从RSA2020看合规风向:基于身份的自动化隐私合规管理成趋势

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全中心 防病毒版,最高20核 3个月
简介: 传统的数据安全领域主要侧重于保障数据的CIA三性(机密性、可用性和完整性),但数据隐私强调的是保障数据主体(用户)对于其个人数据的控制能力,从而保障其合法权益不被侵害。传统的数据安全合规是面向数据种类的管理,而数据隐私合规是对每一位个人用户的个人数据进行管理。

美国当地时间2月24日,RSA大会2020的经典环节创新沙盒(Innovation Sandbox)评选结果出炉,专注于数据隐私保护与合规的创业公司Securiti.ai成功摘得桂冠,成为今年安全行业新风向引领者,再一次引起行业对于隐私合规产品和方案的期待。

隐私合规管理从数据为中心向数据与人双中心转变

自2018年5月25日GDPR生效至今,数据隐私保护已成为全球安全合规领域的焦点。全球至今有80多个国家相继颁布了数据保护的相关立法,我国在2017年就颁布了《网络安全法》并陆续出台了《个人信息安全规范》等国家标准,美国也于2020年开始生效CCPA法案。各国在争夺网络空间主权的同时,也将用户权益保障提升到了新的高度。以GDPR为例,它赋予了相关数据主体(用户)一系列特殊的权利,例如数据主体对于数据的可携带权、被遗忘权等等。对于法律赋予用户的权利,作为网络运营者的企业如何提升自身的合规能力,以保障其用户可以享有法律赋予的各项相关权益,对于企业来讲是一个前所未有的挑战。

传统的数据安全领域主要侧重于保障数据的CIA三性(机密性、可用性和完整性),但数据隐私强调的是保障数据主体(用户)对于其个人数据的控制能力,从而保障其合法权益不被侵害。传统的数据安全合规是面向数据种类的管理,而数据隐私合规是对每一位个人用户的个人数据进行管理。数据隐私的管理中心开始从只关注“数据”向关注”数据“和“人”转变。每一位个人用户都有可能提出差异化的权利主张,有的用户主张删除个人数据;有的主张携带其个人数据;有的个人用户要求企业不要再对其进行营销等等。身处不同国家地域的用户享有不同的权利,并且每个国家对于企业的响应时限要求又不尽相同。企业必须要赋予每一位个人用户应享有的权利,有能力为每一位用户提供“定制化”的隐私相关的服务;有能力从海量用户数据中准确地找出某一位用户的全部个人数据以履行客户删除数据或携带数据的权利。这些工作必须依赖于优秀的系统工具才能完成。

从这个角度看,与之前进行隐私保护更多从数据维度入手相比,现在更多的是增加了对用户自然人的权利保障,更加体现了隐私保护的受益对象是用户,因此不难判断,“基于身份的自动化数据隐私合规管理”将是企业开展数据合规工作的必经之路

_1

Securiti.ai隐私合规管理方案剖析

大多数人认为Securiti.ai解决了目前最受关注的个人数据隐私保护问题而夺冠并不意外。而我们通过分析发现,Securiti.ai此次展示的五款产品理念非常符合全球隐私合规管理趋势,同样是基于身份的自动化数据隐私合规管理,这也解释了为什么它能从诸多公司中脱颖而出入围十强并成功夺冠。

Securiti.ai提供的五款产品分别是Data Fulfillment Automation、PD Linking Automation、Assessment Automation、Third Party Risk Assessment、Consent Lifecycle。这体现了数据隐私合规的四个能力领域:敏感数据发现能力、客户维度数据管理能力、数据溯源能力、以及自动化合规监测能力。应用这四项合规技术能力可以解决企业面临的几个典型数据合规问题:

  • 敏感数据发现能力: 从企业众多的内部系统中,发现存储某一用户的个人数据种类及位置;
  • 客户维度数据管理能力:可以从海量的数据当中,在不影响其他用户数据的情况下,对某一个用户的个人数据进行处理;
  • 数据溯源能力:可以跟踪每一条个人数据dataset的流转路径,包括系统之间、国家之间。
  • 自动化合规监测能力:可以依赖系统,甚至大数据或AI技术。将合规要求转化成系统监控的指标,并在系统端进行自动化决策的过程。例如,通过判断用户所在国家,了解其所具有的权利种类。又例如解读各国关于数据出境的要求,从而对数据离境进行风险预警。

Data Fulfillment Automation为用户提供了一个权利请求窗口,在法律规定的时间内响应客户并以报告的形式呈现结果。产品背后需要应用“自动化合规监测能力”以辨别相关法律赋予用户的权利,如果该用户所适用的法律不支持数据可携带权,则前台不会展示此权利入口;其次产品需要具备“客户维度数据管理能力”以及“敏感数据发掘能力”以找到存储此用户数据的所有相关内部系统,以及系统里的个人数据。从而对目标个人数据进行处理(例如响应用户的删除请求),最后将执行结果前台展示给用户。

