序幕的终结 充分释放 GDPR 的转型力量 IBM 商业价值研究院 执行报告 安全 本报告摘要 受访高管评估企业的 GDPR 合规准备情况 我们发现了一组领先企业将 GDPR 准备工作视为有助于把握转型机遇的业务差异化优势，我们将这组企业称之为“燃动型企业” 就每个 GDPR 合规阶段的活动为企业提出建议 IBM 如何提供帮助 IBM Security 部门旨在解决全球最具挑战性的安全问题。我们不断寻找更好的新方法，保护数据背后的面孔 — 也就是客户。我们在制定战略时始终谨记，今天的防御措施必须足以应对明日的挑战。我们以批判的眼光审视企业的现有工作方式，利用云、人工智能、统筹和协作能力开发前瞻性的解决方案，为客户提供大力支持，引领行业发展。 如欲获取 IBM Security 有关 GDPR 方面的最新洞察，请访问 ibm.biz/PrepareForGDPR。如欲了解数据发现、统一监管等 IBM GDPR 能力，请访问：ibm.com/gdpr。 1 变革催化剂 常言道，有压力才有动力 — GDPR 合规挑战便能给企业带来这种机会，通过创新和创造能力开创新的局面。虽然大多数企业仍处于准备阶段，但是，随着 GDPR 正式生效日期的到来，一个新阶段已拉开序幕。在此时刻，我们提出一个关键问题：企业能否将合规挑战转变为推进数字化工作的大好良机？在调研中，我们发现了一小部分领先企业，他们在 GDPR 生效之日已做好充分准备，将其视为变革的催化剂。本报告旨在探讨这些领先企业的信息安全、隐私、分析和客户互动方法，以及他们如何推动未来成功。 下一篇章 在有关数据的安全、隐私、选择和控制的全球性对话不断升温之际，欧盟的《通用数据保护条例》(GDPR) 正式进入实施阶段（请参阅侧边栏“何为 GDPR？”）。多年来，隐私和安全问题已逐渐从幕后转到台前，成为董事会的正式议题以及世界各地平民百姓茶余饭后的谈资。数据泄密的威胁、数据保护的责任及其对企业和社会的潜在影响正变得越来越明显。 GDPR 正对企业和个人产生越来越重大的影响 — 赋予数据主体新的权利，同时给企业带来了新的监管挑战。最近几年，为了备战 GDPR 合规，企业投入了大量人力物力财力。据估算，一些企业在 GDPR 合规方面的开销已超过 100 万美元。1 然而，考虑到合规工作通常分散在多个部门，并且有些活动可以使用现有工具和流程，因此，实际成本很难估算。但有一点可以肯定，企业一直都在忙于转变旧流程，开发新流程，创建新角色，建立新关系，培训员工以及部署新工具和新技术。 GDPR 已成现实，将隐私问题、数据权利和安全漏洞的管理转变为标准业务实践。这不禁令人思考：企业能否将合规压力转变成动力，推动实现更广泛的转型？ 2 序幕的终结 只有 36% 的受访高管表示，他们在 GDPR 正式实施之日已具备完全合规能力 59% 的受访高管表示，GDPR 是推动其转型的一个契机，或者说是点燃数据引领的新业务模式的火花 我们发现了 一组将 GDPR 视为长期转型催化剂的领先企业。在企业内部建立强大协作关系的 GDPR 领先企业的数量是其他调研样本的 6 倍。 96% 的 GDPR 领先企业认为，GDPR 合规证明是企业获得公众认可的积极差异化优势 何为 GDPR？2 欧盟 (EU) 的《通用数据保护条例》(GDPR) 于 2016 年 4 月获得批准，旨在取代《数据保护指令》中的最低标准。对于欧盟主体的信息，企业现在面临全新而统一的数据保护要求。3 违规企业将被处以最高 2,000 万欧元或上一财政年度全球总营业额/总收入 4% 的行政罚款，以较高者为准。 该法规提出的最低要求包括： – 数据保护责任。 – 数据主体的同意；数据访问权；数据的纠正、擦除和可移植性。 – 数据泄密通知机制。 3 GDPR — 是福是祸？ 为了找到这个问题的答案，我们于 2018 年 2 月至 4 月间在全球范围对 15 个行业中负责企业 GDPR 准备工作的 1,500 位高管进行了访谈（有关更多信息，请参阅“受访者构成与调研方法”部分）。纵观整体样本，我们在企业采取的常规方法及其整体准备程度方面，发现了一些有趣的洞察。对许多企业而言，GDPR 准备工作仍在进行之中 — 只有 36% 的受访者告诉我们，他们在该法规正式实施之日已能做到完全合规（见图 1）。 图 1 GDPR 的合规准备情况 已开始合规工作 尚未开始合规工作，但计划在 2018 年 5 月之前开始 18% 47% 合规准备的 预计时间安排 36% 将于 2018 年 5 月做到完全合规 未合规 已合规 4 序幕的终结 为何许多企业等到最后一刻才开始行动？也就是说，万不得已才开始“抱佛脚”？个中原因也许很多，可能是企业领导缺乏远见，或是采取观望的态度。也可能是资源问题，或者他们认为准备工作会给业务运营带来过多干扰。 好消息是，本次调研的受访者对 GDPR 普遍持积极看法。只有 36% 的受访者认为 GDPR 只是一项强制性的法规。大多数受访者对该法规的潜力及其对企业的影响持积极态度。39% 的受访者将 GDPR 视为促使他们改变安全、隐私和数据管理工作实践的契机，20% 的受访者表示该法规可以成为以数据为主导的全新业务模式的催化剂。这可能意味着许多企业已经接受了这个既成事实，正在努力寻找从中受益的方法。 坏消息是，尽管企业给予了 GDPR 足够的重视并付出了极大的努力，但整体准备情况仍然不尽人意。为了弄清受访者重点关注哪些方面以及遇到了哪些挑战，我们请求他们思考与 GDPR 相关的 11 个不同的组成部分，然后告诉我们主要关注哪些方面、遇到哪些困难以及做好了怎样的准备（请参阅侧边栏“检验的 GDPR 组成部分”）。作为 GDPR 准备工作的主要任务之一，开展数据发现工作并确保数据准确性成为大多数受访者的头号关注领域。此外，大多数受访者还将其列为最难攻克的头号挑战（与遵守数据处理原则相关）。事实上，受访者重点关注的前五个领域亦是他们认为最棘手的前五大难题（见图 2）。 我们将其分为两种情况。一种是他们难以解决的主要问题正是他们投入大量精力的方面。另一种是他们投入大量精力的方面也是他们难以解决的问题。无论哪种情况，他们的努力都没有足够迅速地获得回报。受访者合规准备工作最主要的两项工作包括：开展数据发现工作并确保数据准确性（60% 的受访者表示已做好了准备）；实施数据主体权利（58% 的受访 5 图 2 合规准备的优先工作和主要挑战 头号关注焦点领域 开展数据发现工作， 确保数据准确性 遵循数据处理原则 制定/更新隐私政策 和通知机制 设立数据保护官 (DPO) 职位 获得数据主体的同意 头号挑战 开展数据发现工作， 确保数据准确性 遵循数据处理原则 制定/更新隐私政策和通知机制 获得数据主体的同意 设立数据保护官 (DPO) 职位 者表示已准备就绪）。准备程度最低的两项工作分别为获得数据主体的同意 (48%) 和处理跨境数据传输 (47%)。 在应对挑战的过程中，受访者还会遇到与 GDPR 相关的一些不确定性和担忧。最大的不确定性既有理论上的，也有实践上的 — 44% 的受访者担心 GDPR 可能会在不久的将来被修改或取代，43% 的受访者担心 GDPR 合规工作会耗费他们太多的人力和财力。此外，他们还可能操心数据处理者选择怎样的安全控制措施，以及企业如何满足越来越多的数据访问请求。 “GDPR 要求”— 检验的组成部分 数据 – 遵循数据处理原则 – 开展数据发现工作，确保数据准确性 – 管理数据控制者与数据处理者之间的关系 – 处理跨境数据传输 安全 – 增强安全能力 – 改进数据事故/安全违规通知和响应实践 数据主体 – 获得数据主体的同意 – 制定/更新隐私政策和通知机制 – 实施数据主体的权利程序和控制机制 组织 – 设立数据保护官 (DPO) 职位 – 促进问责措施 6 序幕的终结 蓄势待发 图 3 GDPR 合规准备工作不仅仅是为了合规 - 制定强大的整体数字化战略，提高跨组织协作的水平 - 通过升级事件响应机制，提高安全性 - 建立强大的安全和隐私保护机制以及更密切的客户关系，获得差异化的竞争优势 - 为建立以数据为主导的新型业务模式找到新途径 - 采用全新的运营方法，简化数据管理工作 由于 GDPR 合规准备工作需要投入大量人力财力，因此企业必须证明获得的回报不仅仅是合规。我们在调研中发现了一组领先的企业，他们采用成熟的方法开展安全与隐私、数据与分析以及客户互动实践，推动企业不断进步。采用全面的整体方法开展 GDPR 合规准备工作，可能会给许多方面带来长期改善，包括增强跨组织协作，简化运营和数据管理流程，提高安全性以及加深客户关系等（见图 3）。 为了了解哪些企业最有效地把握这些机遇，我们根据一系列标准，从整个调研样本中选出了一组领先企业。符合这些标准的 GDPR 领先企业占到样本总数的 22% — 我们称之为“燃动型企业”，表示这些企业在 GDPR 合规准备工作的推动下锐意进取，不断创新。我们将其余的样本称为“被动型企业”，这些企业受到的限制更多，付出的努力不够，因此无法充分挖掘自身的潜力。燃动型企业： – 表示他们将在 2018 年 5 月 GDPR 正式生效之日做到完全合规； – 将 GDPR 视为改变其隐私、安全和数据管理工作的契机，或将其视为创建以数据为主导的全新业务模式的催化剂； – 将 GDPR 视为重新审视并改进自身安全实践和运营模式的机遇； – 指出 GDPR 合规准备工作有助于制定合理的数据战略，提高各职能部门的运营效率； – 预计 GDPR 有助于增进与客户的关系。 安全和 隐私 数据和 分析 客户 互动 GDPR 准备 7 值得注意的是，燃动型企业的年收入普遍高于被动型企业 — 41% 的燃动型企业年收入超过了 50 亿美元，而被动型企业的这个比例仅为 13%。 燃动型企业群体缘何与众不同？从他们借助 GDPR 合规工作创造光明未来的实践之中，我们能学到哪些什么?首先，燃动型企业在流程方面付出了更多的努力（见图 4）。声称全身心致力于完全遵从 GDPR 规定的燃动型企业数量是被动型企业的三倍多。事实上，89% 的燃动型企业在合规准备工作方面付出了巨大的努力。 图 4 企业在提供所需资源和关注度以确保 GDPR 合规方面付出的努力程度 3 倍 还多 10% 36% 44% 10% 全力以赴 燃动型企业 被动型企业 非常努力 适度努力 不太努力 8 序幕的终结 相比之下，那些不太努力的企业表示自己之所以选择这样做，主要是因为遇到了几个严重障碍，包括缺乏资金、仅将 GDPR 视为合规问题，甚至认为该法规影响到业务模式，等等。 燃动型企业还开展更高水平的组织协作，激励企业中的各组织积极参与准备工作（见图 5）。94% 的燃动型企业指出企业内部具有良好的合作关系（被动型企业的这个比例仅为 49%）。此外，燃动型企业的安全部门、董事会、法务部门、业务部门等职能组织的合规工作参与程度要远高于被动型企业。 图 5 组织协作和参与 组织协作水平 谁该参与？ 70% 67% 63% 31% 35% 15% 27%