美國當(dāng)?shù)貢r間2月24日，RSA大會2020的經(jīng)典環(huán)節(jié)創(chuàng)新沙盒（Innovation Sandbox）評選結(jié)果出爐，專注于數(shù)據(jù)隱私保護(hù)與合規(guī)的創(chuàng)業(yè)公司Securiti.ai成功摘得桂冠，成為今年安全行業(yè)新風(fēng)向引領(lǐng)者，再一次引起行業(yè)對于隱私合規(guī)產(chǎn)品和方案的期待。隱私合規(guī)管理從數(shù)據(jù)為中心向數(shù)據(jù)與人雙中心轉(zhuǎn)變


自2018年5月25日GDPR生效至今，數(shù)據(jù)隱私保護(hù)已成為全球安全合規(guī)領(lǐng)域的焦點。全球至今有80多個國家相繼頒布了數(shù)據(jù)保護(hù)的相關(guān)立法，我國在2017年就頒布了《網(wǎng)絡(luò)安全法》并陸續(xù)出臺了《個人信息安全規(guī)范》等國家標(biāo)準(zhǔn)，美國也于2020年開始生效CCPA法案。各國在爭奪網(wǎng)絡(luò)空間主權(quán)的同時，也將用戶權(quán)益保障提升到了新的高度。以GDPR為例，它賦予了相關(guān)數(shù)據(jù)主體（用戶）一系列特殊的權(quán)利，例如數(shù)據(jù)主體對于數(shù)據(jù)的可攜帶權(quán)、被遺忘權(quán)等等。對于法律賦予用戶的權(quán)利，作為網(wǎng)絡(luò)運(yùn)營者的企業(yè)如何提升自身的合規(guī)能力，以保障其用戶可以享有法律賦予的各項相關(guān)權(quán)益，對于企業(yè)來講是一個前所未有的挑戰(zhàn)。

傳統(tǒng)的數(shù)據(jù)安全領(lǐng)域主要側(cè)重于保障數(shù)據(jù)的CIA三性（機(jī)密性、可用性和完整性），但數(shù)據(jù)隱私強(qiáng)調(diào)的是保障數(shù)據(jù)主體（用戶）對于其個人數(shù)據(jù)的控制能力，從而保障其合法權(quán)益不被侵害。傳統(tǒng)的數(shù)據(jù)安全合規(guī)是面向數(shù)據(jù)種類的管理，而數(shù)據(jù)隱私合規(guī)是對每一位個人用戶的個人數(shù)據(jù)進(jìn)行管理。數(shù)據(jù)隱私的管理中心開始從只關(guān)注“數(shù)據(jù)”向關(guān)注”數(shù)據(jù)“和“人”轉(zhuǎn)變。每一位個人用戶都有可能提出差異化的權(quán)利主張，有的用戶主張刪除個人數(shù)據(jù)；有的主張攜帶其個人數(shù)據(jù)；有的個人用戶要求企業(yè)不要再對其進(jìn)行營銷等等。身處不同國家地域的用戶享有不同的權(quán)利，并且每個國家對于企業(yè)的響應(yīng)時限要求又不盡相同。企業(yè)必須要賦予每一位個人用戶應(yīng)享有的權(quán)利，有能力為每一位用戶提供“定制化”的隱私相關(guān)的服務(wù)；有能力從海量用戶數(shù)據(jù)中準(zhǔn)確地找出某一位用戶的全部個人數(shù)據(jù)以履行客戶刪除數(shù)據(jù)或攜帶數(shù)據(jù)的權(quán)利。這些工作必須依賴于優(yōu)秀的系統(tǒng)工具才能完成。

從這個角度看，與之前進(jìn)行隱私保護(hù)更多從數(shù)據(jù)維度入手相比，現(xiàn)在更多的是增加了對用戶自然人的權(quán)利保障，更加體現(xiàn)了隱私保護(hù)的受益對象是用戶，因此不難判斷，“基于身份的自動化數(shù)據(jù)隱私合規(guī)管理”將是企業(yè)開展數(shù)據(jù)合規(guī)工作的必經(jīng)之路。

