RSA 創新沙盒盤點| Securiti.ai——解決隱私合規痛點的一站式自動化方案

2020年2月24日-28日，網路安全行業盛會RSA Conference將在舊金山拉開帷幕。在RSAC官方宣佈入選今年創新沙盒十強初創公司中，綠盟君已經為大家介紹過了Elevate Security 、Sqreen、AppOmni、Tala Security、ForAllSecure、INKY、BluBracket、Vulcan Cyber八家廠商，今天為大家介紹的是：Securiti.ai。

一、公司介紹

Securiti.ai成立於2018年11月，總部位於美國加利福尼亞州的矽谷地區。當前融資總額達到8100萬美元，最近一次是由General Catalyst領投，Mayfield參與的5000萬美元B輪融資。其創始人兼CEO是Rehan Jalil，擁有豐富的網路安全從事經驗和管理背景，先後在Elastica和Bluecoat擔任CEO，後在賽門鐵克雲安全部門擔任高階副總裁。公司致力於實現隱私合規的自動化，利用AI和People Data Graph等先進技術，使得隱私合規遵循從傳統的繁瑣手工操作到一站式的自動化成為可能，以幫助企業快速滿足GDPR和CCPA等法律法規。

2020年1月1日，CCPA（《加州消費者隱私法案》）正式生效，如何快速地且有條不紊地滿足該隱私法案，這是眾多矽谷巨頭（Google、Facebook和Apple等）以及中小企業的一大痛點問題。在此背景下，Securiti.ai憑藉應對方案以及技術實力入選2020年RSA大會創新沙盒的前十強。值得一提的是，BigID作為隱私資料治理（遵循GDPR），在2018年的創新沙盒奪得冠軍；Securiti.ai作為一家同樣主打隱私合規產品（可遵循CCPA）的創新公司，是否能贏得今年RSA創新沙盒的冠軍？值得期待！

二、背景介紹

為了保障公民的個人資訊與隱私安全，全球掀起了隱私法規的立法熱潮。2018年5月25日，歐盟正式頒佈《通用資料保護條例》（General Data Protection Regulation，GDPR）用以保護歐盟成員國境內企業的個人資料、也包括歐盟境外企業處理歐盟公民的個人資料。受GDPR 影響，全球各個國家推出了類似的個人資訊保護法規，如巴西LGPD、印度PDPB、泰國PDPA等。我國於2017年6月1日正式實施《網路安全法》，並於去年釋出《資料安全管理辦法（徵求意見稿）》，對個人資訊保安提出諸多規定和約束。2019年10月，美國加州州長正式簽署《加州消費者隱私保護法》（California Consumer Privacy Act，CCPA）的最終法案，於今年1月1日正式生效。

從GDPR的執法來看，違反的罰款代價是高昂的。例如，法國於2019年1月份罰款Google公司5000萬歐元，原因是Google的隱私條款的設計非常難以被使用者理解，尤其是在個人化廣告推薦上；英國在2019年7月份分別對英航和萬豪集團分別開出1.83億英鎊和9900萬英鎊的罰單，原因均為企業資料防護措施不力導致了資料洩露；德國對網路公司Delivery Hero處以20萬歐元罰款，原因是客戶要求刪除個人資料時，卻沒有及時性應答。對於CCPA的實施，據IAPP和OneTrust的CCPA Readiness調查結果顯示，74%的受訪者認為他們的僱主應該遵循CCPA，但遺憾的是，僅大約2%的受訪者認為他們的企業已經完全做好了應對CCPA的準備。

這些隱私法規迫使企業對以下一些問題進行思考：儲存那些消費者的個人資料？它們分佈在那些系統中？是否滿足立即響應客戶的資料訪問權、更新權和刪除權等權利？如何解決跨多個應用程式與第三方共享的資料問題？對於多數企業來說，這是一系列的合規性痛點問題。Securiti.ai正抓住這一普遍訴求，並且利用AI和People Data Graph等先進技術，使得繁瑣的處理流程變得更加自動化。

