编者按:
在法律科技的赛道上,除了legalzoom这样被中国法律科技届所熟知的企业,还有一批不逊于LegalZoom,甚至估值前景可能远高于前者的数字化合规服务商。在LegalZoom2021年6月以订阅制服务模式成功登陆纳斯达克,估值71亿美金前,美国一家以隐私合规起家的合规SaaS服务商OneTrust在2021年4月拿下了由TCV、软银资本和富兰克林资本牵头的5.1亿美元的C轮融资,投后估值超过50亿美金。
这家成立于2016年的合规独角兽以超乎寻常的速度得到了大客户信赖,世界500强企业中超过一半的企业都在使用其服务,也以近乎一年翻一倍的估值得到了资本市场的青睐,怎样的产品功能和企业定位支撑起他们业绩的高速增长?本文深入调研OneTrust的产品逻辑和功能,以下为正文。
根据2020年IDC市场份额报告,OneTrust占(全球数据隐私市场)总市场份额的 40.2 %。尽管2020年3月至4月全球经济前景黯淡,但全球数据隐私市场在2020年增长了46.1%。OneTrust完全领先于市场,并且没有任何迹象表明减速或停止。
2020年,一家成立才4年的公司OneTrust,在美国Inc杂志推出的高科技高增长企业5000强(Inc.5000)中排名第一,并以48,337.2%的三年增长率,被Inc.500评为美国增长最快的公司。2020年IDC 市场份额报告给了这家公司极高的评价:“OneTrust占总市场份额的 40.2 % ...…尽管2020年3月至4月全球经济前景黯淡,但全球数据隐私市场在2020年增长了46.1% 。OneTrust完全领先于市场,并且没有任何迹象表明减速或停止。”
OneTrust总部设在亚特兰大和伦敦,创始人KabirBarday是技术出身,曾是BlackRock的开发人员,也是戴尔旗下VMWare的前产品管理总监,他在2016年与Manhattan Associates和AirWatch的联合创始人Alan Dabbiere共同创立OneTrust。这家公司目前拥有3000名员工,总部设在亚特兰大和伦敦,在澳大利亚、巴西、加拿大、法国、德国、日本、英国和美国设有办事处,尤其是因为最新一轮投资人软银资本位于东京,OneTrust在最新一轮融资后增加了在日本的战略地位。
KabirBarday,OneTrust公司的创始人兼CEO
跟LegalZoom这样法律人创业的企业不同,OneTrust的创始人KabirBarday是一个技术男,Barday毕业于佐治亚理工学院,毕业后任职于亚特兰大一家名为AirWatch的公司,该公司帮助其客户管理员工的移动设备。彼时移动计算革命成为新的趋势,授权员工使用BYOD(自带设备)是雇主不得不考虑的改革。
Barday的老东家AirWatch的软件可以监控一个人在他的设备上安装了哪些应用程序,并标记可能泄露公司数据的潜在安全威胁。但Barday认为这种监控可能会泄露员工的敏感信息,例如宗教、性取向和财务状况等。Barday说服他的老板让他领导开发一系列用于保护员工隐私的产品功能,结果赢得了国际隐私专业人士协会(IAPP)的奖项,并前去领奖参会。在参加这次会议有关隐私管理的小组讨论时,他意识到该行业对《通用数据保护条例》(GDPR)准备不足。虽然当时很多科技企业积极游说以阻止GDPR生效,但Barday确信GDPR对实施是不可避免的趋势,而各地的企业都不具备提供所需的隐私保护技术。“这是一个我从未见过的成长型行业,”他说。“而且我看到了不匹配。许多解决方案提供商都是法律咨询型公司,但如果你阅读GDPR草案就会发现,它需要公司基本架构的更改,而不仅仅是政策更改。”Barday产生了设立OneTrust的初步构想。
大约两年后,Barday带领着他的新团队(大部分是AirWatch前高管团队,包括创始人)准备正式推出OneTrust。启动资金来源于Barday自筹以及AirWatch的创始人Alan Dabbiere和John Marshall凭借自身信用向公众募集的资金(在创立AirWatch之前,他们曾设立了另一家市值10亿美元的公司,并带领其进行了IPO)。这也意味着OneTrust在最初阶段就像富二代创业,能够推出相对完整的产品,而不用受限于资金问题分阶段的开发。
2016年,OneTrust正式发布,不久后,欧盟议会于通过了GDPR,其将于2018年生效。OneTrust已准备就绪。同年,加州立法者通过了《加利福尼亚消费者隐私法》(CCPA)。
2019年7月,OneTrust在A轮融资中筹集了2亿美元,这是其第一轮融资,估值高达13亿美元;2020年2月,OneTrust以27亿美元的估值筹集了2.1亿美元,B轮融资由高图管理有限责任公司和Insight Partners领导。