关于PD Linking Automation产品,Securiti.ai提出的People DataGraph技术就是应用了“敏感数据发现能力”和“客户维度数据管理能力”的结合,在海量数据中找到所有关联某一个用户的所有个人数据。通过“数据溯源能力”监测到个人数据跨国的场景,并进行可视化展示。通过“客户维度数据管理能力”也能在数据泄露后,从海量信息中找到用户的关联邮件、电话等信息进而联系客户。

Assessment Automation和Third Party Risk Assessment实质上是企业内部的合规管理工具,一个基于多方协同的在线评估工具。如果此产品能运用“自动化合规监测能力”,依据评估结果进行自动化合规符合性检查,就可以为企业数据合规治理形成闭环。

Consent Lifecycle(许可生命周期管理)工具是一个很好的透明化工具,用户可以通过权限管理窗口管理相关Cookie的使用,对于数据的采集及使用进行了透明化展示。但系统后台也运用了“客户维度数据管理能力”将每一位用户的授权情况记录在案并进行集中化管理。也可通过“敏感数据发现能力”监控网站Cookie是否获取了客户的个人数据,例如位置信息、浏览记录等等。

Securiti.ai 展示的五款产品分别解决了“用户主体权利请求及响应”、“个人数据使用透明化展示”、“数据泄露通知数据主体”、“数据主体授权”四个应用场景的问题。但在个人数据保护方面却没有涉足。

_2

阿里云:让自动化隐私合规成为一种普惠能力

作为亚太最大的云服务商,阿里云自2009年成立至今一直坚守“数据隐私安全”作为第一准则,并不断实践。

首先,阿里云在自身数据隐私合规方面走在了国际前列。自2018年初阿里云便开展了GDPR合规项目,对自身的数据隐私合规体系进行了全面的升级,以满足EU GDPR、EU Cloud COC、新加坡PDPA、香港PDPO等相关要求;成为欧盟云行为准则大会(EU Cloud Code of Conduct)的创始成员,并根据GDPR第40条的要求,积极参与欧盟云服务行为准则的制定,并与多个欧盟数据合规监管机构进行了建设性合作;先后通过了ISO27018、ISO 27701、ISO 29151、BS 10012等认证,拿下ISO隐私保护认证体系全满贯。

第二,借助大数据处理分析、区块链等前沿技术,将自身数据隐私合规能力赋能客户,致力于让自动化隐私合规成为一种普惠能力:

  • 在敏感数据发现方面,阿里云为云上客户提供了SDDP(敏感数据保护)产品,云上企业应用SDDP可以从海量数据中自动发现个人数据及其存储位置,记录并分析个人数据的使用情况,并且运用了“自动化合规监测能力”对标EU GDPR、中国网安法、国内等保等合规要求,从而对个人数据的使用进行监控并进行风险预测、审计追溯等操作。

_3

  • 在数据溯源能力方面,阿里云为客户提供了血缘级追溯能力,即企业可以追溯个人数据在数据库中流转的全生命周期,随时了解个人数据跨境流动情况,并根据字段类型进行合规风险预警。
  • 在自动化合规监测能力方面,阿里经济体内部可以做到在数据溯源能力基础上,对于数据的流转进行合规监控。尤其是对个人数据在不同子公司及各国家地区的流动情况进行合规管理,并且可以根据每家子公司获取用户授权的情况,实现对数据流动进行不同需求的合规管理。此方案非常适用于跨国集团性企业,阿里经济体正在尝试开放此能力,让更多企业受益。
  • 在用户授权方面,阿里经济体利用区块链的强大优势,提供去中心化数字身份C端应用服务,依托区块链去中心化身份、密码学、生物核身等前沿技术成果,针对于隐私保护场景,提供用户自主授权声明存证服务,实现安全可验证的隐私保护效果。此解决方案可以帮助企业解决与合作伙伴共享个人数据时的信任问题,降低下游企业使用个人数据的合规风险,也可以提升企业对于处理个人数据的透明度,进而提升企业隐私保护的形象。

第三,云原生的强大的数据安全保护能力是满足数据隐私安全的前提之一。阿里云提出了从数据产生、数据传输、数据处理、数据交换、数据存储及数据销毁全生命周期理念,以实现对数据的全链路保护;同时在云上为客户搭建了云平台安全可靠、密钥为用户完全可控、云平台侧内部操作日志为用户可见的全栈式数据防护体系,从流程、机制、技术等多个维度保障用户数据安全。