三、公司產品與方案

01

產品介紹

Securiti.ai的產品稱為Privaci，公司CEO Jalil將其描述為“PrivacyOps”解決方案，並親自寫一本書對產品功能和架構思想進行介紹[6]。Jalil 將PrivacyOps概括為它是哲學、實踐、跨功能協作、自動化和業務流程的組合，它提高了企業組織可靠且快速地遵守眾多全球隱私法規的能力。通俗地說，傳統隱私合規性的請求處理是手動的、緩慢的，而PrivacyOps可實現批量地、自動化地處理規性請求，並可定期評估與檢測合規性風險，能夠幫助企業快速滿足全球隱私法規遵循的要求。

公司官網中展示了PrivacyOps的五個子產品：Data Fulfillment Automation、PD Linking Automation、Assessment Automation、 Third Party Risk Assessment和Consent Lifecycle。為了更好地理解，綠盟君將五種產品歸為三類：前兩者為應對消費者資料權利（訪問權、修改權和更新權等）請求響應的合規處理產品、後兩者是合規性風險評估類產品、最後一個為資料授權處理的合規性檢查類產品。

Data Fulfillment Automation

CCPA和GDPR等隱私法規賦予資料主體（消費者）資料訪問、修改和刪除等權利，比如在CCPA的1798.100條款中，規定“企業收到消費者訪問個人資訊之請求後，應當立即通過郵寄或電子等方式向消費者披露和傳送所要求的資料”；GDPR也有類似規定，要求企業必須在一個月內對所有請求進行響應，若請求過於複雜，可延長到兩個月。該合規場景可解讀為企業需提供兩點功能：

1、為消費者提供資料權利請求的視窗；

2、收到請求立即或者在規定時間內進行響應。

假設一天有1000個使用者請求，若採取手動操作，查詢相關係統，並手工製作1000個使用者的個人資訊資料包告，這個工作量是巨大的，且容易產生操作錯誤。因此亟需一種流程自動化的方法。

Data Fulfillment Automation（資料權利履行自動化）產品可實現消費者資料權利請求-響應的流程自動化處理，並且可生成合規性審查報告。其產品執行流程如下：

1、構建一個或多個動態請求表單並嵌入到客戶的網站中，類似於一個網站外掛。通過這個外掛，可輕鬆接受資料主體的請求（Data Subject Request, DSR）。

2、收集DSR請求，並根據使用者的身份建立DSR工作流程。為了避免錯誤處理和欺詐，該過程需驗證使用者的身份。下圖顯示John A. 使用者希望檢視網站收集自己那些資料，除資料訪問外，還可對收集的個人資料進行編輯、甚至刪除。

3、DSR工作流程提交給後臺，後臺有機器人助手Auti，可關聯到使用者John A.的資料，幫助完成DSR任務並且同步系統。

4、生成DSR履行的審查報告，以證明遵循隱私合規。

PD Linking Automation

PD Linking Automation（個人資料連結自動化）產品通過強大的資料管理能力及People Data Graph技術，可將企業在不同時間、不同系統收集和儲存的某個資料主體所有相關資料進行關聯，比如資料主體的IP地址、身份證號、駕駛證號、照片、出生年月、住址和收入等個人資訊。

根據PrivacyOps book的詳細介紹，該關聯技術的應用產品主要有以下三種應用場景：

1、輔助前面產品Data Fulfillment Automation，生成個人資料的關聯報告。比如，使用者向比如Google提出訪問個人資訊的請求後，Google有多個產品與系統，在瀏覽器伺服器記錄使用者註冊資訊和Cookie資訊，另外在郵件伺服器中也記錄了同一使用者的個人資訊，這兩個系統儲存的同一個資料主體的資訊，但多數企業不會將兩個系統進行關聯。但GDPR和CCPA要求企業向消費者披露資料主體的相關個人資訊，因此關聯技術十分重要；

2、跨國企業的個人資料的治理與視覺化。跨國企業的資料儲存、處理伺服器分佈全球各地，若將個人資訊主體的資訊進行關聯，並關聯到使用者的國籍或居住地（歐盟、美國加州），視覺化獲得資料分佈的世界熱圖，更好地洞察不同國家地區法規的合規性風險；

3、資料洩露後的及時通知受影響的資料主體。例如，對於個人資訊資料庫（假如無郵件、電話等聯絡資訊）的洩露，通過關聯郵件、電話等資訊，可快速通知洩露的使用者，滿足合規性要求。

