美国当地时间2月24日,RSA大会2020的经典环节创新沙盒(Innovation Sandbox)评选结果出炉,专注于数据隐私保护与合规的创业公司Securiti.ai成功摘得桂冠,成为今年安全行业新风向引领者,再一次引起行业对于隐私合规产品和方案的期待。
隐私合规管理从数据为中心向数据与人双中心转变
自2018年5月25日GDPR生效至今,数据隐私保护已成为全球安全合规领域的焦点。全球至今有80多个国家相继颁布了数据保护的相关立法,我国在2017年就颁布了《网络安全法》并陆续出台了《个人信息安全规范》等国家标准,美国也于2020年开始生效CCPA法案。各国在争夺网络空间主权的同时,也将用户权益保障提升到了新的高度。以GDPR为例,它赋予了相关数据主体(用户)一系列特殊的权利,例如数据主体对于数据的可携带权、被遗忘权等等。对于法律赋予用户的权利,作为网络运营者的企业如何提升自身的合规能力,以保障其用户可以享有法律赋予的各项相关权益,对于企业来讲是一个前所未有的挑战。
传统的数据安全领域主要侧重于保障数据的CIA三性(机密性、可用性和完整性),但数据隐私强调的是保障数据主体(用户)对于其个人数据的控制能力,从而保障其合法权益不被侵害。传统的数据安全合规是面向数据种类的管理,而数据隐私合规是对每一位个人用户的个人数据进行管理。数据隐私的管理中心开始从只关注“数据”向关注”数据“和“人”转变。每一位个人用户都有可能提出差异化的权利主张,有的用户主张删除个人数据;有的主张携带其个人数据;有的个人用户要求企业不要再对其进行营销等等。身处不同国家地域的用户享有不同的权利,并且每个国家对于企业的响应时限要求又不尽相同。企业必须要赋予每一位个人用户应享有的权利,有能力为每一位用户提供“定制化”的隐私相关的服务;有能力从海量用户数据中准确地找出某一位用户的全部个人数据以履行客户删除数据或携带数据的权利。这些工作必须依赖于优秀的系统工具才能完成。
从这个角度看,与之前进行隐私保护更多从数据维度入手相比,现在更多的是增加了对用户自然人的权利保障,更加体现了隐私保护的受益对象是用户,因此不难判断,“基于身份的自动化数据隐私合规管理”将是企业开展数据合规工作的必经之路。
Securiti.ai隐私合规管理方案剖析
大多数人认为Securiti.ai解决了目前最受关注的个人数据隐私保护问题而夺冠并不意外。而我们通过分析发现,Securiti.ai此次展示的五款产品理念非常符合全球隐私合规管理趋势,同样是基于身份的自动化数据隐私合规管理,这也解释了为什么它能从诸多公司中脱颖而出入围十强并成功夺冠。
Securiti.ai提供的五款产品分别是Data Fulfillment Automation、PD Linking Automation、Assessment Automation、Third Party Risk Assessment、Consent Lifecycle。这体现了数据隐私合规的四个能力领域:敏感数据发现能力、客户维度数据管理能力、数据溯源能力、以及自动化合规监测能力。应用这四项合规技术能力可以解决企业面临的几个典型数据合规问题:
- 敏感数据发现能力: 从企业众多的内部系统中,发现存储某一用户的个人数据种类及位置;
- 客户维度数据管理能力:可以从海量的数据当中,在不影响其他用户数据的情况下,对某一个用户的个人数据进行处理;
- 数据溯源能力:可以跟踪每一条个人数据dataset的流转路径,包括系统之间、国家之间。
- 自动化合规监测能力:可以依赖系统,甚至大数据或AI技术。将合规要求转化成系统监控的指标,并在系统端进行自动化决策的过程。例如,通过判断用户所在国家,了解其所具有的权利种类。又例如解读各国关于数据出境的要求,从而对数据离境进行风险预警。
Data Fulfillment Automation为用户提供了一个权利请求窗口,在法律规定的时间内响应客户并以报告的形式呈现结果。产品背后需要应用“自动化合规监测能力”以辨别相关法律赋予用户的权利,如果该用户所适用的法律不支持数据可携带权,则前台不会展示此权利入口;其次产品需要具备“客户维度数据管理能力”以及“敏感数据发掘能力”以找到存储此用户数据的所有相关内部系统,以及系统里的个人数据。从而对目标个人数据进行处理(例如响应用户的删除请求),最后将执行结果前台展示给用户。
关于PD Linking Automation产品,Securiti.ai提出的People DataGraph技术就是应用了“敏感数据发现能力”和“客户维度数据管理能力”的结合,在海量数据中找到所有关联某一个用户的所有个人数据。通过“数据溯源能力”监测到个人数据跨国的场景,并进行可视化展示。通过“客户维度数据管理能力”也能在数据泄露后,从海量信息中找到用户的关联邮件、电话等信息进而联系客户。
