《2024年隐私实践研究报告》_ISACA

目录 3摘要 4调查方法 6 /空缺隐私岗位7 /资质9 /对隐私专业人员的需求 10隐私运营 10 /协作11 /隐私问责12/董事会与隐私13 /资金14 /人工智能 15合规17隐私设计18隐私意识培训20隐私泄露21结论22致谢 摘要 《2024年隐私实践研究报告》报告了ISACA 2023年第四季度“全球隐私状况调查”的结果，探讨了隐私人员配置、隐私运营、合规性、意识培训、隐私设计和隐私泄露等问题。虽然部分调查结果与去年的调查结果一致，但也有部分调查结果表明，隐私团队在接下来一年的工作中要面对隐私预算缩减的挑战。 执行摘要 •专家级隐私专业人员的招聘难度最高，这与去年的调查结果一致。 •贯彻隐私计划最普遍的阻碍是缺乏有能力的隐私团队和隐私专业人员；计划分配的任务、角色和责任不明确；缺乏行政或业务支持；以及在企业内部缺乏可见度和影响力。•最常见的隐私失败问题是培训不力或根本没有培训。•与去年相比，今年的受访者更倾向于认为在未来一年内企业的隐私预算可能会减少。•受访者认为首席隐私官最有可能对隐私运营负责。•超过三分之一的受访者表示，尽管人手不足且缺 乏 资 金 ， 但 他 们 并 不 打 算使 用人工 智能（AI）来处理隐私事务。 《2024年隐私实践研究报告》基于2023年第四季度ISACA第四次全球“隐私状况调查”的调查结果，探讨了隐私人员配置、运营、合规、意识培训、数据泄露和隐私设计等问题。 尊重数据主体并保护其隐私是数字信任的要点之一。此外，违反隐私法律法规可能会损害企业声誉并带来巨额罚款。隐私专业人员如果能优化资源，将隐私与企业产品和服务紧密结合，就能获得竞争优势并保护消费者。本报告探讨了企业隐私相关问题的现状。 主要发现 今年的调查结果为企业提供了重要启示： •与法律/合规职位相比，隐私技术职位的需求在未来一年更有可能增长。 •关于隐私在企业董事会和资金预算中的优先级问题，受访者的看法与去年相当。 •根据调查反馈，推行隐私设计的企业更有可能： •在组织不同的职能部门中开展更多互动•确保组织隐私战略与其他组织目标一致•对组织保护敏感数据隐私的能力充满信心•认为他们的隐私预算资金充足•分别进行隐私培训与安全培训 隐私专业人员如果能优化资源，将隐私与企业产品和服务紧密结合，就能获得竞争优势并保护消费者。 调查方法 2023年第四季度，ISACA向全球约15500名注册数据隐私安全专家（CDPSE™）认证、网络安全从业人员认证（CSX-P™）或注册信息安全经理（CISM）认证的证书持有人或职务名称中带有“隐私”的ISACA成员发出了调查邀请。共有1300多名受访者完成了调查。 5/2024年隐私实践研究报告 为普通员工，其余13%的受访者担任高管职务。图1展示了受访者的其他信息。 其中部分受访者还持有多个ISACA证书。39%的受访者担任管理职务，28%为企业高层领导，20% 人员配置趋势 的受访者表示所在企业正在招聘隐私技术职位这一调查结果与预期的隐私预算缩减一致；在隐私预算预计会缩减的条件下，放缓招聘速度也是合情合理的。 隐私专业人员主要分为两类：法律/合规专业人员和隐私技术专业人员。法律/合规专业人员拥有法律方面的专业知识，能够理解企业的监管义务。隐私技术专业人员拥有评估和应用技术控制的技能和经验，能够帮助企业实现隐私目标。在一些企业中，这两种专业人员在同一个团队中并肩工作，但在另一些企业中，这两种专业人员担任不同的职位并向不同的高管汇报工作。 图2显示了法律/合规隐私职位的招聘周期；图3显示了空缺隐私技术职位的招聘周期。相关数据与去年的调查结果相当。 与法律/合规职位相比，隐私技术职位的人员配置似乎更加不足。54%的受访者表示隐私技术团队的人员配置稍显或明显不足，而44%的受访者表示法律/合规部门的人员配置稍显或明显不足。与法律/合规职位相比，隐私技术团队的人员不足情况更为严重。