欧盟通用数据保护条例要求(GDPR)在5月25日正式生效。生效日之前,阿里云已全面按照GDPR要求,推进数据保护工作 —— 从平台、系统、产品、服务、合规、流程、政策等方面,准备就绪。
6月7日的上海云栖 · GDPR专场上,阿里云安全事业部总经理、国际合规高级专家,以及阿里巴巴国际法务负责人,将阿里云GDPR准备工作中的每一个经验与实践,通过演讲和问答的形式,分享了出来。
两年多的准备周期背后,阿里云积累了一整套“从管理到流程,从法务到服务”的最佳实践和方法论:Privay Building Blocks。阿里云认为:企业可采取“多模块搭建的方法”做好隐私保护工作,重视多团队,多部门协作。
—
肖力
阿里云安全事业部总经理
以GDPR为起跑线,阿里云愿帮助全球企业一同跑赢隐私保护这程马拉松
肖力从企业安全与隐私保护的维度,剖析了数字安全时代,企业所面临的全新挑战,和隐私保护工作的三个变化:隐私保护边界扩大,隐私保护运营需要“全民皆兵”,隐私保护设计的原则会被越来越多企业接受。
(1)隐私保护边界扩大,多部门协作是解法。肖力判断,大型企业接下来会更加关注生态合作伙伴、供应链层面的数据安全和隐私保护。整个隐私保护的边界会逐步扩大,不仅涉及内部的流程、产品设计、全部门协作,也涉及到第三方的管理。
(2)隐私保护需要持续运营,“全民皆兵”,才能做好。隐私保护不是一次性、一揽子工作,需要持续运营。一方面,需要强壮的技术、产品、财务、法务、运营团队支撑企业隐私保护能力;另一方面,企业在隐私保护运营上需做到“全民皆兵”:决不能靠一个团队去兜底,而是需要通过培训、教育,让每一个员工在意识上、能力上投入隐私保护工作。
(3)默认隐私设计要一以贯之。默认隐私设计与阿里云所坚持的“默认安全”理念相通 — 在产品、服务设计初期,新技术诞生之始,就要考虑隐私和安全的部分。
“数字安全时代,企业更多关注数据的安全。安全,不仅仅指系统、网络、应用等各个层面的安全,也涉及数据在各层之间的流动,数据生命周期管理。隐私保护,也不仅是一个技术问题,更是一个法律、流程、管理、产品设计问题。”
肖力提到一个必然的趋势:数字安全时代,企业无疑需要更重视数据安全和隐私保护,GDPR只是这程马拉松的起点;
在未来,隐私和安全,会影响业务发展方向,成为业务健康度的重要判断依据。国内外,将会有更多围绕GDPR的隐私保护法案出台、落地,从监管角度推动企业去转型。
数据隐私保护是阿里云的第一原则和生命线。遵循GDPR的要求,阿里云已从技术应用、架构设计、机制流程、合规审计、学术创新、生态建设等方面,不断完善数据安全能力,用实践履行对隐私保护的承诺。
肖力提到:“在数据安全和隐私保护建设中,我们实现了数据的全链路加密 — 数据的产生、存储、传输、销毁,都在受保护的环境中进行。
另一方面,我们持续完善数据隐私保护机制 —比如建立隐私保护小组,对产品上线实行安全+隐私双评估。
向未来走一步,阿里云持续关注全球隐私保护技术创新 — 将数据智能融入安全和隐私保护领域,最终目的是为产业和客户赋能。
—
刘允泉(Albert)
阿里巴巴国际业务法务VP & Deputy General Counsel
建立合规“金字塔”,再落实到管理流程中
Albert首先与在座分享了阿里云自身在全球合规上的“多层梯度”原则:覆盖基础和必备资质(例如ISO体系,CSA STAR Gold)、地域合规(MTCS,Trusted Cloud等)、行业合规(比如健康、媒体、金融)、审计报告(SOC)。
Albert也提到了各个部门的协同参与隐私保护工作的重要性。
“在阿里云筹备GDPR的过程中,协同了业务、合规、安全、法务、政府关系、中台等部门,法律和咨询合作伙伴,也加入了整个准备工作中。
“我们将GPDR拆解为18个主要的项目,分成34个阶段,最终在2018年5月25日之前,从技术、流程、管理、人员等各个方面准备就绪。”