通過向聊天機器人Auti提問，可觸發操作流程實現自動化執行，並生成巨集觀的個人資料地圖和審查報告。

Assessment Automation

Assessment Automation（內部評估）可為企業內部的系統進行隱私風險評估。產品系統內建不同的合規性模板，如GDPR、CCPA，每一種合規性模板對應各種合規點檢查列表和問題。為了高效地完成隱私風險的評估，產品提供了一個協作平臺，通過它內部多位安全專家可分工對問題進行檢查和回覆。協作平臺收集所有的輸入和檢查，最終生成評估報告。一旦報告生成，企業可選擇與第三方組織或消費者分享，以證明隱私風險控制能力。

Third Party Risk Assessment

在GDPR中，有兩個重要的資料處理組織：資料控制者（Controllers）和資料處理者（Data Processor），資料控制者是資料主體的第一聯絡人，負責資料的收集與處理，資料處理者在多數場景下是第三方組織。例如，一家零售機構（資料控制者）採集使用者資訊，它租賃亞馬遜雲伺服器（資料處理）進行資料的儲存和計算。按照GDPR法規，零售‘機構的法規責任更大，必須慎重挑選挑選資料處理者，以確保它由能力通過適當的技術和組織措施以滿足GDPR的要求。CCPA也有類似的規定，當企業與第三方進行個人資訊的互動時，第三方發生違發資料行為時，當事企業也承擔一定法規責任。特別在大型公司，擁有多個合作商，資料互動和流通越來越大，為了降低法規風險，不僅需保證內部滿足隱私合規，也需確保合作的第三方是可信任的，隱私風險控制水平達到安全級別。

Third Party Risk Assessment（第三方組織的風險評估）很好解決以上的一個痛點，它可以同時邀請與企業合作的多個第三方組織，共同接入評估平臺進行隱私風險評估，它儘可能利用可獲取的資料，包括各個網站的隱私宣告（privacy statements），第三方組織安全專家提供合規性證明和檢查檔案。該產品在生成評估報告同時，也提供了一個統一的隱私風險評分服務。

Consent Lifecycle

Consent Lifecycle（許可生命週期管理）產品可應用與網站的Cookie的資料收集，徵求使用者的同意，對標多個GDPR、CCPA等法規的資料處理與利用的公開透明原則。首先，提供服務的企業需在自身網站中部署Consent Lifecycle相關外掛，如下圖所示，它提供了使用者授權設定的一個視窗。然後，使用者可在設定盤中授權網站的Cookie資訊授權應用於那些目的，比如資料分析、廣告推薦、社交發現，提供給第三方組織C1企業或C2企業等。那麼，如果使用者沒有授權Cookie資訊用於廣告，而服務企業卻在後臺的廣告推薦系統利用了該Cookie資訊，那麼Consent Lifecycle將監控到這一異常行為，在後臺觸發告警行為，以通知企業停止違反法規的風險行為。

02

合規性方案

前文介紹的公司的五個產品，它們進行組合可對標到CCPA（美國加州）、GDPR（歐盟）和LGPD（巴西）隱私合規條款，公司的官網分別提供三種隱私法規遵循的解決方案。下面以CCPA的解決方案為例，對產品功能與對標合規點進行簡單介紹，詳細合規功能點可訪問官網。

資料主體請求DSR自動化處理

CCPA規定消費者具有資料訪問、更新、刪除的權利。當使用者提出合理的權利訴求，PrivacyOps方案可自動化收集、接收以及處理資料主體請求（Data Subject Request, DSR），並自動生成DSR報告。具體對標CCPA的1798.100、1798.105、1798.110、1798.115的資料訪問權相關條款。這些規定了企業收到消費者訪問個人資訊之請求後，應當立即通過郵寄或電子等方式向消費者披露和傳送所要求的資料，否則視為違反法規。

隱私風險評估

通過使用協作的、準備就緒的PrivacyOps評估系統來衡量企業組織的隱私合規性，識別差距並處理風險，以保持符合CCPA監管要求。具體對標CCPA的 1798.135.(1)(2)相關條款，要在網際網路主頁或隱私政策的醒目清晰位置，提供一個命名為“不得出售我的個人資訊”，消費者有選擇不出售個人資訊資料的權利。

個人資料自動連結

發現所有系統中儲存的個人資訊，並將其連結到個人資料的所有者。通過身份視覺化資料蔓延，並基於受試者居住地識別合規風險。CCPA監管的是處理加州居民個人資料的營利性實體，即美國加州外的其他州、甚至國外的跨國企業處理加州居民的使用者資料，將受到相關法規風險影響。該功能視覺化展示巨集觀的風險分佈位置，對標CCPA的治理和監管要求。

除以上合規要求外，PrivacyOps方案還可滿足使用者選擇不出售資料的權利、預設不選擇、檢測隱私說明等合規性要求。

四、總結

歐盟GDPR在2018 年正式實施，2019年進入全面執法，多張鉅額的企業罰單相繼被開出。美國加州隱私法規CCPA在今年1月1月已經生效，與GDPR一樣，CCPA同樣是一項十分嚴格的隱私法規，賦予了消費者更多資料權利，比如訪問權、修改權、刪除權和不出售資料給第三方等，同時提出了企業履行的義務條款。比如，企業收到消費者要求訪問個人資訊的請求後，應立即採取措施（比如信件或電子方式）向消費者免費披露和提供本節所要求的個人資訊（GDPR也有類似的條款）。如何快速地滿足遵循CCPA，這是眾多矽谷巨頭（Google、Facebook和Apple等）以及中小企業面臨的一大痛點問題。違反法規意味著罰款與處罰，GDPR罰款的上界是2000萬歐元或者4%全球營業總額，而CCPA可具體到每一個消費者，罰款上限為750美元（同時被1萬人起訴，那麼相當於罰款750萬美元）。值得注意的是，GDPR不僅對歐盟，CCPA不僅對美國加州的企業，只要處理歐盟，或者加州的居民的跨國企業，同樣將受到法規的域外監管與約束。

Securiti.ai瞄準了這一個普遍的隱私合規性市場與需求，將繁瑣的合規性遵循變成了智慧的、自動化的處理，可滿足企業滿足隱私合規的大部分需求。具體來說，Securiti.ai具有以下亮點與優勢：

1、融資數額8100萬美元是創新沙盒前十強最高的數額 （第二名Obsidian Security為2950萬美元）。僅成立1年多就拿到多家投資機構的基金，這從側面說明公司的發展前景和技術實力；

2、提供的產品較為豐富，官網展示了1年的時間就釋出了5種合規性產品。從官網介紹，公司目前擁有130名員工，同時在人員擴充中，開發迭代速度非常快；

3、產品可快速組合為解決方案，目前提供CCPA、GDPR和LGPD（巴西隱私法規）的合規性方案；

4、公司的技術創新能力不可小覷。公司掌握了People Data Graph自主技術，將多個分散的個人資訊關聯到同一個資料主體中，在學術稱為“實體識別”問題，這是一個棘手的技術難題，Securiti.ai宣稱可將雲、資料庫、大資料系統等異構資料來源關聯識別出來，這是一大創新；另外公司利用NLP技術，利用聊天機器人Auti提供友好、不枯燥的處理輔助功能。

Securiti.ai憑藉實用的、自動化的合規遵循解決方案、以及不可小覷的創新實力，同時在CCPA今年實施的熱點背景下，綠盟君看好Securiti.ai，讓我們拭目以待！

參考連結    ·    

[1] https://www.crunchbase.com/organization/securiti-ai#section-overview

[2] SECURITI.ai Selected as Finalist for RSA Conference 2020 Innovation Sandbox Contest.https://privaci.ai/press-release/securiti-ai-selected-as-finalist-for-rsa-conference-2020-innovation-sandbox-contest/

[3] Securiti.ai Homepage. https://securiti.ai/

[4] 2019網路安全觀察. http://blog.nsfocus.net/wp-content/uploads/2020/01/2019-Cybersecurity-Insights.pdf

[5] https://iapp.org/resources/article/ccpa-readiness-survey/

[6] PrivacyOps book. https://www.privaci.ai/request-book