结语

数据隐私合规成为RSA大会2020的亮点之一,验证了“法律要求”与“安全产品及解决方案”的有机结合必将成为未来重要的发展趋势,在各国隐私相关立法百家争鸣之际,各国法律对于企业的数据隐私合规要求将越来越高。

数据隐私合规是一个全新的领域,各国立法及监管机构、以及世界的各行各业都在积极探索如何平衡隐私保护与科技发展的问题。这个领域源于对数据利用的担忧, 担忧大数据、人工智能、数据分析、人物画像、精准营销这些前沿科技对用户的隐私和安宁造成了侵害。但技术带来的问题,终究需要技术来解,“以科技能力处理科技带来的挑战”一直是阿里云安全努力的方向。阿里云借助强大的技术优势,不断探索研发基于云端的安全隐私产品及解决方案,利用云端优势帮助企业降低数据隐私合规成本,避免监管处罚风险、提升用户对于企业的信任。

相关实践学习
MySQL基础-学生管理系统数据库设计
本场景介绍如何使用DMS工具连接RDS,并使用DMS图形化工具创建数据库表。
相关文章
|
7月前
|
运维 安全 数据安全/隐私保护
|
16天前
|
人工智能 供应链 安全
企业秘密泄露风险加剧,自动化管理成关键
企业秘密泄露风险加剧,自动化管理成关键
|
7月前
|
机器学习/深度学习 运维 安全
# 隐私计算实训营note#1 数据可信流通,从运维信任到技术信任
### 笔者前言&摘要 这一讲的主要内容是从宏观的层面介绍隐私/可信计算的基本概念,技术愿景和实用价值。这部分内容是理解隐私查询(PIR)、隐私机器学习(PPML)和其他的多方安全计算(MPC)技术的远大技术愿景和实际应用价值的基础。视频链接:[第1讲:数据可信流通,从运维信任到技术信任](https://www.bilibili.com/video/BV1sJ4m187vR/)。
|
7月前
|
运维 安全 区块链
隐私计算训练营第一讲 :数据可信流通,从运维信任到技术信任
构建数据可信流通体系旨在解决数据流转中的安全和信任问题,确保来源可确认、使用范围界定、过程可追溯及风险可控。体系基于身份验证、利益对齐、预期能力和行为审计的技术要求,采用可信计算、区块链、隐私计算等技术,打造从原始到衍生数据的全程可信环境。密态计算技术成为关键,推动数据密态时代的到来,其中密态天空计算是重要的基础设施。
82 0
|
7月前
|
运维 安全 数据处理
第1讲:数据可信流通,从运维信任到技术信任
从数据二十条——数据可信流通体系展开,数据可信分为内循环和外循环,内循环整体可控,但外循环模式下,数据风险较大。随着数据可信逐渐从主体身份可信扩展到应用身份可信,这就将数据的全链路审计和跨域管控摆在了极为重要的位置。
65 0
|
安全 数据处理 数据安全/隐私保护
数据视角下的隐私合规2
接上篇,我们从数据视角探讨了个人信息影响安全评估、处理活动记录、告知与同意、主体权利响应、个人信息保护、数据留存管理、第三方管理、数据泄漏响应这8个专题的关联性,这篇文章将从数据另外一个视角,数据处理活动的事前和事后来探讨这8个主题的内在逻辑,同时探讨目前市场对隐私合规的几个误区。
137 0
数据视角下的隐私合规2
|
新零售 边缘计算 安全
数据视角下的隐私合规3
接上,自从《个人信息保护法》颁布以来,对于金融/汽车/新零售等处理大量个人敏感信息的企业来讲,个人数据使用在企业内部变成一个“谈虎色变”的问题,有合规意识的业务开始拉上合规、法务、安全团队开启评估审批,但在很多没有PbD(Privacy by Design)机制的企业来讲,遇到这类问题的合规/法务同学往往会很头疼,“合法性事由”的适用性在不断压缩,告知同意/PIA/第三方管理/DSAR犹如一道道天堑,如果整改那么业务要延迟甚至推倒重来,如果不整改业务要带隐私合规风险上线,变成了鱼和熊掌不可兼得的问题。今天这篇文章我们来谈谈个人数据使用环节的合规问题。
69 0
|
存储 安全 数据处理
数据视角下的隐私合规
2016年6月,通用数据保护条(GDPR)正式发布,其长臂管辖权对全球企业在隐私合规领域产生了深远的影响,在GDPR 5周年之际,截止2023年3月1日,GDPR累计罚款27.7亿欧元(Numbers and Figures | GDPR Enforcement Tracker Report 2022/2023 (cms.law))。
185 0
|
存储 云安全 监控
[云架构 ]云安全和隐私:法律合规与风险管理指南,第1部分
[云架构 ]云安全和隐私:法律合规与风险管理指南,第1部分