例如,在产品规划当中,阿里云遵从默认隐私设计(Privacy by Design)理念,将安全融入到系统和产品设计中。所有新发布的云产品上线之前,须通过安全+隐私设计双重评估,确保证其合规性。
针对“数据的被遗忘的权利/删除权”,目前,阿里云为客户提供账号删除功能,全球客户可以自助操作完成。
在GDPR生效之前,阿里云也已通过TRUSTe企业隐私认证,并符合新加坡的人数据保护法(PDPA)要求。
Albert对企业的GDPR建议是:GDPR不是一条“标准线”,是一个持续的工作。隐私保护,应该是每个企业必须具备的思维模式。
—
阿里云国际合规团队
GDPR,我们所亲历和听到的误区、经验、解法
阿里云国际合规团队更多分享其在与客户、合作伙伴交流过程中,所听到的实际问题和解法。许多企业和企业在准备GDPR的过程中,有“过度忽视”和“过度紧张”的两种状态。由“过度忽视”造成的误区有:
(1)误区:认为借助工具、平台、服务,可以很好地符合GDPR法规要求。
解:没有任何单一的工具、产品、服务、平台、服务商,可以解决GDPR,和其它隐私保护的所有问题。GDPR是企业和机构内部多部门协作,以实现能力、流程、机制全面优化。
(2)误区:认为通过第三方审计/评估,等于符合GDPR法规要求。
解:GDPR是一个持续性的工作,阶段性的审计评估,不代表在GDPR上的持续有效性。目前,很多机构都想推动各自的标准,成为GDPR框架下的Code Of Conduct。
然而,当下的Working Party29,或The European Data Protection Board (EDPB) ,还没有通过国际标准/行业标准成为Code of Conduct。因此,企业对于市场上的Code Of Conduct效力,也需要有清晰的认识与判断。
(3)误区:通过律所来完善法律文件,就是符合GDPR法规要求。
解:GDPR对文件的要求的确很高,但GDPR并非单纯的“法务”工作,如果只是在公司内部的法务流程和文件完善,而其他部门:信息安全、运营、IT等,参与少,仍不能称为为GDPR做好充分准备。
企业和机构对于GDPR“过度紧张”的误区有:
(1)误区:认为GDPR = 数据完全不离境。
解:GDPR在数据跨境前加了很多先决条件,比如授权问题,数据使用场景和目的等:要求数据处理者,把采集数据的目的、场景说清楚。
(2)误区:GDPR要求的客户授权。所以如果客户不授权,就不能提供服务。
解:很多企业会把这个一刀切,其实要根据具体授权场景来看。比如,如果客户不允许一家企业和机构向他推送市场消息,那么则不可做推送市场消息的行动,而不是拒绝向其提供服务。
(3)误区:认为GDPR = 尽量不保存客户数据在自己的系统
解:这对业务来说也是不合理的。GDPR要求的是对个人数据的权利予以满足,充分尊重数据主体对其数据的控制权。
分享完常见的GDPR误区之后,合规团队也再次强调了团队分工协作,与“机制流程落到实处”的重要性。
阿里云的隐私保护工作核心团队是法务与合规部门,通过与产品、安全、IT、运营等团队的配合,共同推进隐私保护工作。
例如,设立Privacy Operations Center(POC),相当于安全领域中的SOC — 所有的隐私保护流程、机制都以POC为枢纽;内部严格执行SPLC的流程,做隐私和安全的双重评估,把所有的隐私和安全要求融入到这个流程中。
在职责分工上,产品团队需要考虑产品设计过程中考虑隐私的要求,确保产品功能、设计通过法务和合规团队审批;
IT系统架构团队负责架构设计与调整要依据相应的隐私保护制度,依据合规团队的评估与建议修订架构设计;
运营团队确保运营行为严格遵守隐私保护的流程与制度,判断新的运营需求是否涉及客户隐私,并通过法务与合规团队审批。
DPIA(Data Protection Impact Assessment )则是每个团队都会做的事情。
在自身准备就绪的基础上,阿里云正在通过建立全球生态,帮助客户提升隐私保护水平。与第三方隐私合规机构TrustArc达成合作,向全球企业提供从咨询、计划定制、到合规改造执行的解决方案。
