美國當?shù)貢r間2月24日，RSA大會2020的經(jīng)典環(huán)節(jié)創(chuàng)新沙盒（Innovation Sandbox）評選結果出爐，專注于數(shù)據(jù)隱私保護與合規(guī)的創(chuàng)業(yè)公司Securiti.ai成功摘得桂冠，成為今年安全行業(yè)新風向引領者，再一次引起行業(yè)對于隱私合規(guī)產品和方案的期待。隱私合規(guī)管理從數(shù)據(jù)為中心向數(shù)據(jù)與人雙中心轉變


自2018年5月25日GDPR生效至今，數(shù)據(jù)隱私保護已成為全球安全合規(guī)領域的焦點。全球至今有80多個國家相繼頒布了數(shù)據(jù)保護的相關立法，我國在2017年就頒布了《網(wǎng)絡安全法》并陸續(xù)出臺了《個人信息安全規(guī)范》等國家標準，美國也于2020年開始生效CCPA法案。各國在爭奪網(wǎng)絡空間主權的同時，也將用戶權益保障提升到了新的高度。以GDPR為例，它賦予了相關數(shù)據(jù)主體（用戶）一系列特殊的權利，例如數(shù)據(jù)主體對于數(shù)據(jù)的可攜帶權、被遺忘權等等。對于法律賦予用戶的權利，作為網(wǎng)絡運營者的企業(yè)如何提升自身的合規(guī)能力，以保障其用戶可以享有法律賦予的各項相關權益，對于企業(yè)來講是一個前所未有的挑戰(zhàn)。

傳統(tǒng)的數(shù)據(jù)安全領域主要側重于保障數(shù)據(jù)的CIA三性（機密性、可用性和完整性），但數(shù)據(jù)隱私強調的是保障數(shù)據(jù)主體（用戶）對于其個人數(shù)據(jù)的控制能力，從而保障其合法權益不被侵害。傳統(tǒng)的數(shù)據(jù)安全合規(guī)是面向數(shù)據(jù)種類的管理，而數(shù)據(jù)隱私合規(guī)是對每一位個人用戶的個人數(shù)據(jù)進行管理。數(shù)據(jù)隱私的管理中心開始從只關注“數(shù)據(jù)”向關注”數(shù)據(jù)“和“人”轉變。每一位個人用戶都有可能提出差異化的權利主張，有的用戶主張刪除個人數(shù)據(jù)；有的主張攜帶其個人數(shù)據(jù)；有的個人用戶要求企業(yè)不要再對其進行營銷等等。身處不同國家地域的用戶享有不同的權利，并且每個國家對于企業(yè)的響應時限要求又不盡相同。企業(yè)必須要賦予每一位個人用戶應享有的權利，有能力為每一位用戶提供“定制化”的隱私相關的服務；有能力從海量用戶數(shù)據(jù)中準確地找出某一位用戶的全部個人數(shù)據(jù)以履行客戶刪除數(shù)據(jù)或攜帶數(shù)據(jù)的權利。這些工作必須依賴于優(yōu)秀的系統(tǒng)工具才能完成。

從這個角度看，與之前進行隱私保護更多從數(shù)據(jù)維度入手相比，現(xiàn)在更多的是增加了對用戶自然人的權利保障，更加體現(xiàn)了隱私保護的受益對象是用戶，因此不難判斷，“基于身份的自動化數(shù)據(jù)隱私合規(guī)管理”將是企業(yè)開展數(shù)據(jù)合規(guī)工作的必經(jīng)之路。

Securiti.ai隱私合規(guī)管理方案剖析

大多數(shù)人認為Securiti.ai解決了目前最受關注的個人數(shù)據(jù)隱私保護問題而奪冠并不意外。而我們通過分析發(fā)現(xiàn)，Securiti.ai此次展示的五款產品理念非常符合全球隱私合規(guī)管理趨勢，同樣是基于身份的自動化數(shù)據(jù)隱私合規(guī)管理，這也解釋了為什么它能從諸多公司中脫穎而出入圍十強并成功奪冠。

Securiti.ai提供的五款產品分別是Data Fulfillment Automation、PD Linking Automation、Assessment Automation、Third Party Risk Assessment、Consent Lifecycle。這體現(xiàn)了數(shù)據(jù)隱私合規(guī)的四個能力領域：敏感數(shù)據(jù)發(fā)現(xiàn)能力、客戶維度數(shù)據(jù)管理能力、數(shù)據(jù)溯源能力、以及自動化合規(guī)監(jiān)測能力。應用這四項合規(guī)技術能力可以解決企業(yè)面臨的幾個典型數(shù)據(jù)合規(guī)問題：