2021年4月,OneTrust获得由TCV、软银愿景2号基金和富兰克林·邓普顿牵头的5.1亿美元的C轮融资,筹集资金总额达到9.2亿美元,公司估值达到53亿美元。
6年时间, Barday将他的公司发展成为世界领先的隐私管理平台之一。支撑其快速发展的是OneTrust持续地、大手笔地对其他数据隐私软件产品的收购活动。每一次收购都让这家新兴的合规SaaS公司指数级的实现能力和收入增长。
2016年9月,OneTrust宣布收购总部位于英国的数据隐私合规服务公司Optanon。Optanon是一家已经成立15年的以隐私为中心的软件企业,是最早发布Cookie法律合规服务的企业之一。Optanon拥有并管理Cookiepedia和CookieLaw,这两者都被广泛认为是有价值信息的权威来源。对于此次收购的目的,Barday表示:“Optanon的独特地位使OneTrust能够凭借我们快速扩大的全球业务和广泛的解决方案来满足全球企业客户的需求。”
2019年3月,OneTrust宣布已收购DataGuidance。DataGuidance是一个最新的隐私和安全监管研究平台。收购DataGuidance后,OneTrust现在为全球100多个国家/地区的2,500多家大小客户提供服务。其内部团队由遍布全球六个地点的700名全职员工组成。全球300多个研发资源不断提供更新,这支持了OneTrust成为市场上最强大、最易用的隐私管理平台。合并后的团队由20多名内部隐私研究人员组成,由代表300多个司法管辖区的500多名律师在线提供支持,为数百个法律和框架、一万多个相关模板、指南、判例法和资源提供更新,这些都内置在OneTrust平台中。
2019年11月,OneTrust宣布收购IAPP的PrivacyCore®电子学习解决方案。IAPP是最大和最全面的全球信息和隐私社区,它开发了丰富的交互式课程库,采用基于上下文的角色方法来帮助培训组织的员工,促进隐私文化的普及。PrivacyCore®包含一个不断扩展的课程库,支持30种语言。OneTrust将PrivacyCore®纳入其模块化平台,该平台提供业界最完整的技术解决方案,以满足CCPA、GDPR、LGPD(巴西的《通用数据保护法》)的要求以及全球数百个隐私和安全要求。
2020年6月,OneTrust收购了西雅图初创公司Integris Software。Integris成立于2016年,致力于帮助公司管理个人信息并满足合规要求。OneTrust此次收购主要是看中了Integris的人工智能技术。OneTrust已经将Integris产品整合到其OneTrust DataDiscovery产品中,该技术用于在云迁移期间监控合规性和管理数据治理等任务。
2021年3月,OneTrust宣布收购DocuVisionInc.及其Redacted.ai解决方案,以扩展OneTrust自动数据编辑功能。组合技术OneTrust DataRedaction现已上市,可帮助隐私、法律和信息安全团队查找、编辑和保护文档和电子邮件中的敏感信息和个人信息。OneTrust将数据编辑集成到OneTrust隐私、安全和数据治理平台中,完成了第一个全自动数据主体权利(DSAR)工作流程,包括接收、身份验证、发现、编辑和安全响应。
2021年4月,OneTrust宣布已完成对道德与合规领导者Convercent的收购。Convercent拥有一支由150名道德与合规专家组成的团队,在管理世界上最复杂、最先进的全球道德规范项目方面拥有领先于行业的经验。其客户包括爱彼迎、UnderArmour、Kimberly-Clark和时代华纳。Convercent拥有先进的道德和合规能力,集成到OneTrust中进一步增强了平台的信任基础。Convercent道德云平台包括举报、政策管理、披露管理、分析和基准测试以及学习等功能,拥有超过750家企业客户。
2021年5月,OneTrust宣布它已达成收购Shared Assessments的最终协议,Shared Assessments是致力于推动第三方风险保障的最佳实践、教育和工具的全球会员组织。此次收购将使Shared Assessments进一步扩大标准化信息收集问卷( SIG )的可用性和采用率,使其成为全球事实上的第三方风险标准。全球已有超过15,000家公司使用SIG,借助OneTrust的支持和规模,Shared Assessments可以推动SIG在世界范围内的关键领域采用。Shared Assessmentse的主要服务包括标准化信息收集问卷、共享评估峰会和共享评估认证。Shared Assessments被收购后会继续作为一个开放和供应商中立的行业组织进行运营。
