人有点不安。
例如,招聘管理系统(又称ATS)是一个帮助客户管理招聘过程的软件,它很重要的一个价值在于客户可以把从招聘网站、猎头、内部推荐等各个渠道而来的简历集中储存到这里,进行批量的处理和后续流程的操作。ATS厂商和众多的招聘服务商之间原本是这样在产业链上共同为客户提供不同价值的合作关系。
但随着竞争的加剧,有的招聘服务商开始尝试做ATS系统,也有ATS厂商逐渐向上游延伸做起了招聘服务商,这样各自的业务边界也模糊了,原本的生态关系也变得复杂了。这其中,一些纯SaaS模式的ATS厂商就开始尝试通过简历数据进行一些商业变现,包括:1、出售简历或者交换简历,2、简历刷新(注:用A客户的简历状态刷新B客户的简历状态,例如A客户内部推荐了一封简历,B客户被提示此人在找工作)。
那问题来了:SaaS厂商是否有权利利用系统或者平台中的数据变现,边界在哪里?这是一个需要认真思考且谨慎行动的话题,于是我花了点儿时间去研究了一下数据隐私,让我们来看一个各大厂商是如何定义这个边界的:
Microsoft:
将你的数据委托给 Office 365 之后,你仍然是数据的唯一所有者。存储在 Office 365 中的数据的一切权限、权利和利益均归你所有。你可以随时出于任何原因下载自己所有数据的副本,无需 Microsoft 协助。
根据我们的政策,除了为你提供云生产力服务之外,我们绝不会出于广告宣传的目的而挖掘或使用你的数据。
IBM:
您拥有并上传到 SaaS 产品的数据仍归您所有。
除了为您提供服务和支持外,我们不会出于任何其他原因使用您的数据。
只有在为您提供服务和支持时,才会根据需要授予针对您数据的访问权(最低程度的必要权限)。
Salesforce:
除非 Salesforce 主订购协议规定或者法律要求,否则 Salesforce 不会审核、共享、分发或引用任何此类客户数据。按照 Salesforce 主订购协议规定,Salesforce 仅可出于以下目的访问客户数据:提供服务、阻止或解决服务或技术问题和法律要求时。
关于数据隐私,各大SaaS厂商都有清晰的约定,大约分成几个层面的内容:1)数据的所有权是客户的; 2)数据不会被共享、分发和转售 3)客户可以随时将自己的数据下载下来。
由此推演:客户在ATS中存储的简历数据所有权归客户,厂商不允许将简历共享、分发及转售,客户可以随时将自己的数据下载下来。那简历售卖、简历刷新均是严重的侵犯客户数据隐私权的行为。
中美之间的差异是可以理解的,一直以来,欧洲和美国对于个人数据隐私权的管理相当成熟,所以才会有苹果和美国政府之间关于数据隐私的冲突。而在中国,则不然,所以才会出现:“徐玉玉电信诈骗案”的事件。(由于徐玉玉个人信息的泄露,作案者几乎是“精准诈骗”)
但这个情况正在发生改变…….
前天,民法总则草案提请全国人大常委会三次审议,个人信息保护被纳入立法视野。二审稿第109条增加了规定:“自然人的个人信息受到法律保护,任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。”
11月7号,人大表决通过了《中华人民共和国网络安全法》, 并将于明年6月1日起施行。在第四章35条,36条规定:“网络运营者收集、使用公民个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。”
也就是说:到了2017年6月1号,简历售卖、简历刷新这样的事情就变成违法的了。
在中国,SaaS才刚刚开始,大数据才刚刚开始,这对所有的从业者而言都是是一个极好的机会,但我们也看到了很多挑战。要让市场真正拥抱SaaS,解决客户对于数据隐私和数据安全的担忧是一个非常重要的基础。因此,所有的SaaS厂商都应该快速建立关于数据隐私的规范,并共同去维护这一基础商业规则——数据是客户的。
王坚博士在《在线》一书中提到:“每个人是否愿意把‘数据’这一新型的财富形式放在互联网上,是一个涉及体制架构、公民责任、社会环境,乃至和人性密切关联的问题”。国外的调查显示,为了享受互联网带来的便捷,大多数人和组织最终还是会选择承担数据隐私的风险选择将个人的数据储存在网络上,但作为网络时代的服务供应商,我们更加有责任去保护这些数据,真正担起数据委托人的信任,从而促进行业和社会的更快的良性发展。尊重和保护客户的数据隐私,关乎法理,更关乎企业的责任,希望与业界同仁共勉,共建一个健康的商业环境!