在过去的一年里,全球各地的隐私保护法规持续发展和更新,如印度的《个人数据保护法案》和巴西的《通用数据保护法》等。然而,据国际信息系统审计协会(ISACA)最新发布的《2024年隐私保护实践研究报告》调研数据显示,只有34%的受访组织表示能够充分了解其隐私保护的责任,只有43%的组织对其确保数据隐私合规工作的能力非常有信心。报告数据同时显示,超过一半(51%)的受访者表示其用于隐私保护的预算投入将会缩减,这一数据同比去年(12%)显著上升。
隐私挑战
组织不仅在理解隐私监管环境方面存在困难,还面临着隐私预算等其他数据隐私挑战。近一半的受访者(43%)表示其所在组织的隐私预算不足,只有36%的受访者表示其所在组织的隐私预算充足。对于未来一年的预算展望,只有24%的受访者认为隐私预算会增加(比去年下降10个百分点),只有1%的受访者认为预算将保持不变(比去年下降26个百分点)。超过一半(51%)的受访企业表示其隐私预算将缩减,这一比例较去年显著上升,去年该比例仅为12%。
受访者表示,其所在的企业推行贯彻隐私计划的道路也并非一帆风顺,组织面对的主要障碍包括:
缺乏有能力的隐私团队和隐私专业人员(41%)
计划分配的任务、角色和职责不明确(39%)
缺乏行政或业务支持(37%)
在组织内部缺乏可见度和影响力(37%)
在寻求有能力的人才时,隐私技术职位的需求量最大,62%的受访者表示明年对隐私技术职位的需求将增加,55%的受访者表示法律/合规职位的需求将增加。但受访者表示,隐私专业人员存在技能差距。调查结果显示,隐私专业人员最大的技能差距是不同类型的技术和/或应用程序的经验(63%)。
关于隐私事故,调查结果显示,缺乏培训或培训效果不佳(49%)、未贯彻隐私设计(44%)和数据泄露(42%)是最常见的隐私事故原因。
ISACA 隐私实践负责人 Safia Kazi 表示:“当隐私团队面临预算紧张和员工技能短缺的双重挑战时,跟进不断变化完善的数据隐私法规将更加困难,这甚至可能会导致数据泄露的风险增加。认识到这些挑战可以帮助组织采取必要措施进行补救,调整策略以强化其隐私团队和隐私计划。”
采取行动
培训是帮助组织弥补员工缺口和避免隐私事故的有效手段之一。半数受访者(50%)表示其所在组织通过培训使对非隐私专业人员转而从事隐私工作,而 39% 的受访者表示其所在组织聘用更多的合同员工或外部顾问。
在员工培训方面,86%的受访者表示其所在组织为员工提供隐私意识培训,其中 66% 的受访者表示其所在组织每年都为全体员工提供培训,52%的受访者表示其所在组织为新员工提供隐私意识培训。60%的受访组织至少每年审查并修改一次隐私意识培训内容。71%的受访者认为,隐私培训对组织隐私意识有很大或一定的积极影响。有趣的是,受访者表示,组织最常用来追踪隐私培训效果的指标不是隐私事件的减少(56%),而是完成培训的员工人数(65%)。
除此之外,组织还利用各种隐私控制措施来加强数据隐私,最常用的三大隐私控制措施为身份和访问管理(74%)、加密(73%)和数据安全(72%)。
尽管组织在隐私领域面临着多种挑战,但63%的组织表示在过去12个月中没有发生重大隐私泄露事件,18% 的组织表示隐私泄露事件的数量未发生变化。受访者对未来一年的预测也较为乐观:仅有不到五分之一(16%)的受访者认为其所在组织在未来12个月预计会发生重大隐私泄露事件。
为评估隐私计划的有效性,受访者表示组织最常用的方法是:
隐私设计的价值
调查结果最明显的启示之一是,采用隐私设计的组织掌握了一些关键优势:
隐私团队规模更大(员工人数中位数为15人,而在所有受访组织中该数据为 9 人),并且更倾向于认为其技术性隐私部门的人员配置得当(42%:34%)。
坚信董事会将组织隐私放在首位(77%:57%)。
将组织隐私计划视为纯粹合规驱动的可能性较低(35%:44%),而更倾向于认为隐私计划是合规、道德和竞争优势的结合(39%:29%)。
更倾向于认为其所在组织的隐私战略与组织目标相一致(90%:74%)。
总体而言,这些组织实施比法律要求更多的隐私控制措施:
○ 数据最小化和保留控制(54%:39%)
○ 数据质量和完整性(50%:38%)
○ 加密保护(59%:46%)
认为组织隐私预算资金充足(50%:36%)
总之,长期贯彻隐私设计的组织也更倾向于对其隐私团队确保数据隐私和遵守新隐私法律法规的能力非常或完全有信心(71%:43%)。
美国安全与隐私公司(American Security and Privacy)创始合伙人兼ISACA新趋势工作组成员 Lisa McKee 博士强调:“坚持采用主动且全面的方法来贯彻隐私设计对组织而言具有巨大价值。对多数组织来说,确保隐私的优先地位并保护用户数据不仅是一项正确的策略,还能在战略调整、预算、人员配置、合规性和组织声誉等方面带来显著益处。
更多隐私相关资源请访问:www.isaca.org/resources/privacy