Securiti.ai隱私合規(guī)管理方案剖析

大多數(shù)人認(rèn)為Securiti.ai解決了目前最受關(guān)注的個人數(shù)據(jù)隱私保護(hù)問題而奪冠并不意外。而我們通過分析發(fā)現(xiàn)，Securiti.ai此次展示的五款產(chǎn)品理念非常符合全球隱私合規(guī)管理趨勢，同樣是基于身份的自動化數(shù)據(jù)隱私合規(guī)管理，這也解釋了為什么它能從諸多公司中脫穎而出入圍十強(qiáng)并成功奪冠。

Securiti.ai提供的五款產(chǎn)品分別是Data Fulfillment Automation、PD Linking Automation、Assessment Automation、Third Party Risk Assessment、Consent Lifecycle。這體現(xiàn)了數(shù)據(jù)隱私合規(guī)的四個能力領(lǐng)域：敏感數(shù)據(jù)發(fā)現(xiàn)能力、客戶維度數(shù)據(jù)管理能力、數(shù)據(jù)溯源能力、以及自動化合規(guī)監(jiān)測能力。應(yīng)用這四項合規(guī)技術(shù)能力可以解決企業(yè)面臨的幾個典型數(shù)據(jù)合規(guī)問題：

敏感數(shù)據(jù)發(fā)現(xiàn)能力: 從企業(yè)眾多的內(nèi)部系統(tǒng)中，發(fā)現(xiàn)存儲某一用戶的個人數(shù)據(jù)種類及位置；

客戶維度數(shù)據(jù)管理能力：可以從海量的數(shù)據(jù)當(dāng)中，在不影響其他用戶數(shù)據(jù)的情況下，對某一個用戶的個人數(shù)據(jù)進(jìn)行處理；

數(shù)據(jù)溯源能力：可以跟蹤每一條個人數(shù)據(jù)dataset的流轉(zhuǎn)路徑，包括系統(tǒng)之間、國家之間。

自動化合規(guī)監(jiān)測能力：可以依賴系統(tǒng)，甚至大數(shù)據(jù)或AI技術(shù)。將合規(guī)要求轉(zhuǎn)化成系統(tǒng)監(jiān)控的指標(biāo)，并在系統(tǒng)端進(jìn)行自動化決策的過程。例如，通過判斷用戶所在國家，了解其所具有的權(quán)利種類。又例如解讀各國關(guān)于數(shù)據(jù)出境的要求，從而對數(shù)據(jù)離境進(jìn)行風(fēng)險預(yù)警。

Data Fulfillment Automation為用戶提供了一個權(quán)利請求窗口，在法律規(guī)定的時間內(nèi)響應(yīng)客戶并以報告的形式呈現(xiàn)結(jié)果。產(chǎn)品背后需要應(yīng)用“自動化合規(guī)監(jiān)測能力”以辨別相關(guān)法律賦予用戶的權(quán)利，如果該用戶所適用的法律不支持?jǐn)?shù)據(jù)可攜帶權(quán)，則前臺不會展示此權(quán)利入口；其次產(chǎn)品需要具備“客戶維度數(shù)據(jù)管理能力”以及“敏感數(shù)據(jù)發(fā)掘能力”以找到存儲此用戶數(shù)據(jù)的所有相關(guān)內(nèi)部系統(tǒng)，以及系統(tǒng)里的個人數(shù)據(jù)。從而對目標(biāo)個人數(shù)據(jù)進(jìn)行處理（例如響應(yīng)用戶的刪除請求），最后將執(zhí)行結(jié)果前臺展示給用戶。

關(guān)于PD Linking Automation產(chǎn)品，Securiti.ai提出的People DataGraph技術(shù)就是應(yīng)用了“敏感數(shù)據(jù)發(fā)現(xiàn)能力”和“客戶維度數(shù)據(jù)管理能力”的結(jié)合，在海量數(shù)據(jù)中找到所有關(guān)聯(lián)某一個用戶的所有個人數(shù)據(jù)。通過“數(shù)據(jù)溯源能力”監(jiān)測到個人數(shù)據(jù)跨國的場景，并進(jìn)行可視化展示。通過“客戶維度數(shù)據(jù)管理能力”也能在數(shù)據(jù)泄露后，從海量信息中找到用戶的關(guān)聯(lián)郵件、電話等信息進(jìn)而聯(lián)系客戶。

