2020年2月24日-28日，網(wǎng)絡(luò)安全行業(yè)盛會RSA Conference在舊金山拉開帷幕。在RSAC官方宣布入選今年創(chuàng)新沙盒十強初創(chuàng)公司中，綠盟君已經(jīng)為大家介紹過了Elevate Security 、Sqreen、AppOmni、Tala Security、ForAllSecure、INKY、BluBracket、Vulcan Cyber八家廠商，今天為大家介紹的是：Securiti.ai。

一、公司介紹

Securiti.ai成立于2018年11月，總部位于美國加利福尼亞州的硅谷地區(qū)。當前融資總額達到8100萬美元，最近一次是由General Catalyst領(lǐng)投，Mayfield參與的5000萬美元B輪融資。其創(chuàng)始人兼CEO是Rehan Jalil，擁有豐富的網(wǎng)絡(luò)安全從事經(jīng)驗和管理背景，先后在Elastica和Bluecoat擔任CEO，后在賽門鐵克云安全部門擔任高級副總裁。公司致力于實現(xiàn)隱私合規(guī)的自動化，利用AI和People Data Graph等先進技術(shù)，使得隱私合規(guī)遵循從傳統(tǒng)的繁瑣手工操作到一站式的自動化成為可能，以幫助企業(yè)快速滿足GDPR和CCPA等法律法規(guī)。

2020年1月1日，CCPA(《加州消費者隱私法案》)正式生效，如何快速地且有條不紊地滿足該隱私法案，這是眾多硅谷巨頭(Google、Facebook和Apple等)以及中小企業(yè)的一大痛點問題。在此背景下，Securiti.ai憑借應(yīng)對方案以及技術(shù)實力入選2020年RSA大會創(chuàng)新沙盒的前十強。值得一提的是，BigID作為隱私數(shù)據(jù)治理(遵循GDPR)，在2018年的創(chuàng)新沙盒奪得冠軍;Securiti.ai作為一家同樣主打隱私合規(guī)產(chǎn)品(可遵循CCPA)的創(chuàng)新公司，是否能贏得今年RSA創(chuàng)新沙盒的冠軍?值得期待!

二、背景介紹

為了保障公民的個人信息與隱私安全，全球掀起了隱私法規(guī)的立法熱潮。2018年5月25日，歐盟正式頒布《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，GDPR)用以保護歐盟成員國境內(nèi)企業(yè)的個人數(shù)據(jù)、也包括歐盟境外企業(yè)處理歐盟公民的個人數(shù)據(jù)。受GDPR 影響，全球各個國家推出了類似的個人信息保護法規(guī)，如巴西LGPD、印度PDPB、泰國PDPA等。我國于2017年6月1日正式實施《網(wǎng)絡(luò)安全法》，并于去年發(fā)布《數(shù)據(jù)安全管理辦法(征求意見稿)》，對個人信息安全提出諸多規(guī)定和約束。2019年10月，美國加州州長正式簽署《加州消費者隱私保護法》(California Consumer Privacy Act，CCPA)的最終法案，于今年1月1日正式生效。

從GDPR的執(zhí)法來看，違反的罰款代價是高昂的。例如，法國于2019年1月份罰款Google公司5000萬歐元，原因是Google的隱私條款的設(shè)計非常難以被用戶理解，尤其是在個人化廣告推薦上;英國在2019年7月份分別對英航和萬豪集團分別開出1.83億英鎊和9900萬英鎊的罰單，原因均為企業(yè)數(shù)據(jù)防護措施不力導(dǎo)致了數(shù)據(jù)泄露;德國對網(wǎng)絡(luò)公司Delivery Hero處以20萬歐元罰款，原因是客戶要求刪除個人數(shù)據(jù)時，卻沒有及時性應(yīng)答。對于CCPA的實施，據(jù)IAPP和OneTrust的CCPA Readiness調(diào)查結(jié)果顯示，74%的受訪者認為他們的雇主應(yīng)該遵循CCPA，但遺憾的是，僅大約2%的受訪者認為他們的企業(yè)已經(jīng)完全做好了應(yīng)對CCPA的準備。

