阅读: 11
一、摘要
二、执行摘要
隐私监管快速发展,企业的隐私实践也要跟上,这一点至关重要。侵犯隐私会削弱客户信任,假以时日会导致企业声誉受损和巨额罚款。通过隐私计划保护数据主体并取得信任的企业与竞争对手相比会获得差异化优势。本文探讨了组织隐私状况。
三、主要发现
- 法律/合规性隐私角色和技术性隐私角色都存在人员配备不足的问题,但与法律/合规性隐私角色相比,技术性隐私角色的人员配备略有或明显不足的概率稍微大一些。
- 与法律/合规性隐私角色相比,技术性隐私角色的需求在未来一年更有可能增长。
- 经验被认为是决定隐私职位候选人资格的最重要因素。
- 未来一年,对技术性隐私专业人员和合规性隐私专业人员的需求预计将出现增长。
- 隐私团队与信息安全、法律/合规性和风险管理团队的互动最为频繁。
- 进行隐私设计的企业更有可能:1)配备充足的员工隐私队伍;
2)相信自己的董事会会合理关注企业隐私;
3)要求有成文的隐私政策、程序和标准;
4)不仅仅部署法律要求的隐私控制;
5)觉得自己的隐私预算资金充足。
四、调查方法
最常见的认证是CISM认证:75%的受访者持有CISM认证,42%的受访者持有注册信息系统审计员®(CISA®)认证,35%持有CDPSE认证。43%的受访者担任管理职务,26%担任高级领导职务,21%为非管理人员,10%担任高管职务。图1给出了受访者的其他信息。
图1 受访人群分布
五、隐私人员配置
隐私工作人员的角色包括法律/合规性从业者、技术IT人员、风险专业人员和安全专业人员。图2给出了担任这些角色的员工分布。
隐私从业者通常可分为两大类:法律/合规性或技术性。法律/合规性隐私人员了解适用于企业的隐私法律法规,但可能缺乏技术专长;技术性隐私人员拥有应用控制的技术专长,助力保护隐私并实现合规。
图2 隐私员工角色(贵司员工中担任以下职务的比例是多少?)
尽管人手不足仍是个问题,但与去年相比有所改善(见图3)。原因可能是,与去年相比,企业更加重视隐私和/或增加了隐私预算。去年,35%的受访者表示,他们的隐私预算将在未来12个月内有所增加。
图3 2023年与2022年隐私人员不足问题比较(隐私角色的人员配备不足问题)
图4 法律/合规性隐私人员的招聘周期(平均而言,招聘到合格的法律/合规性隐私人员需要多长时间?)
图5 技术性隐私人员的招聘周期(平均而言,招聘到合格的技术性隐私人员需要多长时间?)
快速填补职位空缺的一大挑战是缺乏合格的求职者。大约五分之一的被调查企业中,只有不到四分之一的隐私职位申请人完全符合所申请职位(法律/合规性和技术性隐私职位)的要求。经验是决定申请人资格的主要因素。图6列出了用于评估隐私职位申请人是否合格的各个要素的重要性。
图6 评估申请人资格的各个要素的重要性(在确定隐私职位人选是否合格时,以上各因素有多重要?)
技能差距
63%的受访者认为,缺乏多种技术和/或应用经验是当前隐私专业人员的最明显技能差距;评估隐私职位候选人是否合格时,经验也是最重要的因素(图6)。54%的受访者表示,在框架和/或控制方面的经验存在较大技能差距。其次是了解企业适用的法律法规(46%),紧随其后的是缺乏技术专长(45%)。
其他技能差距包括:
- 业务洞察力(39%)
- IT运营知识和技能(38%)
- 软技能,包括沟通、灵活性和领导力(34%)
- 网络和/或其他基础设施知识和技能(33%)
- 商业道德(18%)
企业正在努力缩小这些技能差距。图7列举了企业所采取的解决方案。
图7 解决隐私技能差距的方法(贵司采取了以上哪些方法(若有)来帮助减少隐私技能差距?)
六、隐私预算
认为隐私预算资金充足的受访者从去年的33%增加到了今年的36%。这些改善的背后原因可能是企业开始认识到隐私的重要性,采取措施增加资金。认为所在企业的隐私预算在未来12个月将大幅或少量增长的受访者比例从去年的35%略微下降至34%,这可能是因为更多的受访者认为企业的隐私预算资金充足,因此可能不需要增加资金。
12%的受访者预测(去年为8%),所在企业的隐私预算将在未来12个月有所或大幅减少,所以,有些企业受制于有限的资源,可能需要缩减规模。
七、隐私计划趋势
确保合适的隐私负责人至关重要,因为此人可在泄露事件发生时指导响应工作,并为隐私团队代言,请求获取资金等资源。这种问责制还有助于将隐私目标与其他组织目标对齐。
39%的受访者表示,缺乏高管或业务支持阻碍了隐私计划的制定,38%的受访者表示在组织中缺乏存在感和影响力是一大阻碍。要解决这些问题,可以指定有实权的C级高管来为隐私站台。图9列举了企业在制定隐私计划时面临的挑战。
图8 隐私责任(谁对组织中的隐私负有主要责任?)
