阿里云安全 关注
手机版

GDPR全向解读(二) | 阿里云:以GDPR为起点,帮助企业跑赢隐私保护这场马拉松

  1. 云栖社区>
  2. 阿里云安全>
  3. 博客>
  4. 正文

GDPR全向解读(二) | 阿里云:以GDPR为起点,帮助企业跑赢隐私保护这场马拉松

云安全2016 2018-06-14 10:35:47 浏览250 评论0

摘要: 欧盟通用数据保护条例要求(GDPR)在5月25日正式生效。生效日之前,阿里云已全面按照GDPR要求,推进数据保护工作 —— 从平台、系统、产品、服务、合规、流程、政策等方面,准备就绪。 6月7日的上海云栖 · GDPR专场上,阿里云安全事业部总经理、国际合规高级专家,以及阿里巴巴国际法务负责人,将阿里云GDPR准备工作中的每一个经验与实践,通过演讲和问答的形式,分享了出来。

欧盟通用数据保护条例要求(GDPR)在5月25日正式生效。生效日之前,阿里云已全面按照GDPR要求,推进数据保护工作 —— 从平台、系统、产品、服务、合规、流程、政策等方面,准备就绪。

6月7日的上海云栖 · GDPR专场上,阿里云安全事业部总经理、国际合规高级专家,以及阿里巴巴国际法务负责人,将阿里云GDPR准备工作中的每一个经验与实践,通过演讲和问答的形式,分享了出来。

两年多的准备周期背后,阿里云积累了一整套“从管理到流程,从法务到服务”的最佳实践和方法论:Privay Building Blocks阿里云认为:企业可采取“多模块搭建的方法”做好隐私保护工作,重视多团队,多部门协作。

肖力

阿里云安全事业部总经理

以GDPR为起跑线,阿里云愿帮助全球企业一同跑赢隐私保护这程马拉松

b241fbe080804ad1864b7819b0280510dbcee54e

肖力从企业安全与隐私保护的维度,剖析了数字安全时代,企业所面临的全新挑战,和隐私保护工作的三个变化:隐私保护边界扩大,隐私保护运营需要“全民皆兵”,隐私保护设计的原则会被越来越多企业接受。

(1)隐私保护边界扩大,多部门协作是解法。肖力判断,大型企业接下来会更加关注生态合作伙伴、供应链层面的数据安全和隐私保护。整个隐私保护的边界会逐步扩大,不仅涉及内部的流程、产品设计、全部门协作,也涉及到第三方的管理。

7d911039c76fd440496f5f8f4c281f3eb4b0ff17

(2)隐私保护需要持续运营,“全民皆兵”,才能做好。隐私保护不是一次性、一揽子工作,需要持续运营。一方面,需要强壮的技术、产品、财务、法务、运营团队支撑企业隐私保护能力;另一方面,企业在隐私保护运营上需做到“全民皆兵”:决不能靠一个团队去兜底,而是需要通过培训、教育,让每一个员工在意识上、能力上投入隐私保护工作。

c94b20feb87d108d2498afca6ff40eb51990e6ed

(3)默认隐私设计要一以贯之。默认隐私设计与阿里云所坚持的“默认安全”理念相通 — 在产品、服务设计初期,新技术诞生之始,就要考虑隐私和安全的部分。

f8e8c33fca68e780e3231b9bef458e8403a65e80

“数字安全时代,企业更多关注数据的安全。安全,不仅仅指系统、网络、应用等各个层面的安全,也涉及数据在各层之间的流动,数据生命周期管理。隐私保护,也不仅是一个技术问题,更是一个法律、流程、管理、产品设计问题。”

肖力提到一个必然的趋势:数字安全时代,企业无疑需要更重视数据安全和隐私保护,GDPR只是这程马拉松的起点;

在未来,隐私和安全,会影响业务发展方向,成为业务健康度的重要判断依据。国内外,将会有更多围绕GDPR的隐私保护法案出台、落地,从监管角度推动企业去转型。

15f7578517b048b032080f25e3d25c1d99f97b72

数据隐私保护是阿里云的第一原则和生命线。遵循GDPR的要求,阿里云已从技术应用、架构设计、机制流程、合规审计、学术创新、生态建设等方面,不断完善数据安全能力,用实践履行对隐私保护的承诺。

肖力提到:“在数据安全和隐私保护建设中,我们实现了数据的全链路加密 — 数据的产生、存储、传输、销毁,都在受保护的环境中进行。

另一方面,我们持续完善数据隐私保护机制 —比如建立隐私保护小组,对产品上线实行安全+隐私双评估。

向未来走一步,阿里云持续关注全球隐私保护技术创新 — 将数据智能融入安全和隐私保护领域,最终目的是为产业和客户赋能。

刘允泉(Albert)

阿里巴巴国际业务法务VP & Deputy General Counsel

建立合规“金字塔”,再落实到管理流程中

c2275311d19e25f165a580aa3b771f8f3f8fcd28

Albert首先与在座分享了阿里云自身在全球合规上的“多层梯度”原则:覆盖基础和必备资质(例如ISO体系,CSA STAR Gold)、地域合规(MTCS,Trusted Cloud等)、行业合规(比如健康、媒体、金融)、审计报告(SOC)。