這些隱私法規(guī)迫使企業(yè)對以下一些問題進行思考：存儲那些消費者的個人數(shù)據(jù)?它們分布在那些系統(tǒng)中?是否滿足立即響應(yīng)客戶的數(shù)據(jù)訪問權(quán)、更新權(quán)和刪除權(quán)等權(quán)利?如何解決跨多個應(yīng)用程序與第三方共享的數(shù)據(jù)問題?對于多數(shù)企業(yè)來說，這是一系列的合規(guī)性痛點問題。Securiti.ai正抓住這一普遍訴求，并且利用AI和People Data Graph等先進技術(shù)，使得繁瑣的處理流程變得更加自動化。

三、公司產(chǎn)品與方案

1. 產(chǎn)品介紹

Securiti.ai的產(chǎn)品稱為Privaci，公司CEO Jalil將其描述為“PrivacyOps”解決方案，并親自寫一本書對產(chǎn)品功能和架構(gòu)思想進行介紹[6]。Jalil 將PrivacyOps概括為它是哲學、實踐、跨功能協(xié)作、自動化和業(yè)務(wù)流程的組合，它提高了企業(yè)組織可靠且快速地遵守眾多全球隱私法規(guī)的能力。通俗地說，傳統(tǒng)隱私合規(guī)性的請求處理是手動的、緩慢的，而PrivacyOps可實現(xiàn)批量地、自動化地處理規(guī)性請求，并可定期評估與檢測合規(guī)性風險，能夠幫助企業(yè)快速滿足全球隱私法規(guī)遵循的要求。

公司官網(wǎng)中展示了PrivacyOps的五個子產(chǎn)品：Data Fulfillment Automation、PD Linking Automation、Assessment Automation、 Third Party Risk Assessment和Consent Lifecycle。為了更好地理解，綠盟君將五種產(chǎn)品歸為三類：前兩者為應(yīng)對消費者數(shù)據(jù)權(quán)利(訪問權(quán)、修改權(quán)和更新權(quán)等)請求響應(yīng)的合規(guī)處理產(chǎn)品、后兩者是合規(guī)性風險評估類產(chǎn)品、最后一個為數(shù)據(jù)授權(quán)處理的合規(guī)性檢查類產(chǎn)品。

(1) Data Fulfillment Automation

CCPA和GDPR等隱私法規(guī)賦予數(shù)據(jù)主體(消費者)數(shù)據(jù)訪問、修改和刪除等權(quán)利，比如在CCPA的1798.100條款中，規(guī)定“企業(yè)收到消費者訪問個人信息之請求后，應(yīng)當立即通過郵寄或電子等方式向消費者披露和傳送所要求的數(shù)據(jù)”;GDPR也有類似規(guī)定，要求企業(yè)必須在一個月內(nèi)對所有請求進行響應(yīng)，若請求過于復(fù)雜，可延長到兩個月。該合規(guī)場景可解讀為企業(yè)需提供兩點功能：

• 為消費者提供數(shù)據(jù)權(quán)利請求的窗口;
• 收到請求立即或者在規(guī)定時間內(nèi)進行響應(yīng)。

假設(shè)一天有1000個用戶請求，若采取手動操作，查詢相關(guān)系統(tǒng)，并手工制作1000個用戶的個人信息數(shù)據(jù)報告，這個工作量是巨大的，且容易產(chǎn)生操作錯誤。因此亟需一種流程自動化的方法。

Data Fulfillment Automation(數(shù)據(jù)權(quán)利履行自動化)產(chǎn)品可實現(xiàn)消費者數(shù)據(jù)權(quán)利請求-響應(yīng)的流程自動化處理，并且可生成合規(guī)性審查報告。其產(chǎn)品運行流程如下：

• 構(gòu)建一個或多個動態(tài)請求表單并嵌入到客戶的網(wǎng)站中，類似于一個網(wǎng)站插件。通過這個插件，可輕松接受數(shù)據(jù)主體的請求(Data Subject Request, DSR)。
• 收集DSR請求，并根據(jù)用戶的身份創(chuàng)建DSR工作流程。為了避免錯誤處理和欺詐，該過程需驗證用戶的身份。下圖顯示John A. 用戶希望查看網(wǎng)站收集自己那些數(shù)據(jù)，除數(shù)據(jù)訪問外，還可對收集的個人數(shù)據(jù)進行編輯、甚至刪除。

• ??