2021年10月,OneTrust宣布签署了收购TugboatLogic的最终协议,TugboatLogic是一个技术平台,可简化和自动化数十种安全框架(例如ISO27001,SOC)的信息安全保证和审计准备工作、CMMC、HIPAA和PCIDSS。作为OneTrust的一部分,TugboatLogic将提供公司可以成长的安全平台。对于规模较小的安全团队,TugboatLogic提供了先进的自动化和智能功能,可帮助他们构建安全计划并赢得业务。随着公司的发展,可以逐步过渡到OneTrust的企业GRC解决方案套件。
2021年12月,OneTrust宣布收购德国企业碳管理解决方案提供商Planetly,这家公司的使命是支持业务向净零经济转型。此次整合将迅速提升OneTrust的ESG解决方案,将碳管理技术、可持续发展管理能力、深入的环境研究和碳核算专家团队引入OneTrust。OneTrustESG是OneTrust于2021年4月推出的新功能,使用户能够在OneTrust平台内推动ESG计划,以识别内部和供应商风险,了解合规差距,设定目标,利用ESG框架以及构建和导出报告。
OneTrust的发展路径可以看出,Barday一直在不断完善他的商业版图。他通过不断“买买买”组建了以隐私合规切入的庞大“托拉斯”,为客户提供包含安全、隐私、治理、合规、环境保护等模块的一站式综合管理平台。
OneTrust最初专注于隐私管理领域,随后通过一系列的并购行为,其商业版图逐渐拓展至数据治理、GRC、道德与合规以及ESG等领域。其定位也经历了由“隐私管理平台”到“隐私、安全和第三方风险技术平台”,再到“类别定义型企业平台”的转变。
OneTrust的产品包括:
- OneTrust Privacy - 隐私管理软件
- OneTrust DataDiscovery - 人工智能驱动的发现和分类
- OneTrust DataGovernance - 数据智能软件
- OneTrust Vendorpedia - 第三方风险交换
- OneTrust GRC - 综合风险管理软件
- OneTrust Ethics & Compliance- 道德与合规
- OneTrust PreferenceChoice - 同意和偏好管理
- OneTrust ESG – 环境、社会和治理
篇幅所限我们先展示其中五个基本产品
(一)隐私管理
OneTrust主张通过设计实现隐私管理。隐私影响评估 (PIA) 对于帮助隐私专业人员识别和指导整个组织中个人信息的使用至关重要。根据GDPR,必须在项目的初始设计阶段考虑数据隐私,组织有责任制定适当的政策、程序和系统,以实现这种“设计隐私”的方法. 如果项目可能对数据主体的权利和自由造成高风险,GDPR 要求进行数据保护影响评估 (DPIA) 以满足合规性要求。OneTrust 通过设计帮助企业管理用户隐私,以符合 GDPR 要求。OneTrust的自动化隐私影响评估 (PIA) 和数据保护影响评估 (DPIA) 旨在通过集成到项目生命周期中的基于角色的模板和自助服务工具来提高组织范围内的采用率。整个组织的所有隐私项目都整合到一个中央仪表板中,以完整记录数据保护活动。
(二)同意和偏好管理
随着数字平台和工具的发展,在尊重消费者隐私的同时创造个性化用户体验对于现代隐私时代的品牌来说是一个日益严峻的挑战。随着消费者变得更加注重隐私,企业必须在数据收集和使用方面保持透明,提供同意和营销偏好的选择,并通过在下游技术堆栈上执行同意来建立信任。
OneTrust同意和偏好管理平台可以捕获、集中、管理和同步同意、偏好和第一方数据,同时在所有消费者交互的保持最直接的信任和透明度。
OneTrust 的偏好管理使企业能够让消费者更好地控制和了解他们的通信偏好。以对用户透明的方式收集偏好和第一方数据,为单一事实来源集中数据,并在整个MarTech堆栈中同步数据,以保证营销和销售活动的合规性。
(三)第三方风险管理
该功能帮助企业整合第三方风险管理生态系统,让企业与供应商建立互信。具体分为面向企业的第三方风险交换和第三方风险管理模块,以及面向供应商的问卷回复自动化模块。其中第三方风险交换模块向企业提供行业标准供应商风险评估社区访问接口,这一社区由 70,000 多家供应商组成,共有18个风险领域和关键标准、框架和法律。
(四)GRC平台
GRC平台下包括以下独立产品:IT与安全风险管理、企业与运营风险、审计管理、第三方风险管理、政策管理、数据发现、事件管理。
(五)数据发现
OneTrust的数据发现包含数据发现与分类、目标数据发现两个功能。准确的来说,数据发现是一项数据处理技术,被运用在OneTrust的多个产品中。由于这一技术的重要价值,在OneTrust的产品页面中作为独立产品进行介绍。