在今年的调查中，企业隐私人员数量统计结果的中位数为9人，去年该数据为10人，因此今年人员不足的趋势与去年的调查结果相同也就不足为奇了。 招聘到一名合格的法律/合规隐私人员平均需要多长时间？ 空缺隐私岗位 18%的受访者表示，法律/合规职位的招聘周期略有或显著增加，这与去年的调查结果相同。19%的受访者表示，空缺隐私技术职位的招聘周期有所增加。与去年的调查结果相比，这一比例有所下降，去年有23%的受访者表示空缺隐私技术职位的招聘周期略有或显著增加。 许多受访者表示其企业正在招聘隐私职位。25%的受访者表示他们的企业正在招聘法律/合规隐私职位，31%的受访者表示其企业正在招聘隐私技术职位。该数据与去年相比略有下降，去年有27%的受访者表示所在企业正在招聘法律/合规职位，34% 资质 填补空缺职位的一大挑战是缺乏资质合格的求职者。只有21%的受访者表示，在他们的企业中，半数以上的隐私职位求职者完全符合所申请职位（法律/合规职位和隐私技术职位）的要求。去年这一比例分别为24%（法律/合规职位求职者）和25%（隐私技术职位求职者）。 招聘到一名合格的隐私技术人员平均需要多长时间？ 图4列出了受访者心目中隐私专业人员的五大技术短板。 在今年的调查结果中，前两项差距与去年的调查结果一致，但“技术专长”位列第三。49%的受访者认为“技术专长”是隐私专业人员的一大技术差距，该数据与去年相比增加了4%。“了解企业应遵守的法律法规”在今年的排名中位列第四，与去年相比下降了一个排名。44%的受访者将其列为重大技术差距，该数据与去年相比下降了2%。 上述调查结果可能预示着招聘经理对隐私专业人员的期望发生了变化。他们可能明白，只有极少数求职者能够在拥有技术专长的同时精通法律知识。他们可能不再致力于招聘全能型人才。此外，技术领域的快速发展也可能使“技术专长”成为更有价值的求职资质。 您认为当今的隐私专业人员在哪些方面的技术差距最大？ 图5展示了用于评估求职者资质的各个要素的重要性（今年与去年的对比数据）。图中数值为认为相关因素非常或比较重要的受访者的百分比。尽管受访者表示求职者最好有隐私工作经验，但现实情况是，许多从业人员是从其他领域转入隐私行业的。44%的受访者表示，其所在企业半数以上的隐私人员最初是在完全不相干的领域工作，之后才过渡到 隐私领域的。事实上，只有18%的受访者表示，其所在企业半数以上的隐私人员最初就在隐私领域工作。 图6列出了企业为缩小隐私技能差距而采取的解决方案，这与图5所示的调查结果一致。 在确定隐私职位求职者是否合格时，以下各项因素的重要性如何？ 贵司采取了以下哪些措施（如有）来帮助缩小隐私技能差距？ 访者表示对法律/合规职位的需求预计将增加，而今年的受访者则表示对法律/合规职位的需求预计将减少。69%的受访者表示，未来一年对隐私技术专业人员的需求将增加。 对隐私专业人员的需求 76%的受访者认为，隐私专家的招聘难度最高，其次是隐私从业人员（48%）和初级/基础隐私专业人员（14%）。 行业对隐私专业人员的需求不断增长，留住人才也很困难，这些因素可能会在未来加剧企业隐私人员不足的问题。41%的受访者表示，其所在的企业在留住合格的隐私专业人员方面遇到了困难。 预计未来一年对各类隐私专业人员的需求都将增加。图7和图8分别展示了未来一年对法律/合规隐私专业人员以及对隐私技术专业人员的预期需求。 有别于去年的调查结果，今年的受访者并不认为对隐私专业人员的需求会大幅增长。去年，62%的受 您认为未来一年对法律/合规隐私职位的需求是增加、减少还是保持不变？ 您认为未来一年对隐私技术职位的需求是增加、减少还是保持不变？ 预计未来一年对各类隐私专业人员的需求都将增加。 隐私运营 令人担忧的是，只有34%的受访者经常与采购部门密切合作；同样比例（34%）的受访者经常与产品/业务开发部门合作；而只有23%的受访者经常与销售、市场营销和客户关系部门合作。