• DSR工作流程提交給后臺，后臺有機器人助手Auti，可關(guān)聯(lián)到用戶John A.的數(shù)據(jù)，幫助完成DSR任務(wù)并且同步系統(tǒng)。
• 生成DSR履行的審查報告，以證明遵循隱私合規(guī)。

(2) PD Linking Automation

PD Linking Automation(個人數(shù)據(jù)鏈接自動化)產(chǎn)品通過強大的數(shù)據(jù)管理能力及People Data Graph技術(shù)，可將企業(yè)在不同時間、不同系統(tǒng)收集和存儲的某個數(shù)據(jù)主體所有相關(guān)數(shù)據(jù)進行關(guān)聯(lián)，比如數(shù)據(jù)主體的IP地址、身份證號、駕駛證號、照片、出生年月、住址和收入等個人信息。

??

根據(jù)PrivacyOps book的詳細介紹，該關(guān)聯(lián)技術(shù)的應(yīng)用產(chǎn)品主要有以下三種應(yīng)用場景：

• 輔助前面產(chǎn)品Data Fulfillment Automation，生成個人數(shù)據(jù)的關(guān)聯(lián)報告。比如，用戶向比如Google提出訪問個人信息的請求后，Google有多個產(chǎn)品與系統(tǒng)，在瀏覽器服務(wù)器記錄用戶注冊信息和Cookie信息，另外在郵件服務(wù)器中也記錄了同一用戶的個人信息，這兩個系統(tǒng)存儲的同一個數(shù)據(jù)主體的信息，但多數(shù)企業(yè)不會將兩個系統(tǒng)進行關(guān)聯(lián)。但GDPR和CCPA要求企業(yè)向消費者披露數(shù)據(jù)主體的相關(guān)個人信息，因此關(guān)聯(lián)技術(shù)十分重要;
• 跨國企業(yè)的個人數(shù)據(jù)的治理與可視化?？鐕髽I(yè)的數(shù)據(jù)存儲、處理服務(wù)器分布全球各地，若將個人信息主體的信息進行關(guān)聯(lián)，并關(guān)聯(lián)到用戶的國籍或居住地(歐盟、美國加州)，可視化獲得數(shù)據(jù)分布的世界熱圖，更好地洞察不同國家地區(qū)法規(guī)的合規(guī)性風險;
• 數(shù)據(jù)泄露后的及時通知受影響的數(shù)據(jù)主體。例如，對于個人信息數(shù)據(jù)庫(假如無郵件、電話等聯(lián)系信息)的泄露，通過關(guān)聯(lián)郵件、電話等信息，可快速通知泄露的用戶，滿足合規(guī)性要求。

通過向聊天機器人Auti提問，可觸發(fā)操作流程實現(xiàn)自動化執(zhí)行，并生成宏觀的個人數(shù)據(jù)地圖和審查報告。

??

(3) Assessment Automation

Assessment Automation(內(nèi)部評估)可為企業(yè)內(nèi)部的系統(tǒng)進行隱私風險評估。產(chǎn)品系統(tǒng)內(nèi)置不同的合規(guī)性模板，如GDPR、CCPA，每一種合規(guī)性模板對應(yīng)各種合規(guī)點檢查列表和問題。為了高效地完成隱私風險的評估，產(chǎn)品提供了一個協(xié)作平臺，通過它內(nèi)部多位安全專家可分工對問題進行檢查和回復(fù)。協(xié)作平臺收集所有的輸入和檢查，最終生成評估報告。一旦報告生成，企業(yè)可選擇與第三方組織或消費者分享，以證明隱私風險控制能力。

??

(4) Third Party Risk Assessment

在GDPR中，有兩個重要的數(shù)據(jù)處理組織：數(shù)據(jù)控制者(Controllers)和數(shù)據(jù)處理者(Data Processor)，數(shù)據(jù)控制者是數(shù)據(jù)主體的第一聯(lián)系人，負責數(shù)據(jù)的收集與處理，數(shù)據(jù)處理者在多數(shù)場景下是第三方組織。例如，一家零售機構(gòu)(數(shù)據(jù)控制者)采集用戶信息，它租賃亞馬遜云服務(wù)器(數(shù)據(jù)處理)進行數(shù)據(jù)的存儲和計算。按照GDPR法規(guī)，零售‘機構(gòu)的法規(guī)責任更大，必須慎重挑選挑選數(shù)據(jù)處理者，以確保它由能力通過適當?shù)募夹g(shù)和組織措施以滿足GDPR的要求。CCPA也有類似的規(guī)定，當企業(yè)與第三方進行個人信息的交互時，第三方發(fā)生違發(fā)數(shù)據(jù)行為時，當事企業(yè)也承擔一定法規(guī)責任。特別在大型公司，擁有多個合作商，數(shù)據(jù)交互和流通越來越大，為了降低法規(guī)風險，不僅需保證內(nèi)部滿足隱私合規(guī)，也需確保合作的第三方是可信任的，隱私風險控制水平達到安全級別。

