在移動網際網路時代，資料成為了這個時代的關鍵詞，無論是國家、企業還是個人，資料都是一筆寶貴的財富，在SaaS企業中，資料尤為重要。所以如何保障企業的資料安全成為企業思考的重點。

2018年11月8日-9日 由國內影響和連線企業服務決策人、B2B領域創始人社群-崔牛會，主辦的“迴歸 · 突破”2018中國企業網際網路CEO峰會，在北京遼寧大廈隆重舉行，國外大型投資機構Emergence Capital 的5位投資人蒞臨會場，國內投資機構與企服領域300多名CEO共同出席本次盛會，共話企服SaaS、數字化轉型。

安華金和創始人兼CEO劉曉韜出席了本次大會，並就《SaaS企業資料安全賦能》進行了精彩的演講。

安華金和創始人兼CEO劉曉韜

以下為演講實錄：

劉曉稻：今天我演講的題目是“SaaS企業資料安全賦能”。為什麼演講這個主題？跟我的個人經歷有關係。我過去做了14年開發，10年核心開發，9年資料安全創業，因為我只會做資料和資料安全。

他在會議上指出，SaaS企業在資料安全領域存在的問題，主要原因是SaaS企業目前對於資料安全的風險不重視。

2017年，我國陸續發生多起小規模資料交易事件引起的刑事訴訟。事實上，關於在資料安全上的立法，在2016年、2017年進入高峰期。最典型的是歐盟法案，這個法案裡有兩個非常驚人的數字，最高的罰款2000萬歐，第二是4%的營業額。我們國家對於資料安全的條例，最高實施的是刑事訴訟。

我們國家在2017年6月份，相繼推出了多項法律條款，逐漸使我們中國在資料上安全的共享使用上有了一個框架和邊界，同時也是對於SaaS企業發展的規範，因為SaaS企業本質是資料性企業。

我們可以看一下，在SaaS圈最牛的企業salesforce，salesforce為了有效的規避它的法律責任，首先是做了一個個人隱私和安全性的隱私宣告。它做的第一件事。向客戶說明為什麼收集使用者資料，以及會跟使用者表明資料的使用方式，所有的資料使用都是保證在客戶同意的前提下。

第二件事情，這些客戶說明未來這些資料會與哪些企業共享。未來我們國家資料的使用，也需要跟入戶方清晰闡述資料的使用。

第三件事情，個人資料的國際傳輸。其中有一個數據儲存所在地的要求，我們國家後來由網信辦牽頭出臺《資料管理辦法》，上述條款規定我國資料必須保留在中國境內。

第四件事情，企業自身資料的相關權利，包括企業對資料的自己的索取權、遺忘權、時間權等，這是國際性巨頭在應對這些安全問題的時候，採用的相關措施。

企業使用者在SaaS領域中存在一些擔憂，資料不在自己的手裡怎麼辦？送到雲上了，這個資料歸誰管？資料所有權在誰手上？萬一資料洩露了，誰來承擔相關責任？以及目前供應商安全措施是否足夠保證應對黑客攻擊。

SaaS企業面臨的資料洩露的途徑非常多，這些洩露裡包含：

• 第一，外部黑客入侵。
• 第二，內部運營人員對資料有直接的訪問權。
• 第三，不斷迭代的系統，開發測試直接訪問生產資料。
• 第四，第三方共享。
• 第五，雲平臺供應商。
• 第六，業務管理人員通過業務系統也可以批量性的獲得企業情報。
• 第七，大型的業務系統存在著潛在的缺陷。

SaaS服務商面臨的資料安全困境，我認為有四點：

• 第一點， 使用者信任危機阻礙了業務的發展。
• 今天早上崔牛分享的SaaS調查發現，有14%的使用者會因為這一塊擔心啟用SaaS服務。
• 第二點，法律的風險成為隱藏的炸彈。
• 對行業安全政策法律瞭解不深，在安全合規等問題上難免出現疏漏。
• 第三點，核心的資料資產缺乏防護的手段。
• SaaS服務商資料儲存在第三方雲平臺上，內部訪問無法控制。
• 第四點，缺乏系統化的解決方案，這個主要是由於IT結構複雜性和接觸資料人員的複雜性，缺乏專業的應對能力。