作者:
廖智杰,阿里云安全合规云产品合规数据安全合规负责人
张志明,Lightning Cloud首席安全官
随着数字经济的高速发展,各国对数据安全问题的重视,也在不断提高,针对安全合规这一话题也成为企业出海所关注的核心话题,阿里云智能云产品安全合规负责人廖志杰先生以及lighting cloud首席安全官张志明先生为阿里云护航中国企业出海安全合规话题分享共同探讨复杂多变的国际形势下,出海企业如何应对不同国家,不同地区的安全合规问题。
我在阿里云负责安全合规工作已经有九年的时间,有很多机会跟客户进交流,在交流的过程中,我发现客户对安全合规的关注跟变化,特别是对阿里云的关注跟变化发生一些改变。
在之前跟客户聊的时候,客户经常问的一个问题是阿里云到底合不合规,今天大家问比较多的一个话题是阿里云如何合规,阿里云如何能帮助我的业务合规以及出海的过程中符合全球合规的要求。
分享主要分为四个部分,第一个部分,看全球的数据,合规发展一个趋势以及现在的态势,在全球合规的态势之下,阿里云对合规思考以及在帮助客户合规方面我们是怎么想的,在这中间展开客户最关心的两个话题,第一个是阿里云如何保护数据,当业务在云上的时候,当数据身家性命在云上的时候,你是怎么保护我的,第二个对于阿里云给客户还能提供什么样的一个数据合规方面的能力,关于合规如何帮助客户的业务思考和做法。
首先看一下全球的数据,合规的趋势,中国的情况,随着网络安全法的落地,监管是以等保为抓手持续的发挥它的影响力,等保是生命力很久的监管检查的方式,从年的个人信息保护法,以及数据安全法的落地监管检查并且进行处罚,成为一个常态,有一家企业在上市的过程中,因为数据合规方面的问题遭到审查,最后影响业务,也中断上市的计划,这是对业务是致命的打击,意味着什么,意味着数据合规在中国企业出海的过程中,在中国的法律的尊重性上也是需要关注的。
另外看到最近的数据,出境的管理办法的落地,出海的企业也特别关注关于数据的出境的问题,在全球来看会发现各国已经纷纷的关注数据的主权,已经上升到国家安全的高度,比如美国会对很多科技企业进行这样的一些检查,但是往往检查,不会违反哪个法律,动辄扣的帽子就是以国家安全为名。
我们观察到全球也包括中国,中国的数据,安全法的第一条里面提到为什么要立法,其实也是国家安全,在这些数据合规的里面,跨境是最关心的一个点,因为业务要出海,在业务数据的跨境上会发现Gdpr生效以来,它里面重点关注的是个人数据,也就是隐私,但是现在欧洲已经开始立法,有一个叫欧洲数据法案已经从跨境侧重点从个人数据开始倾向于非个人的数据。
在这么严格的数据合规的趋势之下,阿里云是如何思考的呢?