Third Party Risk Assessment(第三方組織的風險評估)很好解決以上的一個痛點，它可以同時邀請與企業(yè)合作的多個第三方組織，共同接入評估平臺進行隱私風險評估，它盡可能利用可獲取的數(shù)據(jù)，包括各個網(wǎng)站的隱私聲明(privacy statements)，第三方組織安全專家提供合規(guī)性證明和檢查文件。該產(chǎn)品在生成評估報告同時，也提供了一個統(tǒng)一的隱私風險評分服務(wù)。

??

(5) Consent Lifecycle

Consent Lifecycle(許可生命周期管理)產(chǎn)品可應(yīng)用與網(wǎng)站的Cookie的數(shù)據(jù)收集，征求用戶的同意，對標多個GDPR、CCPA等法規(guī)的數(shù)據(jù)處理與利用的公開透明原則。首先，提供服務(wù)的企業(yè)需在自身網(wǎng)站中部署Consent Lifecycle相關(guān)插件，如下圖所示，它提供了用戶授權(quán)設(shè)置的一個窗口。然后，用戶可在設(shè)置盤中授權(quán)網(wǎng)站的Cookie信息授權(quán)應(yīng)用于那些目的，比如數(shù)據(jù)分析、廣告推薦、社交發(fā)現(xiàn)，提供給第三方組織C1企業(yè)或C2企業(yè)等。那么，如果用戶沒有授權(quán)Cookie信息用于廣告，而服務(wù)企業(yè)卻在后臺的廣告推薦系統(tǒng)利用了該Cookie信息，那么Consent Lifecycle將監(jiān)控到這一異常行為，在后臺觸發(fā)告警行為，以通知企業(yè)停止違反法規(guī)的風險行為。

??

2. 合規(guī)性方案

前文介紹的公司的五個產(chǎn)品，它們進行組合可對標到CCPA(美國加州)、GDPR(歐盟)和LGPD(巴西)隱私合規(guī)條款，公司的官網(wǎng)分別提供三種隱私法規(guī)遵循的解決方案。下面以CCPA的解決方案為例，對產(chǎn)品功能與對標合規(guī)點進行簡單介紹，詳細合規(guī)功能點可訪問官網(wǎng)。

??

數(shù)據(jù)主體請求DSR自動化處理

CCPA規(guī)定消費者具有數(shù)據(jù)訪問、更新、刪除的權(quán)利。當用戶提出合理的權(quán)利訴求，PrivacyOps方案可自動化收集、接收以及處理數(shù)據(jù)主體請求(Data Subject Request, DSR)，并自動生成DSR報告。具體對標CCPA的1798.100、1798.105、1798.110、1798.115的數(shù)據(jù)訪問權(quán)相關(guān)條款。這些規(guī)定了企業(yè)收到消費者訪問個人信息之請求后，應(yīng)當立即通過郵寄或電子等方式向消費者披露和傳送所要求的數(shù)據(jù)，否則視為違反法規(guī)。

??

隱私風險評估

通過使用協(xié)作的、準備就緒的PrivacyOps評估系統(tǒng)來衡量企業(yè)組織的隱私合規(guī)性，識別差距并處理風險，以保持符合CCPA監(jiān)管要求。具體對標CCPA的 1798.135.(1)(2)相關(guān)條款，要在互聯(lián)網(wǎng)主頁或隱私政策的醒目清晰位置，提供一個命名為“不得出售我的個人信息”，消費者有選擇不出售個人信息數(shù)據(jù)的權(quán)利。

??

