欧盟通用数据保护条例要求（GDPR）在5月25日正式生效。生效日之前，阿里云已全面按照GDPR要求，推进数据保护工作 —— 从平台、系统、产品、服务、合规、流程、政策等方面，准备就绪。

6月7日的上海云栖 · GDPR专场上，阿里云安全事业部总经理、国际合规高级专家，以及阿里巴巴国际法务负责人，将阿里云GDPR准备工作中的每一个经验与实践，通过演讲和问答的形式，分享了出来。

两年多的准备周期背后，阿里云积累了一整套“从管理到流程，从法务到服务”的最佳实践和方法论：Privay Building Blocks。阿里云认为：企业可采取“多模块搭建的方法”做好隐私保护工作，重视多团队，多部门协作。

—

肖力

阿里云安全事业部总经理

以GDPR为起跑线，阿里云愿帮助全球企业一同跑赢隐私保护这程马拉松

肖力从企业安全与隐私保护的维度，剖析了数字安全时代，企业所面临的全新挑战，和隐私保护工作的三个变化：隐私保护边界扩大，隐私保护运营需要“全民皆兵”，隐私保护设计的原则会被越来越多企业接受。

（1）隐私保护边界扩大，多部门协作是解法。肖力判断，大型企业接下来会更加关注生态合作伙伴、供应链层面的数据安全和隐私保护。整个隐私保护的边界会逐步扩大，不仅涉及内部的流程、产品设计、全部门协作，也涉及到第三方的管理。

（2）隐私保护需要持续运营，“全民皆兵”，才能做好。隐私保护不是一次性、一揽子工作，需要持续运营。一方面，需要强壮的技术、产品、财务、法务、运营团队支撑企业隐私保护能力；另一方面，企业在隐私保护运营上需做到“全民皆兵”：决不能靠一个团队去兜底，而是需要通过培训、教育，让每一个员工在意识上、能力上投入隐私保护工作。

（3）默认隐私设计要一以贯之。默认隐私设计与阿里云所坚持的“默认安全”理念相通 — 在产品、服务设计初期，新技术诞生之始，就要考虑隐私和安全的部分。

“数字安全时代，企业更多关注数据的安全。安全，不仅仅指系统、网络、应用等各个层面的安全，也涉及数据在各层之间的流动，数据生命周期管理。隐私保护，也不仅是一个技术问题，更是一个法律、流程、管理、产品设计问题。”

肖力提到一个必然的趋势：数字安全时代，企业无疑需要更重视数据安全和隐私保护，GDPR只是这程马拉松的起点；

在未来，隐私和安全，会影响业务发展方向，成为业务健康度的重要判断依据。国内外，将会有更多围绕GDPR的隐私保护法案出台、落地，从监管角度推动企业去转型。

数据隐私保护是阿里云的第一原则和生命线。遵循GDPR的要求，阿里云已从技术应用、架构设计、机制流程、合规审计、学术创新、生态建设等方面，不断完善数据安全能力，用实践履行对隐私保护的承诺。

肖力提到：“在数据安全和隐私保护建设中，我们实现了数据的全链路加密 — 数据的产生、存储、传输、销毁，都在受保护的环境中进行。

另一方面，我们持续完善数据隐私保护机制 —比如建立隐私保护小组，对产品上线实行安全+隐私双评估。

向未来走一步，阿里云持续关注全球隐私保护技术创新 — 将数据智能融入安全和隐私保护领域，最终目的是为产业和客户赋能。

—

刘允泉（Albert）

阿里巴巴国际业务法务VP & Deputy General Counsel

建立合规“金字塔”，再落实到管理流程中

Albert首先与在座分享了阿里云自身在全球合规上的“多层梯度”原则：覆盖基础和必备资质（例如ISO体系，CSA STAR Gold）、地域合规（MTCS，Trusted Cloud等）、行业合规（比如健康、媒体、金融）、审计报告（SOC）。

Albert也提到了各个部门的协同参与隐私保护工作的重要性。

“在阿里云筹备GDPR的过程中，协同了业务、合规、安全、法务、*关系、中台等部门，法律和咨询合作伙伴，也加入了整个准备工作中。

“我们将GPDR拆解为18个主要的项目，分成34个阶段，最终在2018年5月25日之前，从技术、流程、管理、人员等各个方面准备就绪。”