图9 阻碍隐私计划制定的因素(以上哪些因素(若有)阻碍了组织制定隐私计划?)
28%的受访者表示,他们的技术性隐私人员和法律/合规性隐私人员每季度碰一次头,25%表示每年一到两次,17%则反馈每月一次。另有17%的受访者表示,当有新的隐私法律法规出台时,技术性和法律/合规性隐私专业人员会临时组织会议。
令人担忧的是,近三分之一的受访者表示本公司这两类人员的会面频率还达不到每季度一次。监管状况瞬息万变,业务运营也在不断发展,这些都要求技术性和法律/合规性隐私专业人员增加会面频率。同样令人担忧的是,近五分之一的受访者表示只有在新的隐私法律和法规出台时才会碰头;如果只在合规环境发生变化时才召开会议,隐私工作可能就很被动,无法及时展开。
隐私团队必须跨部门协作,确保隐私因素会在全企业范围通盘考虑。受访者表示,隐私团队经常与信息安全(32%)、法律和合规(29%)或风险管理(22%)团队互动。
隐私团队还定期与IT运营和开发、采购、内部审计、人力资源、销售/营销/客户关系、财务、产品/业务开发以及公共和媒体关系进行互动。
图10 技术性和法律/合规性隐私人员之间的会面频率(技术性隐私人员与法律/合规性人员多久碰一次头以了解法律法规要求?)
董事会看待隐私的角度会有不同。董事会对隐私计划的不同看法如图11所示。
纯合规驱动的隐私方法有很多问题。全球的隐私环境急剧变化,主要关注合规性的组织可能会疲于应付。将隐私计划视为纯合规驱动,隐私计划就不可能具有主动性,只能是被动的。隐私团队可能觉得总是与合规要求有一步之差,无法有效保护数据主体的隐私。
图11 董事会对隐私计划的不同看法
董事会对于隐私问题采取的手段对隐私团队的日常运营影响巨大。
30%的受访企业将隐私事件的数量作为衡量其隐私计划有效性的指标。这一指标应与另一监控机制相结合。只关注隐私事件数量的组织,在事前无法知晓其隐私计划的不足之处;事件发生后,则可能遭受声誉和信誉方面的双重损失,且这种损失不可逆转。隐私事件还可能导致巨额罚款。因此。最好使用前瞻性指标来评估隐私计划的有效性,避免高额罚款。
图12 企业如何监控隐私计划的有效性(贵司如何监控隐私计划的有效性?)
八、隐私意识培训
应定期提供隐私意识培训。由于隐私监管环境和技术的快速变化,还应定期评审和修改培训内容。59%的受访者表示,所在企业每年都会评审和修改隐私意识培训,24%会在新法律法规出台时这么做,9%每2~5年会评审一次,4%不做任何修改。
图13 隐私意识培训的频率(贵司何时提供隐私培训?)
仅仅依靠隐私事件数量和/或从客户处收到的隐私投诉数量是被动方法,存在缺陷。这种方法意味着直到发生了隐私事件或收到隐私投诉时,企业才知道培训效果不佳。尽管跟踪完成隐私培训的人数会有一定意义,但这并不能揭示隐私培训的效果,只是将培训视为一项“打对勾”任务,而未评估员工的收获。
培训前和培训后评估是一个更有效的衡量指标,揭示了员工是否从培训课程中有所得。如果培训前和培训后评估结果没有差异或差异极小,可能表明隐私意识培训需要进行改变。
大多数受访者认为,隐私培训课程对企业有利。26%的受访者表示,隐私培训和意识课程具有明显的积极影响,47%表示具有一定的积极影响。
在57%的受访企业中,隐私意识培训与安全意识培训分开进行,而31%的受访企业并未将两者区分。
尽管隐私培训和安全培训可以结合起来同时提供,但问题是,这种培训无法涵盖与隐私相关的所有主题。没有安全就不可能有隐私,但有了安全并不一定能保证隐私。
图14 隐私意识培训效果评估指标(贵司使用哪些指标来评估隐私培训课程的效果?)