我们制定一个叫高质量合规的目标,平台符合法律的要求保护客户的数据,这句话听起来很朴实,但是要高质量做到目标并不容易,因为阿里云也是一家出海的企业,我们也要符合全球的法律和合规的要求。
左边图是我们发布在数据安全跟隐私保护的白皮书中,这张图里面会看到中间围绕的是以信任为核心构建的数据合规的体系,把这张图复杂的体系,抽象出三句话:
第一,制定严格的内控体系,通过严格的内控体系,以及我们的风险予以确保合规是高质量的落地;
第二,我们把产品的安全跟隐私的设计,融到的产品的每一个部分;
第三,第三方的认证跟审计,把做的内容进一个验证。
从排序可以看到对于合规的关注,不是为了合规,为了拿认证而做合规,而是把保护客户的数据打造业务合作的信任是最为最核心的基础,这是对于高质量合规的实践,在实践的过程中,客户也会关心非常关键的问题,就是阿里云到底是怎么样把实规合规落地,是怎么样保护我的数据,保护客户的数据的时候,先对客户数据的分类做一个介绍,我们把客户的数据分为三类:
第一类是客户的注册数据,也就是大家关注到的个人信息,个人数据,隐私保护的重点是注册数据。
第二类是客户的身家性命,也就是客户的业务数据,在阿里云的内部每年都会有很多的合规的培训考试。
合规的培训跟考试里面我们把客户的业务数据的重要性放在第一位。
第三类,是客户的公开信息。
对于客户的业务数据,有很多珠海的企业会经常问一个问题,个人数据是保留在什么国家,中国站的客户的注册数据是保留在中国大陆境内,对于国际站的客户的注册数据是放在新加坡,关于客户的业务数据,我们想强调和重申的是客户是业务数据的所有者,数据永远是客户,阿里云作为云服务的提供商,永远只会遵守客户的委托处理它的数据,不会使用客户的数据,也不会擅自的分享客户的业务数据,这是我们想强调的。
关于个人数据的隐私保护,这里介绍的是隐私保护的管理体系以及整个落地的体系,很多出海的企业会经常问,特别是当他去欧洲开展业务的时候,gdpr到底应该怎么样符合,我们会发现欧洲的gdpr,中国的个人信息保护法,都是非常严格的隐私保护的要求。
阿里云的实践是把全球的比较高严格的隐私合规的要求,通过一套严格的隐私管理体系进行落地,这套体系是以就高原则,并且覆盖全球,建议当客户的业务出海的时候,也要考虑到各国的隐私法不仅仅是欧洲以及业务开展的各个国家跟地区, 这些地方的隐私法,特别是对于个人数据的跨境到底有哪些要求,我们要建立自己的一套隐私管理体系,来去覆盖它,从隐私管理体系里面可以看到它包括组织,制度,流程,产品的评审,我们经常提到的pia、dpia个人数据的影响评估等等。
这个体系的落地,光是有这些流程或者制度是不够的。我们会通过定期的风险评估,安全运营确保这个体系可以落地。首先阿里云要保护客户的隐私。同时保护客户隐私的过程中能够充分的把这些记录给留下来。当客户对阿里云进行尽职调查的时候,比如要去欧洲开展业务,根据gdpr要对阿里云作为一个供应商进行调查,都能充分的配合,来确保客户的合规。
那么为了这个体系高效,并且是能够有效的进行,开发了很多支撑的工具跟平台。有很多客户也会问我们像这种方式,可不可以做到?
其实在云上我们提供很多这种高效的低代码开发的平台,是可以让客户的这种制度流程的体系能够高效的快速的运转起来。客户最关心的问题还是自己的业务数据,经常有一个客户半开玩笑的问我,你们真能保证这个数据真的是不会擅自使用吗,如果高管今天就要看某个客户的数据,你们会不会做?我们肯定不会这么做,如果这个高管这么做是违规的,我们不会发生这样的情况。
这套体系里面制定禁止非客户授权访问客户业务数据的这根红线,红线就是碰就肯定违规。因为阿里自己内部也有自己的合规部门跟廉政部门。通过权限最小化的原则,身份识别的访问,控制审计确保这根红线能够得以落地,但是这些东西还不够,高质量的合规是要打造客户的信任,互相看见是信任的基础,互相看见是透明化,思考怎么样把做这些东西能够透明化让客户能够感知到,客户能够接触到能够信任,所以我们思考内部的运维操作能不能把日志给到客户看,因此就开发一个项目叫水晶。
水晶意味着透明,希望尽可能的对客户透明,把内部的运维的操作日志通过一个操作审计的产品,以产品化的方式对外透明,当我们做了这些事情之后还委托第三方权威的审计机构,也就是会计师的事务所,审计报告要负法律责任,我们进行了审计,这个报告在信任中心的官网也可以申请跟下载查看。
接下篇:https://developer.aliyun.com/article/1221406?spm=a2c6h.13148508.setting.14.72e74f0eRkkMTf