Assessment Automation和Third Party Risk Assessment實質(zhì)上是企業(yè)內(nèi)部的合規(guī)管理工具，一個基于多方協(xié)同的在線評估工具。如果此產(chǎn)品能運(yùn)用“自動化合規(guī)監(jiān)測能力”，依據(jù)評估結(jié)果進(jìn)行自動化合規(guī)符合性檢查，就可以為企業(yè)數(shù)據(jù)合規(guī)治理形成閉環(huán)。

Consent Lifecycle（許可生命周期管理）工具是一個很好的透明化工具，用戶可以通過權(quán)限管理窗口管理相關(guān)Cookie的使用，對于數(shù)據(jù)的采集及使用進(jìn)行了透明化展示。但系統(tǒng)后臺也運(yùn)用了“客戶維度數(shù)據(jù)管理能力”將每一位用戶的授權(quán)情況記錄在案并進(jìn)行集中化管理。也可通過“敏感數(shù)據(jù)發(fā)現(xiàn)能力”監(jiān)控網(wǎng)站Cookie是否獲取了客戶的個人數(shù)據(jù)，例如位置信息、瀏覽記錄等等。

Securiti.ai 展示的五款產(chǎn)品分別解決了“用戶主體權(quán)利請求及響應(yīng)”、“個人數(shù)據(jù)使用透明化展示”、“數(shù)據(jù)泄露通知數(shù)據(jù)主體”、“數(shù)據(jù)主體授權(quán)”四個應(yīng)用場景的問題。但在個人數(shù)據(jù)保護(hù)方面卻沒有涉足。

阿里云:讓自動化隱私合規(guī)成為一種普惠能力

作為亞太最大的云服務(wù)商，阿里云自2009年成立至今一直堅守“數(shù)據(jù)隱私安全”作為第一準(zhǔn)則，并不斷實踐。

首先，阿里云在自身數(shù)據(jù)隱私合規(guī)方面走在了國際前列。自2018年初阿里云便開展了GDPR合規(guī)項目，對自身的數(shù)據(jù)隱私合規(guī)體系進(jìn)行了全面的升級，以滿足EU GDPR、EU Cloud COC、新加坡PDPA、香港PDPO等相關(guān)要求；成為歐盟云行為準(zhǔn)則大會（EU Cloud Code of Conduct）的創(chuàng)始成員，并根據(jù)GDPR第40條的要求，積極參與歐盟云服務(wù)行為準(zhǔn)則的制定，并與多個歐盟數(shù)據(jù)合規(guī)監(jiān)管機(jī)構(gòu)進(jìn)行了建設(shè)性合作；先后通過了ISO27018、ISO 27701、ISO 29151、BS 10012等認(rèn)證，拿下ISO隱私保護(hù)認(rèn)證體系全滿貫。

第二，借助大數(shù)據(jù)處理分析、區(qū)塊鏈等前沿技術(shù)，將自身數(shù)據(jù)隱私合規(guī)能力賦能客戶，致力于讓自動化隱私合規(guī)成為一種普惠能力：

在敏感數(shù)據(jù)發(fā)現(xiàn)方面，阿里云為云上客戶提供了SDDP（敏感數(shù)據(jù)保護(hù)）產(chǎn)品，云上企業(yè)應(yīng)用SDDP可以從海量數(shù)據(jù)中自動發(fā)現(xiàn)個人數(shù)據(jù)及其存儲位置，記錄并分析個人數(shù)據(jù)的使用情況，并且運(yùn)用了“自動化合規(guī)監(jiān)測能力”對標(biāo)EU GDPR、中國網(wǎng)安法、國內(nèi)等保等合規(guī)要求，從而對個人數(shù)據(jù)的使用進(jìn)行監(jiān)控并進(jìn)行風(fēng)險預(yù)測、審計追溯等操作。