九、隐私框架和法律法规
- 《通用数据保护条例》(GDPR):50%
- 美国国家标准与技术研究院(NIST)的《隐私框架》:46%
- ISO/IEC 27002:2013《信息技术—安全技术—信息安全控制实用规则》:36%
毫不意外的是,用以管理隐私的框架和法规存在地区差异。79%的欧洲受访者使用GDPR。可能你会惊讶于欧洲只有79%的受访者使用GDPR,但这可能部分归因于英国脱欧。美国61%的受访者使用NIST的《隐私框架》。
现行的隐私法律法规很多,部分企业难以识别和了解自己的隐私义务。23%的ISACA调查受访者表示,难以或很难识别和了解自己的隐私义务。这一发现说明了技术性隐私人员与法律/合规性隐私人员定期会面的重要性,因为许多技术性隐私专家没有法律背景,不了解法律法规的具体规定。
如本报告前文所述,本年度隐私预算似乎比去年更为充足,人手不足的情况似乎也在改善。部分原因可能是企业感受到隐私团队的压力,相应提高了隐私预算和员工规模。造成这种压力的部分原因可能是数据主体请求量增加。34%的受访者表示,数据主体的请求量有所或显著增加。
十、隐私泄露和隐私问题
仅有11%的受访者表示,所在企业在过去12个月内遭遇了严重的隐私泄露,这一比例略高于去年的10%。64%的受访者表示,所在企业不存在隐私泄露,17%的人表示不清楚,9%的人选择不回答。尽管表示“不清楚”的受访者比例似乎较高,但有可能
他们知道发生了安全事件,但不确定个人信息是否泄露。停留时间(从泄露发生到企业发现泄露的时间)也可能是一个原因,使得受访者不清楚是否发生了隐私泄露行为。图16给出了本年与去年的隐私泄露事件数量对比情况。
图15 最常见的隐私问题(在您看来,哪些是组织中最常见的隐私问题?)
图16 本年与去年的实质性隐私泄露数量对比(与一年前相比,贵司的实质性隐私泄露事件是否有所增加或减少?)
十一、隐私设计
将一直进行隐私设计的企业与被调查企业的总数进行比较,我们发现了一些值得关注的趋势。一直进行隐私设计的企业:
- 更可能将隐私培训与安全培训分开(65% vs. 57%)
- 受访者对所在企业确保敏感数据隐私的能力表示具有充分或一定程度信心的概率高出0.5倍(65% vs. 40%)
- 更可能依赖人工智能(AI)或自动化(25% vs. 20%)
由于不进行隐私设计被视为常见的隐私问题(图15),较多企业未始终贯彻隐私设计多少令人惊讶。原因可能是,始终贯彻隐私设计的企业更有可能拥有如此行事所需的资源(图18)。在一直进行隐私设计的企业中,隐私员工人数的中位数为19,几乎是所有受访企业中隐私员工人数中位数(10)的两倍。
图17 进行隐私设计的频率贵司的隐私设计有多频繁?
图18 始终贯彻隐私设计的企业趋势
始终进行隐私设计的企业中,受访者对其团队确保数据隐私和遵守新隐私法律法规的能力更有可能表示出具有充分或一定程度的信心,具体比例为76%,而全部受访者中这一比例为35%。
始终采用隐私设计的企业中,其董事会将隐私计划视为纯合规驱动的可能性较小(24% vs.33%)。隐私设计的一个关键原则是,隐私应该是主动而非被动的,而纯合规驱动的计划通常是被动的,所以始终进行隐私设计的企业一般不会被动行事就能说得通了。
十二、隐私的未来
考虑到隐私团队须满足的各种要求以及越来越多的国际隐私法律法规,预计未来一年对隐私专业人员的需求将有所增长。
62%的受访者表示,明年对法律/合规性职位的需求将有所增加,而69%表示对技术性隐私职位的需求将会增加。
隐私人员的主要职责是应对隐私泄露。图19显示了未来一年发生隐私泄露的可能性。
图19 未来一年发生实质性隐私泄露的可能性(贵司明年遭遇实质性隐私泄露的可能性有多大?)
招聘合适的隐私人员困难重重,实质性隐私泄露会带来后果,这让一些企业开始或计划使用人工智能进行隐私保护。图20为受访企业使用人工智能解决隐私问题的情况。今年使用人工智能的受访者多于去年,但计划在未来12个月内将人工智能用于隐私的人数与去年相同。
隐私团队人手严重不足,但令人惊讶的是,近38%的受访者不打算使用人工智能,可能因为考虑到与人工智能相关的隐私问题。大量受访者不清楚公司是否计划将人工智能用于隐私,可能也是因为这些问题。
图20 将人工智能用于隐私相关任务的规划情况(贵司计划如何使用人工智能(机器人或机器学习)执行与隐私相关的任务?)
十三、总结
尽管保护数据隐私面临各种挑战,但ISACA在调查中发现了一些积极信号:企业越来越重视隐私,开始调整预算,隐私团队规模超越了去年。尽管还有改进空间,而且许多企业认为资源不足,但总体而言,企业正着力为隐私团队提供更有力的支持。
免责声明
发布日期:2023年1月
原文链接:https://www.isaca.org/resources/reports/privacy-in-practice-2023-report?tfa_next=%2Fresponses%2Flast_success%3Fjsid%3DeyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.IjFmZTk1Y2E3NGI0ZjEzYzg4YmU4N2NmZTk1ZGE1MTdmIg.kM3z-VFUGbn4uwJcqfJB7KdX5xl_kDVdhGmbAojX0wY