敏感數(shù)據(jù)發(fā)現(xiàn)能力: 從企業(yè)眾多的內部系統(tǒng)中，發(fā)現(xiàn)存儲某一用戶的個人數(shù)據(jù)種類及位置；

客戶維度數(shù)據(jù)管理能力：可以從海量的數(shù)據(jù)當中，在不影響其他用戶數(shù)據(jù)的情況下，對某一個用戶的個人數(shù)據(jù)進行處理；

數(shù)據(jù)溯源能力：可以跟蹤每一條個人數(shù)據(jù)dataset的流轉路徑，包括系統(tǒng)之間、國家之間。

自動化合規(guī)監(jiān)測能力：可以依賴系統(tǒng)，甚至大數(shù)據(jù)或AI技術。將合規(guī)要求轉化成系統(tǒng)監(jiān)控的指標，并在系統(tǒng)端進行自動化決策的過程。例如，通過判斷用戶所在國家，了解其所具有的權利種類。又例如解讀各國關于數(shù)據(jù)出境的要求，從而對數(shù)據(jù)離境進行風險預警。

Data Fulfillment Automation為用戶提供了一個權利請求窗口，在法律規(guī)定的時間內響應客戶并以報告的形式呈現(xiàn)結果。產品背后需要應用“自動化合規(guī)監(jiān)測能力”以辨別相關法律賦予用戶的權利，如果該用戶所適用的法律不支持數(shù)據(jù)可攜帶權，則前臺不會展示此權利入口；其次產品需要具備“客戶維度數(shù)據(jù)管理能力”以及“敏感數(shù)據(jù)發(fā)掘能力”以找到存儲此用戶數(shù)據(jù)的所有相關內部系統(tǒng)，以及系統(tǒng)里的個人數(shù)據(jù)。從而對目標個人數(shù)據(jù)進行處理（例如響應用戶的刪除請求），最后將執(zhí)行結果前臺展示給用戶。

關于PD Linking Automation產品，Securiti.ai提出的People DataGraph技術就是應用了“敏感數(shù)據(jù)發(fā)現(xiàn)能力”和“客戶維度數(shù)據(jù)管理能力”的結合，在海量數(shù)據(jù)中找到所有關聯(lián)某一個用戶的所有個人數(shù)據(jù)。通過“數(shù)據(jù)溯源能力”監(jiān)測到個人數(shù)據(jù)跨國的場景，并進行可視化展示。通過“客戶維度數(shù)據(jù)管理能力”也能在數(shù)據(jù)泄露后，從海量信息中找到用戶的關聯(lián)郵件、電話等信息進而聯(lián)系客戶。

Assessment Automation和Third Party Risk Assessment實質上是企業(yè)內部的合規(guī)管理工具，一個基于多方協(xié)同的在線評估工具。如果此產品能運用“自動化合規(guī)監(jiān)測能力”，依據(jù)評估結果進行自動化合規(guī)符合性檢查，就可以為企業(yè)數(shù)據(jù)合規(guī)治理形成閉環(huán)。

Consent Lifecycle（許可生命周期管理）工具是一個很好的透明化工具，用戶可以通過權限管理窗口管理相關Cookie的使用，對于數(shù)據(jù)的采集及使用進行了透明化展示。但系統(tǒng)后臺也運用了“客戶維度數(shù)據(jù)管理能力”將每一位用戶的授權情況記錄在案并進行集中化管理。也可通過“敏感數(shù)據(jù)發(fā)現(xiàn)能力”監(jiān)控網(wǎng)站Cookie是否獲取了客戶的個人數(shù)據(jù)，例如位置信息、瀏覽記錄等等。

Securiti.ai 展示的五款產品分別解決了“用戶主體權利請求及響應”、“個人數(shù)據(jù)使用透明化展示”、“數(shù)據(jù)泄露通知數(shù)據(jù)主體”、“數(shù)據(jù)主體授權”四個應用場景的問題。但在個人數(shù)據(jù)保護方面卻沒有涉足。

阿里云:讓自動化隱私合規(guī)成為一種普惠能力

作為亞太最大的云服務商，阿里云自2009年成立至今一直堅守“數(shù)據(jù)隱私安全”作為第一準則，并不斷實踐。

首先，阿里云在自身數(shù)據(jù)隱私合規(guī)方面走在了國際前列。自2018年初阿里云便開展了GDPR合規(guī)項目，對自身的數(shù)據(jù)隱私合規(guī)體系進行了全面的升級，以滿足EU GDPR、EU Cloud COC、新加坡PDPA、香港PDPO等相關要求；成為歐盟云行為準則大會（EU Cloud Code of Conduct）的創(chuàng)始成員，并根據(jù)GDPR第40條的要求，積極參與歐盟云服務行為準則的制定，并與多個歐盟數(shù)據(jù)合規(guī)監(jiān)管機構進行了建設性合作；先后通過了ISO27018、ISO 27701、ISO 29151、BS 10012等認證，拿下ISO隱私保護認證體系全滿貫。

