美國當地時間2月24日,RSA大會2020的經典環節創新沙盒(Innovation Sandbox)評選結果出爐,專注于資料隐私保護與合規的創業公司Securiti.ai成功摘得桂冠,成為今年安全行業新風向引領者,再一次引起行業對于隐私合規産品和方案的期待。
隐私合規管理從資料為中心向資料與人雙中心轉變
自2018年5月25日GDPR生效至今,資料隐私保護已成為全球安全合規領域的焦點。全球至今有80多個國家相繼頒布了資料保護的相關立法,我國在2017年就頒布了《網絡安全法》并陸續出台了《個人資訊安全規範》等國家标準,美國也于2020年開始生效CCPA法案。各國在争奪網絡空間主權的同時,也将使用者權益保障提升到了新的高度。以GDPR為例,它賦予了相關資料主體(使用者)一系列特殊的權利,例如資料主體對于資料的可攜帶權、被遺忘權等等。對于法律賦予使用者的權利,作為網絡營運者的企業如何提升自身的合規能力,以保障其使用者可以享有法律賦予的各項相關權益,對于企業來講是一個前所未有的挑戰。
傳統的資料安全領域主要側重于保障資料的CIA三性(機密性、可用性和完整性),但資料隐私強調的是保障資料主體(使用者)對于其個人資料的控制能力,進而保障其合法權益不被侵害。傳統的資料安全合規是面向資料種類的管理,而資料隐私合規是對每一位個人使用者的個人資料進行管理。資料隐私的管理中心開始從隻關注“資料”向關注”資料“和“人”轉變。每一位個人使用者都有可能提出差異化的權利主張,有的使用者主張删除個人資料;有的主張攜帶其個人資料;有的個人使用者要求企業不要再對其進行營銷等等。身處不同國家地域的使用者享有不同的權利,并且每個國家對于企業的響應時限要求又不盡相同。企業必須要賦予每一位個人使用者應享有的權利,有能力為每一位使用者提供“定制化”的隐私相關的服務;有能力從海量使用者資料中準确地找出某一位使用者的全部個人資料以履行客戶删除資料或攜帶資料的權利。這些工作必須依賴于優秀的系統工具才能完成。
從這個角度看,與之前進行隐私保護更多從資料次元入手相比,現在更多的是增加了對使用者自然人的權利保障,更加展現了隐私保護的受益對象是使用者,是以不難判斷,“基于身份的自動化資料隐私合規管理”将是企業開展資料合規工作的必經之路。
Securiti.ai隐私合規管理方案剖析
大多數人認為Securiti.ai解決了目前最受關注的個人資料隐私保護問題而奪冠并不意外。而我們通過分析發現,Securiti.ai此次展示的五款産品理念非常符合全球隐私合規管理趨勢,同樣是基于身份的自動化資料隐私合規管理,這也解釋了為什麼它能從諸多公司中脫穎而出入圍十強并成功奪冠。
Securiti.ai提供的五款産品分别是Data Fulfillment Automation、PD Linking Automation、Assessment Automation、Third Party Risk Assessment、Consent Lifecycle。這展現了資料隐私合規的四個能力領域:敏感資料發現能力、客戶次元資料管理能力、資料溯源能力、以及自動化合規監測能力。應用這四項合規技術能力可以解決企業面臨的幾個典型資料合規問題:
- 敏感資料發現能力: 從企業衆多的内部系統中,發現存儲某一使用者的個人資料種類及位置;
- 客戶次元資料管理能力:可以從海量的資料當中,在不影響其他使用者資料的情況下,對某一個使用者的個人資料進行處理;
- 資料溯源能力:可以跟蹤每一條個人資料dataset的流轉路徑,包括系統之間、國家之間。
- 自動化合規監測能力:可以依賴系統,甚至大資料或AI技術。将合規要求轉化成系統監控的名額,并在系統端進行自動化決策的過程。例如,通過判斷使用者所在國家,了解其所具有的權利種類。又例如解讀各國關于資料出境的要求,進而對資料離境進行風險預警。
Data Fulfillment Automation為使用者提供了一個權利請求視窗,在法律規定的時間内響應客戶并以報告的形式呈現結果。産品背後需要應用“自動化合規監測能力”以辨識相關法律賦予使用者的權利,如果該使用者所适用的法律不支援資料可攜帶權,則前台不會展示此權利入口;其次産品需要具備“客戶次元資料管理能力”以及“敏感資料發掘能力”以找到存儲此使用者資料的所有相關内部系統,以及系統裡的個人資料。進而對目标個人資料進行處理(例如響應使用者的删除請求),最後将執行結果前台展示給使用者。
關于PD Linking Automation産品,Securiti.ai提出的People DataGraph技術就是應用了“敏感資料發現能力”和“客戶次元資料管理能力”的結合,在海量資料中找到所有關聯某一個使用者的所有個人資料。通過“資料溯源能力”監測到個人資料跨國的場景,并進行可視化展示。通過“客戶次元資料管理能力”也能在資料洩露後,從海量資訊中找到使用者的關聯郵件、電話等資訊進而聯系客戶。