在數(shù)據(jù)溯源能力方面，阿里云為客戶提供了血緣級追溯能力，即企業(yè)可以追溯個人數(shù)據(jù)在數(shù)據(jù)庫中流轉(zhuǎn)的全生命周期，隨時了解個人數(shù)據(jù)跨境流動情況，并根據(jù)字段類型進(jìn)行合規(guī)風(fēng)險預(yù)警。

在自動化合規(guī)監(jiān)測能力方面，阿里經(jīng)濟(jì)體內(nèi)部可以做到在數(shù)據(jù)溯源能力基礎(chǔ)上，對于數(shù)據(jù)的流轉(zhuǎn)進(jìn)行合規(guī)監(jiān)控。尤其是對個人數(shù)據(jù)在不同子公司及各國家地區(qū)的流動情況進(jìn)行合規(guī)管理，并且可以根據(jù)每家子公司獲取用戶授權(quán)的情況，實現(xiàn)對數(shù)據(jù)流動進(jìn)行不同需求的合規(guī)管理。此方案非常適用于跨國集團(tuán)性企業(yè)，阿里經(jīng)濟(jì)體正在嘗試開放此能力，讓更多企業(yè)受益。

在用戶授權(quán)方面，阿里經(jīng)濟(jì)體利用區(qū)塊鏈的強(qiáng)大優(yōu)勢，提供去中心化數(shù)字身份C端應(yīng)用服務(wù)，依托區(qū)塊鏈去中心化身份、密碼學(xué)、生物核身等前沿技術(shù)成果，針對于隱私保護(hù)場景，提供用戶自主授權(quán)聲明存證服務(wù)，實現(xiàn)安全可驗證的隱私保護(hù)效果。此解決方案可以幫助企業(yè)解決與合作伙伴共享個人數(shù)據(jù)時的信任問題，降低下游企業(yè)使用個人數(shù)據(jù)的合規(guī)風(fēng)險，也可以提升企業(yè)對于處理個人數(shù)據(jù)的透明度，進(jìn)而提升企業(yè)隱私保護(hù)的形象。

第三，云原生的強(qiáng)大的數(shù)據(jù)安全保護(hù)能力是滿足數(shù)據(jù)隱私安全的前提之一。阿里云提出了從數(shù)據(jù)產(chǎn)生、數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)存儲及數(shù)據(jù)銷毀全生命周期理念，以實現(xiàn)對數(shù)據(jù)的全鏈路保護(hù)；同時在云上為客戶搭建了云平臺安全可靠、密鑰為用戶完全可控、云平臺側(cè)內(nèi)部操作日志為用戶可見的全棧式數(shù)據(jù)防護(hù)體系，從流程、機(jī)制、技術(shù)等多個維度保障用戶數(shù)據(jù)安全。

結(jié)語

數(shù)據(jù)隱私合規(guī)成為RSA大會2020的亮點之一，驗證了“法律要求”與“安全產(chǎn)品及解決方案”的有機(jī)結(jié)合必將成為未來重要的發(fā)展趨勢，在各國隱私相關(guān)立法百家爭鳴之際，各國法律對于企業(yè)的數(shù)據(jù)隱私合規(guī)要求將越來越高。

數(shù)據(jù)隱私合規(guī)是一個全新的領(lǐng)域，各國立法及監(jiān)管機(jī)構(gòu)、以及世界的各行各業(yè)都在積極探索如何平衡隱私保護(hù)與科技發(fā)展的問題。這個領(lǐng)域源于對數(shù)據(jù)利用的擔(dān)憂， 擔(dān)憂大數(shù)據(jù)、人工智能、數(shù)據(jù)分析、人物畫像、精準(zhǔn)營銷這些前沿科技對用戶的隱私和安寧造成了侵害。但技術(shù)帶來的問題，終究需要技術(shù)來解，“以科技能力處理科技帶來的挑戰(zhàn)”一直是阿里云安全努力的方向。阿里云借助強(qiáng)大的技術(shù)優(yōu)勢，不斷探索研發(fā)基于云端的安全隱私產(chǎn)品及解決方案，利用云端優(yōu)勢幫助企業(yè)降低數(shù)據(jù)隱私合規(guī)成本，避免監(jiān)管處罰風(fēng)險、提升用戶對于企業(yè)的信任。