Assessment Automation和Third Party Risk Assessment实质上是企业内部的合规管理工具,一个基于多方协同的在线评估工具。如果此产品能运用“自动化合规监测能力”,依据评估结果进行自动化合规符合性检查,就可以为企业数据合规治理形成闭环。
Consent Lifecycle(许可生命周期管理)工具是一个很好的透明化工具,用户可以通过权限管理窗口管理相关Cookie的使用,对于数据的采集及使用进行了透明化展示。但系统后台也运用了“客户维度数据管理能力”将每一位用户的授权情况记录在案并进行集中化管理。也可通过“敏感数据发现能力”监控网站Cookie是否获取了客户的个人数据,例如位置信息、浏览记录等等。
Securiti.ai 展示的五款产品分别解决了“用户主体权利请求及响应”、“个人数据使用透明化展示”、“数据泄露通知数据主体”、“数据主体授权”四个应用场景的问题。但在个人数据保护方面却没有涉足。
阿里云:让自动化隐私合规成为一种普惠能力
作为亚太最大的云服务商,阿里云自2009年成立至今一直坚守“数据隐私安全”作为第一准则,并不断实践。
首先,阿里云在自身数据隐私合规方面走在了国际前列。自2018年初阿里云便开展了GDPR合规项目,对自身的数据隐私合规体系进行了全面的升级,以满足EU GDPR、EU Cloud COC、新加坡PDPA、香港PDPO等相关要求;成为欧盟云行为准则大会(EU Cloud Code of Conduct)的创始成员,并根据GDPR第40条的要求,积极参与欧盟云服务行为准则的制定,并与多个欧盟数据合规监管机构进行了建设性合作;先后通过了ISO27018、ISO 27701、ISO 29151、BS 10012等认证,拿下ISO隐私保护认证体系全满贯。
第二,借助大数据处理分析、区块链等前沿技术,将自身数据隐私合规能力赋能客户,致力于让自动化隐私合规成为一种普惠能力:
- 在敏感数据发现方面,阿里云为云上客户提供了SDDP(敏感数据保护)产品,云上企业应用SDDP可以从海量数据中自动发现个人数据及其存储位置,记录并分析个人数据的使用情况,并且运用了“自动化合规监测能力”对标EU GDPR、中国网安法、国内等保等合规要求,从而对个人数据的使用进行监控并进行风险预测、审计追溯等操作。
- 在数据溯源能力方面,阿里云为客户提供了血缘级追溯能力,即企业可以追溯个人数据在数据库中流转的全生命周期,随时了解个人数据跨境流动情况,并根据字段类型进行合规风险预警。
- 在自动化合规监测能力方面,阿里经济体内部可以做到在数据溯源能力基础上,对于数据的流转进行合规监控。尤其是对个人数据在不同子公司及各国家地区的流动情况进行合规管理,并且可以根据每家子公司获取用户授权的情况,实现对数据流动进行不同需求的合规管理。此方案非常适用于跨国集团性企业,阿里经济体正在尝试开放此能力,让更多企业受益。
- 在用户授权方面,阿里经济体利用区块链的强大优势,提供去中心化数字身份C端应用服务,依托区块链去中心化身份、密码学、生物核身等前沿技术成果,针对于隐私保护场景,提供用户自主授权声明存证服务,实现安全可验证的隐私保护效果。此解决方案可以帮助企业解决与合作伙伴共享个人数据时的信任问题,降低下游企业使用个人数据的合规风险,也可以提升企业对于处理个人数据的透明度,进而提升企业隐私保护的形象。
第三,云原生的强大的数据安全保护能力是满足数据隐私安全的前提之一。阿里云提出了从数据产生、数据传输、数据处理、数据交换、数据存储及数据销毁全生命周期理念,以实现对数据的全链路保护;同时在云上为客户搭建了云平台安全可靠、密钥为用户完全可控、云平台侧内部操作日志为用户可见的全栈式数据防护体系,从流程、机制、技术等多个维度保障用户数据安全。
结语
数据隐私合规成为RSA大会2020的亮点之一,验证了“法律要求”与“安全产品及解决方案”的有机结合必将成为未来重要的发展趋势,在各国隐私相关立法百家争鸣之际,各国法律对于企业的数据隐私合规要求将越来越高。
数据隐私合规是一个全新的领域,各国立法及监管机构、以及世界的各行各业都在积极探索如何平衡隐私保护与科技发展的问题。这个领域源于对数据利用的担忧, 担忧大数据、人工智能、数据分析、人物画像、精准营销这些前沿科技对用户的隐私和安宁造成了侵害。但技术带来的问题,终究需要技术来解,“以科技能力处理科技带来的挑战”一直是阿里云安全努力的方向。阿里云借助强大的技术优势,不断探索研发基于云端的安全隐私产品及解决方案,利用云端优势帮助企业降低数据隐私合规成本,避免监管处罚风险、提升用户对于企业的信任。