ISACA发布《2023年度隐私实践研究报告》
面对全球纷繁复杂且不断变化的数据隐私法规,企业必须在保持合规的同时保护其数据主体的隐私,否则将失去客户的信任,声誉也将面临打击。恰逢1月28日国际数据隐私日,ISACA发布《2023 年度隐私实践研究报告》,报告显示坚持实施隐私设计的企业均大有收获,但由于隐私预算、人员配置和技能差距等问题,挑战依然严峻。
ISACA调查了全球1890位从事数据隐私工作或详细了解组织内的数据隐私功能的专业人员,报告总结了他们对隐私人员配置、组织结构、框架和政策、预算、培训和数据泄露的看法。
除此之外,一直实施隐私设计的组织:
-
受访者表示组织将隐私视作优先事项(76%,总体仅为 55%)
-
隐私工作人员数量更多(中位数 19,约为总体情况的 2 倍,后者仅为 10),也更可能觉得隐私部门人手充足(44%,总体仅为 34%)。
该研究指出制定隐私计划的三大挑战:
1. 缺乏匹配的资源(42%)
2. 任务、岗位和责任不明确(40%)
3. 高管层或业务部门的支持不足(39%)
超过一半的受访者认为所在组织的董事会充分重视隐私问题(55%),但仍有22% 的受访者持相反态度,20% 的受访者表示不了解相关情况。这表明董事会可以更好地表达对隐私工作的承诺。38% 的受访者表示,在组织中缺乏知名度和影响力是制定隐私计划的一大挑战,说明董事会没有充分优先考虑隐私问题。
许多组织的隐私预算资金也不甚充足,42% 的受访者表示他们的的隐私预算资金不足,只有 36%的受访者认为资金充足。略高于三分之一的受访者(34%)表示他们的隐私预算将在 2023 年增长。
虽然 75% 的受访者对所在组织确保敏感数据隐私的能力有信心,但这一比例正在下降,今年比去年下降了 6 个百分点。
作为隐私行业的一大资源,隐私专业人员仍持续短缺,而明年对技术和法律/合规岗位的需求预计都将增加。技术隐私岗位仍然比法务/合规岗位更缺人。53% 的受访者表示所在组织在一定程度上或在很大程度上缺乏人手,法务/合规岗位缺人的仅占44%。调查还发现,许多企业的隐私岗位没招到人(34% 受访者表示技术隐私岗位有空缺,27% 表示法务/合规岗位有空缺)。此外,与法务/合规岗位(62%)相比,技术隐私岗位(69%)在未来一年的需求更有可能增加。
大多数受访者还表示,招人的时间成本增加或与去年持平,其中 76% 的受访者在招聘专家级隐私专业人员时遇到的困难最大。大约五分之一的受访者表示,在他们企业中,只有不到四分之一的隐私职位申请人符合这些职位的要求。
ISACA 隐私实践负责人 Safia Kazi 表示,“各个组织可能非常希望遵守隐私法规并建立一种隐私设计的文化,但如果没有一个强大的隐私从业者团队,他们在实现这两个目标时将面临巨大的障碍。随着组织越来越需要隐私从业人员拥有更多技术和法律专业知识以跟上监管形势的发展,培训一支实力强劲、技术过硬的隐私从业人员队伍比以往任何时候都更加重要。”
为了弥补这一技能差距,众多组织正在开展培训,使非隐私工作人员可以转入隐私岗位(49%),并更多地聘用合同工或外部顾问(38%)。
调查结果显示,发生隐私事故最常见的原因是缺乏培训(49%)、数据泄露(42%)和不使用隐私设计(42%)。为了解决以上问题,85% 的受访者表示所在组织为员工提供隐私意识培训,59%的受访者表示组织每年至少审查和修订一次隐私意识培训内容。衡量培训效果最常用的指标是完成培训的员工数量(65%)而非隐私事件的减少(54%),但73%的受访者认为隐私培训对组织中的隐私意识产生了积极影响。
信任、隐私和技术政策顾问、ISACA 数字信任咨询委员会成员 Anne Toth 表示,“隐私和安全一样,最好从一开始就认真考虑,而不是等出现问题了才去想办法。ISACA 这项研究强调并证实了许多从业者的经验之谈:隐私设计是一项明智的投资,回报将通过客户信任体现。”
免费下载《2023年度隐私实践》研究报告,请访问www.isaca.org/privacy-month-2023。如您需要了解ISACA考察技术隐私技能的数据隐私安全专家(CDPSE)认证的相关信息,可访问www.isaca.org/cdpse。
CDPSE证书不仅关注隐私治理,更注重隐私技术控制以及如何将其设计和嵌入企业架构。这个证书可以在法务和技术部门之间架起沟通桥梁。