在过去的一年里,全球各地的隐私法规持续发展和更新,如印度的《个人数据保护法案》和巴西的《通用数据保护法》等。然而,ISACA《2024年隐私实践研究报告》显示,只有34%的组织表示已充分了解其隐私责任,只有43%的组织对其隐私团队确保数据隐私和遵守新隐私法律法规的能力非常或完全有信心。
本次调查就人员配置、组织结构、政策、预算和培训等隐私话题发表了看法。
一、隐私挑战
组织不仅在理解隐私监管环境方面存在困难,还面临着隐私预算等其他数据隐私挑战。近一半的受访者(43%)表示其所在组织的隐私预算不足,只有36%的受访者表示其所在组织的隐私预算充足。对于未来一年的预算展望,只有24%的受访者认为隐私预算会增加(比去年下降10个百分点),只有1%的受访者认为预算将保持不变(比去年下降26个百分点)。超过一半(51%)的受访者认为隐私预算将缩减,这一比例较去年显著上升,去年该比例仅为12%。
受访者表示,推行贯彻隐私计划的道路也并非一帆风顺,组织面对的主要障碍包括:
- 缺乏有能力的隐私团队和隐私专业人员(41%)
- 计划分配的任务、角色和职责不明确(39%)
- 缺乏行政或业务支持(37%)
- 在组织内部缺乏可见度和影响力(37%)
在寻求有能力的人才时,隐私技术职位的需求量最大,62%的受访者表示明年对隐私技术职位的需求将增加,55%的受访者表示法律/合规职位的需求将增加。但受访者表示,隐私专业人员存在技能差距。调查结果显示,隐私专业人员最大的技能差距是不同类型的技术和/或应用程序的经验(63%)。
关于隐私事故,调查结果显示,缺乏培训或培训效果不佳(49%)、未贯彻隐私设计(44%)和数据泄露(42%)是最常见的隐私事故原因。
ISACA 隐私实践负责人 Safia Kazi 表示:“当隐私团队面临预算紧张和员工技能短缺的双重挑战时,跟进不断变化完善的数据隐私法规将更加困难,这甚至可能会导致数据泄露的风险增加。认识到这些挑战可以帮助组织采取必要措施进行补救,调整策略以强化其隐私团队和隐私计划。”
二、采取行动
培训是帮助组织弥补员工缺口和避免隐私事故的有效手段之一。半数受访者(50%)表示其所在组织通过培训使对非隐私专业人员转而从事隐私工作,而 39% 的受访者表示其所在组织聘用更多的合同员工或外部顾问。
在员工培训方面,86%的受访者表示其所在组织为员工提供隐私意识培训,其中66%的受访者表示其所在组织每年都为全体员工提供培训,52%的受访者表示其所在组织为新员工提供隐私意识培训。60%的受访组织至少每年审查并修改一次隐私意识培训内容。71%的受访者认为,隐私培训对组织隐私意识有很大或一定的积极影响。有趣的是,受访者表示,组织最常用来追踪隐私培训效果的指标不是隐私事件的减少(56%),而是完成培训的员工人数(65%)。
除此之外,组织还利用各种隐私控制措施来加强数据隐私,最常用的三大隐私控制措施为身份和访问管理(74%)、加密(73%)和数据安全(72%)。
尽管组织在隐私领域面临着多种挑战,但63%的组织表示在过去12个月中没有发生重大隐私泄露事件,18% 的组织表示隐私泄露事件的数量未发生变化。受访者对未来一年的预测也较为乐观:仅有不到五分之一(16%)的受访者认为其所在组织在未来12个月预计会发生重大隐私泄露事件。
为评估隐私计划的有效性,受访者表示组织最常用的方法是:
三、隐私设计的价值
调查结果最明显的启示之一是,采用隐私设计的组织掌握了一些关键优势:
- 隐私团队规模更大(员工人数中位数为15人,而在所有受访组织中该数据为9人),并且更倾向于认为其技术性隐私部门的人员配置得当(42%:34%)。
- 坚信董事会将组织隐私放在首位(77%:57%)。
- 将组织隐私计划视为纯粹合规驱动的可能性较低(35%:44%),而更倾向于认为隐私计划是合规、道德和竞争优势的结合(39%:29%)。
- 更倾向于认为其所在组织的隐私战略与组织目标相一致(90%:74%)。
- 总体而言,这些组织实施比法律要求更多的隐私控制措施:
○ 数据最小化和保留控制(54%:39%)
○ 数据质量和完整性(50%:38%)
○ 加密保护(59%:46%)
- 认为组织隐私预算资金充足(50%:36%)
总之,长期贯彻隐私设计的组织也更倾向于对其隐私团队确保数据隐私和遵守新隐私法律法规的能力非常或完全有信心(71%:43%)。
美国安全与隐私公司(American Security and Privacy)创始合伙人兼ISACA新趋势工作组成员Lisa McKee博士强调:“坚持采用主动且全面的方法来贯彻隐私设计对组织而言具有巨大价值。对多数组织来说,确保隐私的优先地位并保护用户数据不仅是一项正确的策略,还能在战略调整、预算、人员配置、合规性和组织声誉等方面带来显著益处。
最近,ISACA在其新公布的白皮书中探讨了更多隐私议题。《消除欺骗性隐私行为:通过解决隐私黑暗模式建立信任》深入分析了黑暗模式的问题本质,同时提出了以消费者为中心的替代战略。《隐私、安全和数字信任的应用数据管理》探讨了隐私和数据管理之间的联系,阐述了隐私和安全如何共同支持数字信任,指导读者构建并维护符合组织需求的数据管理计划。
下载《2024 年隐私实践研究报告》中文版,关注出处公众号ISACA,回复“隐私报告2024”即可:
2024 年隐私实践研究报告
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
¥299 起成为数治网DTZed 星球会员,即可下载检索 1000+ 相关标准、白皮书、报告等。填写开通申请获取水准测评、冲刺刷题、案例巩固等更多会员权益。扫码添加老邪企业微信,加入数治要素x行业群: