RSA 2023創新沙盒盤點｜Relyance AI：利用語義分析和程式碼審計實現資料治理左移

RSA Conference 2023將於舊金山時間4月24日正式啟幕。作為全球網路安全行業創新風向標，一直以來，大會的Innovation Sandbox（創新沙盒）大賽不斷為網路安全領域的初創企業提供著創新技術思維的展示平臺。

近日，RSA Conference正式公佈RSAC 2023創新沙盒競賽的10名決賽入圍者，分別為AnChain.AI、Astrix、Dazz、Endor Labs、Hidden Layer、Pangea、Relyance AI、SafeBase、Valence、Zama。

4月24日（美國舊金山時間），創新沙盒將決出本年度冠軍，綠盟君在此立足背景介紹、產品特點、核心能力等，帶大家走進入圍十強廠商，洞悉創新發展趨勢。今天，我們要介紹的廠商是Relyance AI。

公司介紹

Relyance AI公司於2020年在加利福尼亞州成立，是一家隱私和資料治理運營解決方案提供商，目前已在A輪和種子輪融資中共獲得3000萬美金[1]。Relyance AI的工具可以自動對客戶的程式碼進行資料流和控制流分析，以便在業務實施前發現潛在的隱私和資料合規風險；同時，還能基於自然語言處理技術來掃描分析客戶的隱私宣告、與第三方合作方資料處理合同以及客戶的隱私合規策略，確保實際的資料處理方式與以上檔案中宣告的方式相匹配，同時符合相關的法律法規。這種獨特的方法改變了資料治理方案的規劃、構建和實施方式，使客戶能夠將合規和資料治理與DevOps和業務運營同步進行。

圖1 Relyance AI創始人團隊

圖1兩人為Relyance AI創始人，目前兩人均擔任公司聯合執行長[2]。圖中左側為Leila Golchehreh，是一位熟悉各國資料法規的資料保護專家，曾擔任Workday和DPO的法律顧問，職業生涯大部分時間都在為不同的跨國公司規劃資料治理方案，擁有豐富的資料保護與合規治理經驗。圖中右側為Abhi Sharma，是一位熱衷於科技創業並且精通編譯器開發的機器學習專家，痴迷於將編譯原理與機器學習相結合，從而可以自動提煉應用程式和機器學習模型中的資料型別、計算意圖、呼叫關係和資料流，進而直觀和簡便地展示業務程式碼中的資料處理意圖。

Leila在工作中發現，如果想要更好地規劃資料治理方案，客戶必須能夠對自己的資料流有一個全面和實時性的洞察，這樣才能評估內部以及合作方的資料處理活動。Abhi將Leila的發現和自己的經歷聯絡起來，為了向客戶直觀、透明、清晰地展示客戶業務中的資料處理活動，設計了一個透過程式碼審計實現的資料治理左移方案，於是專注於資料保護與合規的公司Relyance AI便順勢成立。

背景介紹

根據聯合國貿易發展組織（UNCTAD）[3]截至2023年3月14日統計，全球80%的國家（共194個國家）完成了資料資料安全和隱私立法或者已經提出法律草案。隨著數字化轉型的不斷推進與深入，資料安全與隱私問題越來越嚴峻，現代化的資料安全與隱私保護立法已成為全球趨勢。

另外，根據GDPR的執法跟蹤網站相關統計[4]，截至2022年12月13日，歐盟成員國在2022年共開出428件罰單，罰單總金額已超過11億歐元，歐盟已經進入全面和嚴格的GDPR執法階段。從罰款的具體原因來看，違反資料處理的一般原則是主要的原因，包括透明性、最小化、使用者同意等各項原則。

還有，綠盟科技在釋出的《網路安全2023：新安全 新發展》[5]中提到，2022年全球資料洩露事件無論是事件數量還是單次洩露資料量級均達到歷年頂峰。資料洩露事件輕則影響企業聲譽，重則影響國家安全。

綜上所述，企業在相關法律法規要求下開展資料保護與合規治理建設迫在眉睫。但資料的廣泛性、分散性、多樣性、複雜性等特點使得企業開展資料保護與合規治理建設困難重重，具體表現在以下幾個方面：

