2.5.3 政策与合规

政策与合规通常来自组织外的要求。在某些情况下，“组织外”实际上是指为YarnIt工作的老板或律师，执行某种外部法律要求，但在其他情况下，其便意味着国家政府的直接干预了。这些需求背后往往有强有力的原因，而在查看需求本身时，这些背后的故事通常并不明显。

这里有一个烦人但却有力的示例。欧洲关于在浏览器中发送cookie的规定，对于网络用户来说，往往显得很霸道、很粗暴，或者很愚蠢。网站在用户的机器上存储标识符应该得到明确的同意，这个想法可能看起来没有必要。但任何了解第三方广告cookie侵犯隐私的力量的人都可以证明，至少在对cookie的一些限制背后有一个真正强有力的理由。虽然“为每个网站询问每个用户”的方法可能不是最优雅和可扩展的，但当我们知道更多关于这些cookie被如何使用，以及防止它们的不良使用有多难时，它就更易于理解了。

应该认真对待数据存储的政策与合规要求。但如果只看要求或标准的文字而不了解其背后的意图，那就错了。通常情况下，简单的方法也可能是合规的，整个行业的顾问都制定了更复杂的合规实践。

如前所述，匿名化是一个潜在的合规捷径。如果数据需要优先特殊处理，可能有一种方法可以避免这些要求，只需确定（和 记录 ）我们不存储任何私人数据。

关于政策和治理要求，还有两件事需要注意：管辖权和报告。

管辖权规则

世界上越来越多的政府主张对存储在其地理位置或来自其地理位置的数据的处理进行控制。虽然这在原则上似乎是合理的，但它与过去几十年来世界上建立网络计算机系统的方式完全不一致。对于一些云计算提供商来说，甚至不可能确保在一个国家产生的数据会在该国得到处理。YarnIt计划在全球范围内销售，尽管我们可能在开始时只推出几个支持的国家。所以我们将不得不仔细考虑需要遵守哪些数据存储和处理的要求。

报告要求

请记住，合规工作需要报告。在许多情况下，报告可以被整合到我们监控服务的方式中。合规性要求是SLO（服务等级目标），报告包括建立实现状态的SLI（服务等级指标），这些SLI与合规性SLO有关。这样想可以使这项工作与我们需要做的其他可靠性的工作与实践一起标准化。 tI7HCPKyPhLGb4RVV+Iy9BowJkgyoBrX2jQlu/hX5/0ae8FqXp3SRVuNMNrraICb