数据发现与分类技术通过内置的500多个连接器,通过AI技术实现数据的自动化发现和分类。功能与GRC平台的数据发现功能一致,分为数据发现、数据分类、数据跟踪等步骤。具有三个突出的优势:一是能够实现对整个IT架构(包括云端和本地)的所有数据的深度扫描。二是支持结构化、非结构化和半结构化数据格式。三是在发现数据的基础上,对数据实现业务控制和技术控制。
目标数据发现技术解决的是自动化发现、删除、编辑、、删除、检索个人信息等操作。它也有两个优势:一是全过程自动化。通过事先配置的集成工作流程自动化处理个人数据权利的每个步骤。二是集成性高,支持与 CRM、IT 管理和 HR 工具以及数百个预集成解决方案集成。
四、收费方式与实际效果
OneTrust深谙SaaS收费模式之道,采取模块化订阅制的方式对企业用户收费,以隐私管理功能为例,1000人以下规模的企业基本收费标准在3万美元左右一年。
OneTrust的产品在软件评分网站Trustdius上得到了8.5分(总分10分)的评分。在另一家软件评分网站SoftwareAdvice上得到了4.1分(总分5分)的评价。总体来说受到了用户的认可。根据用户评论,它的优点包括:
1.平台的集成性强,功能完整。用户不必在多个系统之间来回切换,只要在一个系统上就能完成所有工作;
2.同意和偏好管理功能实用性强,包括网站 cookie 扫描、cookie 自动阻止、cookie 设置等功能;
3.嵌入了法规框架,可以更清晰的控制处理个人数据和报告遵守法律的情况;
4.协同不同部门之间的配合;
5.灵活性强,员工能够在基于角色的集中式数据库中有效地履行职责。
当然,一路买买买带来的弊端也是有的,功能拼凑导致OneTrust在系统集成方面有点像个“科学怪人”,受到用户吐槽的点包括:
1.系统集成难度大,需要进行很多配置工作,且需要通过手动方式集成;
2.服务响应时间长;
3.系统功能混乱,由多个系统合并在一起,各个模块之间的用户界面不一致;
4.一些模块需要定制才能正常运行,而不是开箱即用;
5.一些模块缺乏预先配置的工作流程,因此可能会花费大量时间在自定义配置上;
6.成本高。
站在SaaS行业,OneTrust被吐槽的点对一般的企业是致命的,系统配置、数据打通的问题直接会将客户拒之门外,简单来说用户早已被salesforce等工具类的SaaS产品惯坏了,挑剔的用户能接受OneTrust的理由某种程度上是没有更好的替代性方案,在2017年普华永道对美国、英国和日本科技公司高管的调查中,88%的人表示,他们的公司计划在2018年5月全面实施欧盟《通用数据保护条例》(GDPR)之前,花费超过100万美元为其做准备。较小比例的受访者(40%)表示,他们预计将花费1000万美元或更多。
与这100万甚至是1000万美元的数据合规预算相比,OneTrust的产品定价和功能瞬间就“真香了”,而那些系统配置数据打通的问题在大型企业客户眼中也就变成了不是问题的问题。
五、数据合规市场有多大?
Barday表示,2022 年OneTrust将继续创新,让客户通过工具和技术在整个组织中建立信任。他认为,面对更多的行业、经济和监管压力,以信任为中心的软件市场需求将继续增长。
美国市场情报公司IDC最近发布的一份报告《数据时代2025》预测,全球数据创造量将从2018年的每年33ZB增长到2025年的175ZB。随着数据量的爆炸式增长,数据合规在全球范围内受到了前所未有的重视。当前,许多国家处于制定自己的个人隐私法规的不同阶段,公司必须遵守的各种要求变得越来越复杂,对数据合规技术的需求也越来越大。研究公司Gartner预测,到2023年,全球65%的人口将受到国家隐私法的约束,而2020年这一比例为10%。更重要的是,IAPP的长期首席执行官特雷弗休斯说,“随着全球数字经济在几毫秒内覆盖整个世界,公司不能仅仅依靠遵守单一的法律,无论它们位于何处;它们必须应对整个全球网络,有时会出现隐私冲突法律。” 仅违反GDPR就可能对一家公司处以高达其年收入4%的罚款。市场研究报告估计,到2025年,隐私管理软件市场每年将超过30亿美元。
与此同时,实施隐私保护计划需要将数据隐私和保护措施纳入新的和现有的业务中,技术环境,这离不开隐私专业人员与业务团队(包括支持职能部门、软件开发人员、系统和网络工程师、应用程序和数据库管理员以及项目经理)的合作,但目前缺乏在隐私方面的技术和法律方面都胜任的人员。根据ISACA最近发布的2022年隐私实践调查报告,63%的全球受访者预计对法律/合规职位的需求将增加,72%的受访者预计对技术隐私角色的需求将增加。
Barday表示,2022 年OneTrust将继续创新,让客户通过工具和技术在整个组织中建立信任。他认为,面对更多的行业、经济和监管压力,以信任为中心的软件市场需求将继续增长。