個人數(shù)據(jù)自動鏈接

發(fā)現(xiàn)所有系統(tǒng)中存儲的個人信息，并將其鏈接到個人數(shù)據(jù)的所有者。通過身份可視化數(shù)據(jù)蔓延，并基于受試者居住地識別合規(guī)風險。CCPA監(jiān)管的是處理加州居民個人數(shù)據(jù)的營利性實體，即美國加州外的其他州、甚至國外的跨國企業(yè)處理加州居民的用戶數(shù)據(jù)，將受到相關(guān)法規(guī)風險影響。該功能可視化展示宏觀的風險分布位置，對標CCPA的治理和監(jiān)管要求。

除以上合規(guī)要求外，PrivacyOps方案還可滿足用戶選擇不出售數(shù)據(jù)的權(quán)利、默認不選擇、檢測隱私說明等合規(guī)性要求。

四、總結(jié)

歐盟GDPR在2018 年正式實施，2019年進入全面執(zhí)法，多張巨額的企業(yè)罰單相繼被開出。美國加州隱私法規(guī)CCPA在今年1月1月已經(jīng)生效，與GDPR一樣，CCPA同樣是一項十分嚴格的隱私法規(guī)，賦予了消費者更多數(shù)據(jù)權(quán)利，比如訪問權(quán)、修改權(quán)、刪除權(quán)和不出售數(shù)據(jù)給第三方等，同時提出了企業(yè)履行的義務(wù)條款。比如，企業(yè)收到消費者要求訪問個人信息的請求后，應(yīng)立即采取措施(比如信件或電子方式)向消費者免費披露和提供本節(jié)所要求的個人信息(GDPR也有類似的條款)。如何快速地滿足遵循CCPA，這是眾多硅谷巨頭(Google、Facebook和Apple等)以及中小企業(yè)面臨的一大痛點問題。違反法規(guī)意味著罰款與處罰，GDPR罰款的上界是2000萬歐元或者4%全球營業(yè)總額，而CCPA可具體到每一個消費者，罰款上限為750美元(同時被1萬人起訴，那么相當于罰款750萬美元)。值得注意的是，GDPR不僅對歐盟，CCPA不僅對美國加州的企業(yè)，只要處理歐盟，或者加州的居民的跨國企業(yè)，同樣將受到法規(guī)的域外監(jiān)管與約束。

Securiti.ai瞄準了這一個普遍的隱私合規(guī)性市場與需求，將繁瑣的合規(guī)性遵循變成了智能的、自動化的處理，可滿足企業(yè)滿足隱私合規(guī)的大部分需求。具體來說，Securiti.ai具有以下亮點與優(yōu)勢：

• 融資數(shù)額8100萬美元是創(chuàng)新沙盒前十強最高的數(shù)額 (第二名Obsidian Security為2950萬美元)。僅成立1年多就拿到多家投資機構(gòu)的基金，這從側(cè)面說明公司的發(fā)展前景和技術(shù)實力;
• 提供的產(chǎn)品較為豐富，官網(wǎng)展示了1年的時間就發(fā)布了5種合規(guī)性產(chǎn)品。從官網(wǎng)介紹，公司目前擁有130名員工，同時在人員擴充中，開發(fā)迭代速度非常快;
• 產(chǎn)品可快速組合為解決方案，目前提供CCPA、GDPR和LGPD(巴西隱私法規(guī))的合規(guī)性方案;
• 公司的技術(shù)創(chuàng)新能力不可小覷。公司掌握了People Data Graph自主技術(shù)，將多個分散的個人信息關(guān)聯(lián)到同一個數(shù)據(jù)主體中，在學術(shù)稱為“實體識別”問題，這是一個棘手的技術(shù)難題，Securiti.ai宣稱可將云、數(shù)據(jù)庫、大數(shù)據(jù)系統(tǒng)等異構(gòu)數(shù)據(jù)源關(guān)聯(lián)識別出來，這是一大創(chuàng)新;另外公司利用NLP技術(shù)，利用聊天機器人Auti提供友好、不枯燥的處理輔助功能。

Securiti.ai憑借實用的、自動化的合規(guī)遵循解決方案、以及不可小覷的創(chuàng)新實力，同時在CCPA今年實施的熱點背景下，綠盟君看好Securiti.ai，讓我們拭目以待!

· 參考鏈接 ·

[1] https://www.crunchbase.com/organization/securiti-ai#section-overview

[2] SECURITI.ai Selected as Finalist for RSA Conference 2020 Innovation Sandbox Contest：

??https://privaci.ai/press-release/securiti-ai-selected-as-finalist-for-rsa-conference-2020-innovation-sandbox-contest/??

[3] Securiti.ai Homepage：https://securiti.ai/

[4] 2019網(wǎng)絡(luò)安全觀察：

??http://blog.nsfocus.net/wp-content/uploads/2020/01/2019-Cybersecurity-Insights.pdf??

[5] https://iapp.org/resources/article/ccpa-readiness-survey/

[6] PrivacyOps book：https://www.privaci.ai/request-book