656d86985e85bc8acfc73b36cff2e8bf14c8b221

Albert也提到了各个部门的协同参与隐私保护工作的重要性。

“在阿里云筹备GDPR的过程中,协同了业务、合规、安全、法务、政府关系、中台等部门,法律和咨询合作伙伴,也加入了整个准备工作中。

“我们将GPDR拆解为18个主要的项目,分成34个阶段,最终在2018年5月25日之前,从技术、流程、管理、人员等各个方面准备就绪。”

例如,在产品规划当中,阿里云遵从默认隐私设计(Privacy by Design)理念,将安全融入到系统和产品设计中。所有新发布的云产品上线之前,须通过安全+隐私设计双重评估,确保证其合规性。

针对“数据的被遗忘的权利/删除权”,目前,阿里云为客户提供账号删除功能,全球客户可以自助操作完成。

在GDPR生效之前,阿里云也已通过TRUSTe企业隐私认证,并符合新加坡的人数据保护法(PDPA)要求。

Albert对企业的GDPR建议是:GDPR不是一条“标准线”,是一个持续的工作。隐私保护,应该是每个企业必须具备的思维模式。

阿里云国际合规团队

GDPR,我们所亲历和听到的误区、经验、解法

1b96a309947fc1d018a4373401bc82152afda820

阿里云国际合规团队更多分享其在与客户、合作伙伴交流过程中,所听到的实际问题和解法。许多企业和企业在准备GDPR的过程中,有“过度忽视”和“过度紧张”的两种状态。由“过度忽视”造成的误区有:

(1)误区:认为借助工具、平台、服务,可以很好地符合GDPR法规要求。

解:没有任何单一的工具、产品、服务、平台、服务商,可以解决GDPR,和其它隐私保护的所有问题。GDPR是企业和机构内部多部门协作,以实现能力、流程、机制全面优化。

(2)误区:认为通过第三方审计/评估,等于符合GDPR法规要求。

解:GDPR是一个持续性的工作,阶段性的审计评估,不代表在GDPR上的持续有效性。目前,很多机构都想推动各自的标准,成为GDPR框架下的Code Of Conduct。

然而,当下的Working Party29,或The European Data Protection Board (EDPB) ,还没有通过国际标准/行业标准成为Code of Conduct。因此,企业对于市场上的Code Of Conduct效力,也需要有清晰的认识与判断。

(3)误区:通过律所来完善法律文件,就是符合GDPR法规要求。

解:GDPR对文件的要求的确很高,但GDPR并非单纯的“法务”工作,如果只是在公司内部的法务流程和文件完善,而其他部门:信息安全、运营、IT等,参与少,仍不能称为为GDPR做好充分准备。

企业和机构对于GDPR“过度紧张”的误区有:

(1)误区:认为GDPR = 数据完全不离境。

解:GDPR在数据跨境前加了很多先决条件,比如授权问题,数据使用场景和目的等:要求数据处理者,把采集数据的目的、场景说清楚。

(2)误区:GDPR要求的客户授权。所以如果客户不授权,就不能提供服务。

解:很多企业会把这个一刀切,其实要根据具体授权场景来看。比如,如果客户不允许一家企业和机构向他推送市场消息,那么则不可做推送市场消息的行动,而不是拒绝向其提供服务。

(3)误区:认为GDPR = 尽量不保存客户数据在自己的系统

解:这对业务来说也是不合理的。GDPR要求的是对个人数据的权利予以满足,充分尊重数据主体对其数据的控制权。

分享完常见的GDPR误区之后,合规团队也再次强调了团队分工协作,与“机制流程落到实处”的重要性。

阿里云的隐私保护工作核心团队是法务与合规部门,通过与产品、安全、IT、运营等团队的配合,共同推进隐私保护工作。

11327e65f880be24d6e28daf3bf479d8c52b59be

例如,设立Privacy Operations Center(POC),相当于安全领域中的SOC — 所有的隐私保护流程、机制都以POC为枢纽;内部严格执行SPLC的流程,做隐私和安全的双重评估,把所有的隐私和安全要求融入到这个流程中。

在职责分工上,产品团队需要考虑产品设计过程中考虑隐私的要求,确保产品功能、设计通过法务和合规团队审批;

IT系统架构团队负责架构设计与调整要依据相应的隐私保护制度,依据合规团队的评估与建议修订架构设计;

运营团队确保运营行为严格遵守隐私保护的流程与制度,判断新的运营需求是否涉及客户隐私,并通过法务与合规团队审批。

DPIA(Data Protection Impact Assessment )则是每个团队都会做的事情。

在自身准备就绪的基础上,阿里云正在通过建立全球生态,帮助客户提升隐私保护水平。与第三方隐私合规机构TrustArc达成合作,向全球企业提供从咨询、计划定制、到合规改造执行的解决方案。

用云栖社区APP,舒服~

【云栖快讯】云栖社区技术交流群汇总,阿里巴巴技术专家及云栖社区专家等你加入互动,老铁,了解一下?  详情请点击

网友评论

云安全2016
文章36篇 | 关注8
关注
以阿里云成熟的商业化云服务为基础,为游戏开发者、运营企业提供专属集群、尊享VIP服务、专项扶... 查看详情
充分利用阿里云现有资源管理和服务体系,引入中间件成熟的整套分布式计算框架,以应用为中心,帮助... 查看详情
服务底层使用经国家密码管理局检测认证的硬件密码机,通过虚拟化技术,帮助用户满足数据安全方面的... 查看详情
为您提供简单高效、处理能力可弹性伸缩的计算服务,帮助您快速构建更稳定、安全的应用,提升运维效... 查看详情
阿里中间件云大使

阿里中间件云大使