• 最佳的資料保護與合規治理依賴於準確、精確、全面和實時的資料資訊才能實現，缺乏合適的工具，這樣的資料資訊難以獲取。

• 大多數應用程式的業務邏輯設計變化很快，程式碼開發過程也很快，可能無法準確理解企業的合規策略，由此產生的應用程式可能存在重大漏洞，進而導致資料洩露或個人資訊處理不當。如何快速識別這類錯誤是企業當前面臨的一大難題。

• 資料處理活動記錄（Records of Processing Activities，ROPA）是開展資料保護與合規治理的基礎，但是當前ROPA的生成大多依賴人工填表和手動收集，效率極地，極大影響企業開展資料保護與合規治理工作。

• 當前大的企業通常會與眾多第三方簽署合作協議，以便最大化釋放所收集資料價值。然而，如何監督合作方是否按照協議處理資料是企業面臨的另一大難題。
  

如果以上難題不能夠得到解決，則企業很難開展有效的資料保護與合規治理建設工作。

產品核心功能及特色

Relyance AI使用機器學習構建動態、實時的資料清單和對映關係，以便客戶可以監控收集的個人資料如何透過程式碼、應用程式、基礎架構進行流動，以及如何流向合作方。

圖2 Relyance AI方案架構

Relyance AI方案架構[6]如圖2所示，Relyance AI平臺首先對客戶的基礎設施、程式碼、資料處理涉及的合作方以及與合作方簽署的協議進行自動化分析，為客戶生成實時資料清單；然後，利用資料清單為客戶提供服務，包括資料處理活動記錄生成、內部服務分析、合作方資料處理生命週期管理、資料主體訪問請求（Data Subject Access Requests，DSARs）響應、不同資料保護執法部門（Data Protection Authority，DPAs）所制定的法規分析；最後，透過機器學習實現自動化的資料合規與風險分析，並將分析結果向客戶的法律顧問、程式碼工程師、IT運維人員、安全專家等相關人員進行反饋。Relyance AI平臺更詳細的功能和特色介紹如下：

3.1

實時資料清單和對映關係

Relyance AI整合了已有的基礎設施監控工具，連線並分析客戶的程式碼倉庫、基礎架構工具和第三方軟體/外掛API，自動跨內部API和第三方軟體/外掛清點資料資產，向下鑽取、細化到某個部門、服務或第三方軟體/外掛的檢視，以確定資料流位置，然後自動生成動態資料清單、對映資料流拓撲關係，而不必再依賴繁瑣的人工統計分析，同時無需訪問和儲存客戶敏感資料。

圖3 Relyance AI的實時資料清單功能

3.2

資料主體訪問請求管理

為了協助客戶及時響應資料主體的訪問請求，Relyance AI平臺將人工智慧和機器學習技術整合到“資料主體訪問請求管理”模組中，並將該模組與平臺中的“實時資料清單和對映關係”模組進行聯動，形成了一個對客戶來說可開箱即用的解決方案，幫助客戶在符合相關資料保護法規的前提下響應使用者的資料主體訪問請求。資料主體訪問請求管理模組可以在客戶側靈活配置，用於幫助客戶自動化處理資料主體行使的資料權力。在收到資料主體的相關請求後，該模組在系統中自動檢索，併為資料主體編輯、刪除或匯出相關資料。

3.3

資料保護評估

Relyance AI內建了資料保護評估模組，該模組可以實現隱私保護風險、資料保護風險、資料轉移給第三方的風險以及資料主體合法權益等的評估，透過使用來自資料清單、資料流拓撲關係圖、處理活動記錄以及其他Relyance AI獨有技術產生的最新情報資料，可以滿足評估模型所需資料的70%。該模組依賴這些實時資料，可以自動建立並維護相關的評估活動，節省客戶時間並大幅提高評估結果的準確性。

3.4

自動生成通用的資料處理活動記錄

Relyance AI利用機器學習技術，可以在幾個小時內為客戶建立一個實時的資料資產地圖和清單。另外，Relyance AI利用自然語言處理技術，可以對法律條文、合同文字中所規定的資料處理要求進行識別與分析，進而可以在無需人工干預的情況下，根據任意國家/地區的資料保護執法部門所要求的內容自動生成對應的資料處理活動記錄，從而讓客戶可以快速發現隱藏的資料合規風險，自動化的處理流程還可以讓客戶將更多的精力放在制定資料治理規劃上。