购买内置强大隐私控制功能的技术对于保护数据主体来说至关重要。为企业产品和服务提供基本支持的技术必须能够保护隐私。在不参与采购过程的前提下，隐私专业人员几乎不可能推动隐私设计实践。产品开发团队可能会应用欺骗性隐私实践，但如果隐私专业人员与该部门密切合作，就能够引导该部门，避免制造出与隐私目标不符的产品。与营销团队通常非常依赖数据来为营销工作提供信息，隐私专业人员也可以引导营销团队，避免营销团队应用欺骗性隐私实践并防止他们过度追踪消费者信息。 隐私计划只有在整个企业的支持下才能取得成功。隐私专业人员需要与企业几乎所有的部门协作。企业高层定下的基调会影响企业的态度和隐私文化。如果企业的董事会并未充分重视隐私工作，也没有为隐私工作提供所需的资源和资金，那么这些企业将很难实现其隐私目标并满足合规要求。 协作 隐私专业人员必须定期与企业其他职能部门协作。图9列出了必须与隐私专业人员协作的职能领域，同时还列出了表示经常或频繁与这些部门协作的受访者的百分比。 贵司的隐私团队/隐私专业人员与以下领域的互动频率如何？ 有10%的受访者表示首席隐私官承担此责任。与首席隐私官相比，首席执行官对隐私意义及其重要性的了解可能不够深入，因此那些向首席执行官汇报工作的隐私专业人员在争取高层对隐私倡议的支持时可能面临更多挑战。 隐私问责 根据企业的企业架构以及高管的能力，统领企业隐私工作和隐私专业人员的负责人可能各不相同。图10列出了企业隐私工作的主要负责人。这些调查结果与2023年的调查结果一致。 隐私专业人员要能够依据隐私职能在企业中所处的位置判断潜在的利益冲突。安全与隐私有时可能会发生冲突。例如，不可否认性的安全概念(即确保当事方无法事后否认原始数据，以及提供可由第三方验证的数据完整性和数据来源的证明)可能与个人的私密通信权利(例如，通过匿名道德热线进行沟通)相冲突。此外，隐私专业人员向法律部门报告工作本身就可能导致利益冲突，因为隐私部门侧重于个人的权利，而法律部门侧重于维护企业利益。 企业规模可能会影响企业隐私工作最终负责人的设立。在员工规模不超过250人的企业中，27%的受访者表示首席执行官（CEO）统领负责隐私事务。但在员工人数超过2.5万人的大型企业中，仅有8%的受访者表示首席执行官承担隐私事务的主要责任。在员工人数超过2.5万人的大型企业中，32%的受访者表示首席隐私官统领负责企业的隐私事务。相较之下，在员工规模不足250人的小型企业中，仅 谁是贵司隐私事务的主要负责人？ 去年，只有33%的受访者表示其所在企业的董事会基于合规驱动的视角来看待隐私，今年该比例上升到了44%。近期的执法行动和新出台的隐私法律法规可能导致企业优先考虑合规问题。欧洲受访者在调查中选择“合规驱动”的比例较高，49%的受访者表示其所在企业的董事会认为隐私事务是合规驱动的。考虑到《欧洲通用数据保护条例》（GDPR）的深远影响，这一结果不足为奇。 董事会与隐私 董事会对企业的隐私计划影响重大。57%的受访者表示其所在企业的董事会充分重视隐私。与去年的调查结果（去年该比例为55%）相比，这一比例略有上升。图11展示了隐私事务对于董事会来说的优先级。 董事会可以通过多种方式来确定隐私计划的优先级。合规驱动型方法认为隐私是一项法规要求，而道德驱动型方法则不考虑适用的法律法规，优先考虑隐私事务。一些企业可能会将隐私保护视为一种竞争优势，许多企业会结合多种方法来确定隐私事务的优先级。图12展示了董事会对隐私计划的不同看法。 74%的受访者表示其企业的隐私战略与企业目标一致，11%的受访者持相反意见，15%的受访者表示不清楚。该比例与去年的调查结果相比略有上升，去年有73%的受访者表示其企业的隐私战略与企业目标一致。 您认为贵司的董事会是否充分重视隐私问题？ 您认为贵司董事会将企业的隐私计划视为： 13/2024年隐私实践研究报告资金 您认为贵司的隐私预算目前： 董事会对隐私的重视程度以及企业对隐私的看法