Assessment Automation和Third Party Risk Assessment實質上是企業内部的合規管理工具,一個基于多方協同的線上評估工具。如果此産品能運用“自動化合規監測能力”,依據評估結果進行自動化合規符合性檢查,就可以為企業資料合規治理形成閉環。
Consent Lifecycle(許可生命周期管理)工具是一個很好的透明化工具,使用者可以通過權限管理視窗管理相關Cookie的使用,對于資料的采集及使用進行了透明化展示。但系統背景也運用了“客戶次元資料管理能力”将每一位使用者的授權情況記錄在案并進行集中化管理。也可通過“敏感資料發現能力”監控網站Cookie是否擷取了客戶的個人資料,例如位置資訊、浏覽記錄等等。
Securiti.ai 展示的五款産品分别解決了“使用者主體權利請求及響應”、“個人資料使用透明化展示”、“資料洩露通知資料主體”、“資料主體授權”四個應用場景的問題。但在個人資料保護方面卻沒有涉足。
阿裡雲:讓自動化隐私合規成為一種普惠能力
作為亞太最大的雲服務商,阿裡雲自2009年成立至今一直堅守“資料隐私安全”作為第一準則,并不斷實踐。
首先,阿裡雲在自身資料隐私合規方面走在了國際前列。自2018年初阿裡雲便開展了GDPR合規項目,對自身的資料隐私合規體系進行了全面的更新,以滿足EU GDPR、EU Cloud COC、新加坡PDPA、香港PDPO等相關要求;成為歐盟雲行為準則大會(EU Cloud Code of Conduct)的創始成員,并根據GDPR第40條的要求,積極參與歐盟雲服務行為準則的制定,并與多個歐盟資料合規監管機構進行了建設性合作;先後通過了ISO27018、ISO 27701、ISO 29151、BS 10012等認證,拿下ISO隐私保護認證體系全滿貫。
第二,借助大資料處理分析、區塊鍊等前沿技術,将自身資料隐私合規能力賦能客戶,緻力于讓自動化隐私合規成為一種普惠能力:
- 在敏感資料發現方面,阿裡雲為雲上客戶提供了SDDP(敏感資料保護)産品,雲上企業應用SDDP可以從海量資料中自動發現個人資料及其存儲位置,記錄并分析個人資料的使用情況,并且運用了“自動化合規監測能力”對标EU GDPR、中國網安法、國内等保等合規要求,進而對個人資料的使用進行監控并進行風險預測、審計追溯等操作。
- 在資料溯源能力方面,阿裡雲為客戶提供了血緣級追溯能力,即企業可以追溯個人資料在資料庫中流轉的全生命周期,随時了解個人資料跨境流動情況,并根據字段類型進行合規風險預警。
- 在自動化合規監測能力方面,阿裡經濟體内部可以做到在資料溯源能力基礎上,對于資料的流轉進行合規監控。尤其是對個人資料在不同子公司及各國家地區的流動情況進行合規管理,并且可以根據每家子公司擷取使用者授權的情況,實作對資料流動進行不同需求的合規管理。此方案非常适用于跨國集團性企業,阿裡經濟體正在嘗試開放此能力,讓更多企業受益。
- 在使用者授權方面,阿裡經濟體利用區塊鍊的強大優勢,提供去中心化數字身份C端應用服務,依托區塊鍊去中心化身份、密碼學、生物核身等前沿技術成果,針對于隐私保護場景,提供使用者自主授權聲明存證服務,實作安全可驗證的隐私保護效果。此解決方案可以幫助企業解決與合作夥伴共享個人資料時的信任問題,降低下遊企業使用個人資料的合規風險,也可以提升企業對于處理個人資料的透明度,進而提升企業隐私保護的形象。
第三,雲原生的強大的資料安全保護能力是滿足資料隐私安全的前提之一。阿裡雲提出了從資料産生、資料傳輸、資料處理、資料交換、資料存儲及資料銷毀全生命周期理念,以實作對資料的全鍊路保護;同時在雲上為客戶搭建了雲平台安全可靠、密鑰為使用者完全可控、雲平台側内部記錄檔為使用者可見的全棧式資料防護體系,從流程、機制、技術等多個次元保障使用者資料安全。
結語
資料隐私合規成為RSA大會2020的亮點之一,驗證了“法律要求”與“安全産品及解決方案”的有機結合必将成為未來重要的發展趨勢,在各國隐私相關立法百家争鳴之際,各國法律對于企業的資料隐私合規要求将越來越高。
資料隐私合規是一個全新的領域,各國立法及監管機構、以及世界的各行各業都在積極探索如何平衡隐私保護與科技發展的問題。這個領域源于對資料利用的擔憂, 擔憂大資料、人工智能、資料分析、人物畫像、精準營銷這些前沿科技對使用者的隐私和安甯造成了侵害。但技術帶來的問題,終究需要技術來解,“以科技能力處理科技帶來的挑戰”一直是阿裡雲安全努力的方向。阿裡雲借助強大的技術優勢,不斷探索研發基于雲端的安全隐私産品及解決方案,利用雲端優勢幫助企業降低資料隐私合規成本,避免監管處罰風險、提升使用者對于企業的信任。