圖4 生成通用的資料處理活動記錄

此外，為了檢測處理隱私資料的程式是否合規，Relyance AI還提供了程式相關資訊的視覺化，如子處理器、終止子句、處理的敏感資料型別、以及其他關鍵的隱私度量值。

圖5 程式碼模組分析

3.5

智慧檢測和報警

智慧檢測報警模組利用自然語言處理技術，將耗時的文件梳理、分析過程自動化，能夠向客戶提供持續的資料合規管理和監控能力。同時可以發現客戶潛在的一些安全合規問題，如客戶的程式程式碼中使用了過時的框架，或資料傳輸流程遵循的是過時的《Standard Contractual Clauses》（簡稱SCC，是歐盟依據GDPR制定的歐盟和非歐盟國家之間資料傳輸的標準合同條款[7]），並依據風險值幫助隱私和合規團隊快速確定整改工作的優先順序。

圖6 智慧檢測識別風險

3.6

持續自動化的合同和政策分析

Relyance AI整合了合同生命週期管理軟體，可以不斷地掃描企業/組織的合同和政策，然後找到與企業/組織的隱私合規治理計劃相關的法律法規，同時將合同掃描結果、找到的相關法律法規與企業/組織的實際資料運營情況進行比較，然後提醒客戶潛在的法律風險。

圖7 自動分析合同文字

3.7

第三方資料處理、風險和生命週期管理

依據Relyance AI官網給出的訊息，大約70%的資料洩露事件與第三方資料處理活動有關[6]。因此，Relyance AI的第三方資料生命週期管理模組可以跟蹤和管理由合作方持有資料的整個生命週期，以確保客戶的合作方按照合同約定處理客戶資料。另外，該模組還可以自動生成和維護合作方的資料處理活動記錄，同時還可以利用自然語言處理技術掃描客戶與合作方簽署的合同和協議，並公示合同和協議中涉及安全、合同終止以及資料處理活動記錄的重要條款。

圖8 第三方資料處理生命週期管理

3.8

將資料治理左移

Relyance AI平臺提供了一個合規審查模組，客戶只需在CI/CD管道中新增一行程式碼，該模組就會在客戶的業務程式碼構建時以只讀模式智慧的對客戶業務程式碼進行掃描，該模組可以分析出業務程式碼在處理哪些資料，以及資料如何在內部服務、微服務、資料庫、倉庫、分析工具和合作方之間流動。透過Relyance AI平臺的合規審查模組，可以將客戶的資料治理左移，使得客戶在開發時就可以發現潛在的隱私和資料治理風險。

總結

資料安全與資料治理是近年RSA大會創新沙盒的熱點，BigID和Securiti.ai分別拿到了2018年和2020年的冠軍，2021年的Open Raven和2022年的Dasera也分別以解決客戶雲上資料安全與合規問題而闖入了決賽。這些企業的解決方案僅部分模組採用了機器學習技術，依然有不少功能依賴於手動工作流解決方案或需要過多的資料訪問，並且無法實時分析應用程式如何處理個人敏感資料。

但是，與前述企業相比，Relyance AI的核心優勢是大量採用人工智慧和機器學習技術，快速實現時間、自動化、程式碼和合同整合以及智慧洞察，可以在業務程式碼編寫時分析出資料合規風險，實現客戶資料治理左移；也是目前業內唯一一個提供程式碼級資料合規風險分析的資料安全廠商。

今年的RSAC創新沙盒決賽，Relyance AI能否一舉奪魁，讓我們翹首以待！

參考文獻

[1] https://www.crunchbase.com/organization/relyance-48bb

[2] https://www.relyance.ai/company

[3] https://unctad.org/page/data-protection-and-privacy-legislation-worldwide

[4] https://www.enforcementtracker.com

[5] https://book.yunzhan365.com/tkgd/koui/mobile/index.html

[6] https://www.relyance.ai/platform

[7] https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en