例如，在产品规划当中，阿里云遵从默认隐私设计（Privacy by Design）理念，将安全融入到系统和产品设计中。所有新发布的云产品上线之前，须通过安全+隐私设计双重评估，确保证其合规性。

针对“数据的被遗忘的权利/删除权”，目前，阿里云为客户提供账号删除功能，全球客户可以自助操作完成。

在GDPR生效之前，阿里云也已通过TRUSTe企业隐私认证，并符合新加坡的人数据保护法（PDPA）要求。

Albert对企业的GDPR建议是：GDPR不是一条“标准线”，是一个持续的工作。隐私保护，应该是每个企业必须具备的思维模式。

—

阿里云国际合规团队

GDPR，我们所亲历和听到的误区、经验、解法

阿里云国际合规团队更多分享其在与客户、合作伙伴交流过程中，所听到的实际问题和解法。许多企业和企业在准备GDPR的过程中，有“过度忽视”和“过度紧张”的两种状态。由“过度忽视”造成的误区有：

（1）误区：认为借助工具、平台、服务，可以很好地符合GDPR法规要求。

解：没有任何单一的工具、产品、服务、平台、服务商，可以解决GDPR，和其它隐私保护的所有问题。GDPR是企业和机构内部多部门协作，以实现能力、流程、机制全面优化。

（2）误区：认为通过第三方审计/评估，等于符合GDPR法规要求。

解：GDPR是一个持续性的工作，阶段性的审计评估，不代表在GDPR上的持续有效性。目前，很多机构都想推动各自的标准，成为GDPR框架下的Code Of Conduct。

然而，当下的Working Party29，或The European Data Protection Board (EDPB) ，还没有通过国际标准/行业标准成为Code of Conduct。因此，企业对于市场上的Code Of Conduct效力，也需要有清晰的认识与判断。

（3）误区：通过律所来完善法律文件，就是符合GDPR法规要求。

解：GDPR对文件的要求的确很高，但GDPR并非单纯的“法务”工作，如果只是在公司内部的法务流程和文件完善，而其他部门：信息安全、运营、IT等，参与少，仍不能称为为GDPR做好充分准备。

企业和机构对于GDPR“过度紧张”的误区有：

（1）误区：认为GDPR = 数据完全不离境。

解：GDPR在数据跨境前加了很多先决条件，比如授权问题，数据使用场景和目的等：要求数据处理者，把采集数据的目的、场景说清楚。

（2）误区：GDPR要求的客户授权。所以如果客户不授权，就不能提供服务。

解：很多企业会把这个一刀切，其实要根据具体授权场景来看。比如，如果客户不允许一家企业和机构向他推送市场消息，那么则不可做推送市场消息的行动，而不是拒绝向其提供服务。

（3）误区：认为GDPR = 尽量不保存客户数据在自己的系统

解：这对业务来说也是不合理的。GDPR要求的是对个人数据的权利予以满足，充分尊重数据主体对其数据的控制权。

分享完常见的GDPR误区之后，合规团队也再次强调了团队分工协作，与“机制流程落到实处”的重要性。

阿里云的隐私保护工作核心团队是法务与合规部门，通过与产品、安全、IT、运营等团队的配合，共同推进隐私保护工作。

例如，设立Privacy Operations Center（POC），相当于安全领域中的SOC — 所有的隐私保护流程、机制都以POC为枢纽；内部严格执行SPLC的流程，做隐私和安全的双重评估，把所有的隐私和安全要求融入到这个流程中。

在职责分工上，产品团队需要考虑产品设计过程中考虑隐私的要求，确保产品功能、设计通过法务和合规团队审批；

IT系统架构团队负责架构设计与调整要依据相应的隐私保护制度，依据合规团队的评估与建议修订架构设计；

运营团队确保运营行为严格遵守隐私保护的流程与制度，判断新的运营需求是否涉及客户隐私，并通过法务与合规团队审批。

DPIA（Data Protection Impact Assessment ）则是每个团队都会做的事情。

在自身准备就绪的基础上，阿里云正在通过建立全球生态，帮助客户提升隐私保护水平。与第三方隐私合规机构TrustArc达成合作，向全球企业提供从咨询、计划定制、到合规改造执行的解决方案。