虽然我从来没有专门从事合规性工作,但过去十年我的大部分工作都涉及协调产品和合规性目标,在那段时间里,我开发了一些关于未来五年合规性演变的宠物理论到十年:我希望以客户为导向的合规性能够集中在一套统一的控制措施上。
虽然今天 GDPR、CCPA、HITRUST、FedRAMP 和 SOC2 之间存在很大差距,但我通常预计这些不同框架之间的差距会随着时间的推移在所有客户数据都被视为神圣的前提下显着缩小。因此,我希望实施这些框架的必要控制能够收敛,从而减轻组织跨多个合规制度合规的负担。然而,随着各个国家、州和监管机构推动更严格的控制,这种融合将发生在一系列偶然的、不稳定的、不可预测的步骤中。
工程、产品和法律团队通过对这些框架的聚合位置做出合理、保守的猜测,将能够为他们的组织节省数百年的工程时间。然而,这将是痛苦的,因为这些保守的立场将极大地限制这些企业的能力,从而使它们在短期内与更具进取心的同行相比缺乏竞争力。快速发展贵公司的方法,同时在未来证明监管趋同并最大化短期窗口以通过广告和营销努力优化增长,这很可能是这一阶段成功企业的一个决定性特征。
我不清楚这是否真的对消费者有利,因为这种监管肯定会减少第 3 方广告和营销,但似乎不太可能减少第 1 方广告。这种从第 3 方广告到第 1 方广告的势头转变对于已经可以在其内部平台(Meta、Google、ByteDance 等)中推动面向客户的网络效应的公司特别有利,并且对于希望有朝一日参与竞争的新贵来说尤其困难与那些成熟的科技企业。
反垄断监管机构肯定有可能介入以减少第一方广告优势,但绝不是确定的。欧盟似乎已经有意监管这些大型平台,但美国和中国似乎不太感兴趣,这是很合理的,因为它们的国内平台在世界范围内(以及尴尬地在国内)发挥着非凡的影响力。
从非大平台公司的角度来看,我认为这是从“数据即价值”到“数据即风险”的时间线演变的自然延续,这类公司将越来越希望用他们的方式处理所有存储的数据着眼于安全、受限和审计的访问。
如果我不得不选择一个实施概念来关注,我认为字段级加密应该是新应用程序开发的起点,特别是字段级加密,您可能与之签约的每个实体都有不同的密钥(例如,每个企业对应一个企业对企业的产品,每个用户对应一个消费品)。
使用字段级加密作为基础构建块具有一些有趣的优势。二提三:(1)微不足道的删除,包括从备份中删除,(2)数据库级数据泄露的破坏性较小,因为除非也提取成对密钥,否则数据不可用,以及(3)它引入了完全正确的类型设计更高合规性系统的痛苦。
相反,这通常会很痛苦。许多名义上微不足道的查询在数据库层内将不再可能。 (当然,您可以构建类似触发器的东西,以允许检索数据库中的键,但这会显着破坏整个企业的价值。)这也意味着您希望为数据分析执行的许多查询是更难执行。这不是永远正确的,您可以选择通过故意塑造加密数据来公开有关给定字段的元数据(作为人为的示例,您可以选择为来自美国的加密数据加上“us_”前缀,为来自加拿大的加密数据加上“ca_”前缀”),但这肯定是更多的工作。
不管怎样,我在这里没有什么重要的要点,这只是互联网软件行业发展中的一个线索,我现在觉得特别有趣。我确实认为,在接下来的几年中,一些特别有趣的业务将建立在这一观察之上,这将跨越诸如Vanta等其他事物,如MongoDB 的客户端加密,甚至更多地使在一个世界中运行高性能数据管道成为可能事物由数十万个不同的密钥加密。在某些时刻,互联网给人的感觉是静止的、不朽的和不变的,但有趣的是它实际上从未停止变化。