第二，借助大數(shù)據(jù)處理分析、區(qū)塊鏈等前沿技術，將自身數(shù)據(jù)隱私合規(guī)能力賦能客戶，致力于讓自動化隱私合規(guī)成為一種普惠能力：

在敏感數(shù)據(jù)發(fā)現(xiàn)方面，阿里云為云上客戶提供了SDDP（敏感數(shù)據(jù)保護）產品，云上企業(yè)應用SDDP可以從海量數(shù)據(jù)中自動發(fā)現(xiàn)個人數(shù)據(jù)及其存儲位置，記錄并分析個人數(shù)據(jù)的使用情況，并且運用了“自動化合規(guī)監(jiān)測能力”對標EU GDPR、中國網(wǎng)安法、國內等保等合規(guī)要求，從而對個人數(shù)據(jù)的使用進行監(jiān)控并進行風險預測、審計追溯等操作。

在數(shù)據(jù)溯源能力方面，阿里云為客戶提供了血緣級追溯能力，即企業(yè)可以追溯個人數(shù)據(jù)在數(shù)據(jù)庫中流轉的全生命周期，隨時了解個人數(shù)據(jù)跨境流動情況，并根據(jù)字段類型進行合規(guī)風險預警。

在自動化合規(guī)監(jiān)測能力方面，阿里經(jīng)濟體內部可以做到在數(shù)據(jù)溯源能力基礎上，對于數(shù)據(jù)的流轉進行合規(guī)監(jiān)控。尤其是對個人數(shù)據(jù)在不同子公司及各國家地區(qū)的流動情況進行合規(guī)管理，并且可以根據(jù)每家子公司獲取用戶授權的情況，實現(xiàn)對數(shù)據(jù)流動進行不同需求的合規(guī)管理。此方案非常適用于跨國集團性企業(yè)，阿里經(jīng)濟體正在嘗試開放此能力，讓更多企業(yè)受益。

在用戶授權方面，阿里經(jīng)濟體利用區(qū)塊鏈的強大優(yōu)勢，提供去中心化數(shù)字身份C端應用服務，依托區(qū)塊鏈去中心化身份、密碼學、生物核身等前沿技術成果，針對于隱私保護場景，提供用戶自主授權聲明存證服務，實現(xiàn)安全可驗證的隱私保護效果。此解決方案可以幫助企業(yè)解決與合作伙伴共享個人數(shù)據(jù)時的信任問題，降低下游企業(yè)使用個人數(shù)據(jù)的合規(guī)風險，也可以提升企業(yè)對于處理個人數(shù)據(jù)的透明度，進而提升企業(yè)隱私保護的形象。

第三，云原生的強大的數(shù)據(jù)安全保護能力是滿足數(shù)據(jù)隱私安全的前提之一。阿里云提出了從數(shù)據(jù)產生、數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)存儲及數(shù)據(jù)銷毀全生命周期理念，以實現(xiàn)對數(shù)據(jù)的全鏈路保護；同時在云上為客戶搭建了云平臺安全可靠、密鑰為用戶完全可控、云平臺側內部操作日志為用戶可見的全棧式數(shù)據(jù)防護體系，從流程、機制、技術等多個維度保障用戶數(shù)據(jù)安全。

結語

數(shù)據(jù)隱私合規(guī)成為RSA大會2020的亮點之一，驗證了“法律要求”與“安全產品及解決方案”的有機結合必將成為未來重要的發(fā)展趨勢，在各國隱私相關立法百家爭鳴之際，各國法律對于企業(yè)的數(shù)據(jù)隱私合規(guī)要求將越來越高。

數(shù)據(jù)隱私合規(guī)是一個全新的領域，各國立法及監(jiān)管機構、以及世界的各行各業(yè)都在積極探索如何平衡隱私保護與科技發(fā)展的問題。這個領域源于對數(shù)據(jù)利用的擔憂， 擔憂大數(shù)據(jù)、人工智能、數(shù)據(jù)分析、人物畫像、精準營銷這些前沿科技對用戶的隱私和安寧造成了侵害。但技術帶來的問題，終究需要技術來解，“以科技能力處理科技帶來的挑戰(zhàn)”一直是阿里云安全努力的方向。阿里云借助強大的技術優(yōu)勢，不斷探索研發(fā)基于云端的安全隱私產品及解決方案，利用云端優(yōu)勢幫助企業(yè)降低數(shù)據(jù)隱私合規(guī)成本，避免監(jiān)管處罰風險、提升用戶對于企業(yè)的信任。