ISACA Journal | 重塑隐私专业人才版图:技能转型、角色多元化与人才短缺挑战

组织使用大量消费者数据来推动产品开发、创新和增长洞察。由于这个数据宝库对于实现组织目标至关重要,保护消费者数据和确保用户隐私已成为至关重要的业务当务之急。尽管 2022 年市场降温和宏观经济压力,组织仍继续投资隐私计划。用于隐私相关举措或措施的平均金额已从三年前的 120 万美元大幅增加至 270 万美元。受多种因素的影响,隐私在组织中的重要性日益增加,导致了向技术性更强的转变。隐私角色,对此类角色的需求超过了人才供应。为了让当今的员工具备正确的隐私技能,并为未来的员工准备强大的人才管道,组织需要提高对隐私职业道路的认识,过渡到基于技能的招聘实践,并支持隐私技能提升计划。

导致隐私重要性日益增长的因素

隐私并不是一个新的概念。围绕隐私权的讨论早在 1890 年相机出现时就开始了,并随着技术的发展而持续。随着欧盟于 2018 年实施影响广泛的《通用数据保护条例》(GDPR),隐私合规性成为热门话题除了合规性之外,由于其他几个影响因素,隐私仍然占据中心地位。

消费者对隐私的期望不断提高

消费者希望组织能够很好地管理他们的个人信息,并对其数据实践保持透明。随着大规模数据泄露成为日常新闻,人们对隐私风险的认识不断增强,消费者和企业之间的信任赤字不断扩大。此外,消费者并不完全了解企业收集哪些数据以及如何使用这些数据,这加剧了他们的担忧,导致他们要求对自己的数据有更多的控制权。对来自 19 个国家/地区的近 5,000 名消费者进行的调查发现,68% 的消费者担心在线隐私。这种担忧反映了消费者对组织及其数据的信任程度,而失去信任可能会导致收入损失。另一项调查发现,76% 的消费者停止使用产品并停止从他们不信任其数据的组织购买产品。

快速变化的监管环境

目前130 多个国家/地区制定了一些数据隐私立法。新的全面的州级隐私法规、监管机构更新的指导以及判例法的最新发展导致监管环境日益复杂。2023 年,美国 40 个州和波多黎各出台或考虑了至少 350 项消费者隐私法案,其中几项要求相互冲突,可能会增加合规负担。目前,美国不同州的隐私法对敏感数据的定义不同,并且有不同的强化程度。在缺乏人工智能立法的情况下,隐私监管机构正在发布指导意见,重点关注人工智能的使用如何与现有隐私法相交叉。例如,跨境数据传输的最新发展导致了新的限制。62 个国家实施了 144 项涵盖隐私和数据驻留的数据限制。

组织必须遵守这些相互冲突的要求的法规,同时提供一致的用户体验。

隐私违规成本不断增加

隐私违规罚款的成本不断上升,迫使组织重新评估其合规状况和风险承受水平。2023年,Meta因违反欧盟GDPR国际数据传输要求而被处以创纪录的12亿欧元违规罚款。并对Amazon、YouTube和 Epic Games采取了类似的执法行动,表明隐私违规行为代价高昂,并损害了品牌声誉。

图1显示,尽管GDPR罚款数量呈下降趋势,但罚款金额(以百万欧元为单位)却大幅增加,使得违规行为成为许多组织无法接受的风险。

微信图片_20241020022803.png

不合规可能会损害品牌声誉,最终导致客户失去信任和忠诚度。现在,消费者比以往任何时候都更加意识到自己的数据隐私,不遵守监管标准可能会导致客户日益不满。因此,这不仅仅是直接的财务影响,因为对品牌声誉和客户关系的长期影响可能更为有害。

技术进步

世界经济论坛 2023 对 808 家企业的调查显示,超过 75% 的受访者希望在未来五年内采用云计算、人工智能和大数据技术。创新技术催生了新的隐私风险,让企业更难采用云计算、人工智能和大数据技术。消费者信任与其共享数据的企业。虚拟现实 (VR)、生成人工智能 (AI)、自主机器人、生物识别跟踪和健康跟踪(包括经期追踪器等女性科技)等技术引发了新的隐私问题。例如,iRobot Roomba 最近因在社交媒体上泄露洗手间中人员的敏感图像而成为新闻焦点。VR 耳机会收集大量生物识别数据和家庭内部的精确地图,从而在沉浸式环境中引入在线骚扰或冒充风险。组织需要建立强大的数据保护控制措施,例如匿名和加密,以防范新出现的威胁。

隐私作为竞争优势

隐私正在迅速成为竞争差异化的机会,特别是对于处理敏感个人信息或依赖消费者信任来发展的组织而言。例如,苹果公司通过将锁定模式、反跟踪机制、一次性电子邮件和互联网协议(IP)混淆等隐私功能融入其产品中,将自己与 Android和Windows区分开来。苹果公司利用其注重隐私的声誉,成功扩大了其产品范围。医疗保健和金融等受到严格监管的行业的服务。同样,糟糕的隐私做法为竞争对手提供了获得优势的机会。一个很好的例子是,由于WhatsApp允许与母公司Facebook共享数据的做法遭到全球强烈反对,导致数百万用户从消息平台WhatsApp转向即时消息服务Signal。

扩大隐私角色的影响范围

传统上,隐私被认为是一种法务职能,律师在隐私人才市场中占据主导地位。然而,随着隐私与技术紧密结合,隐私角色已经转向更加多样化,包括隐私工程师和架构师等新角色。

微信图片_20241020022905.png

现代隐私功能具有多种作用。基于技术的隐私角色构成了人才市场的最大部分,占27%,而法务隐私角色所占比例最小,为5%(图2)

技术隐私角色包括构建和实施支持隐私的工具的工程师、审查并推荐缓解控制措施以解决隐私风险的架构师以及执行策略并将隐私要求转化为产品功能和保护措施的专家。Ethyca首席执行官Cillian Kieran挑战了将隐私仅视为治理、风险和合规 (GRC)职能的传统观点,他指出:“隐私历来一直是 GRC 职能的保护范围,因为它历来被贴上“隐私合规性”的标签。然而,这可能会歪曲大部分工作必须在哪里进行。与大多数其他合规框架不同,隐私的独特之处在于,在建立控制和监控后,必须执行这些策略,而这是对数据风险、黑暗模式有深入了解的工程师的工作、推理风险、加密安全和访问控制。”

由于隐私角色具有高度跨职能的性质,从业者通常需要与 IT、法律、审计、人力资源、营销、产品、客户研究、设计、数据和安全部门合作来满足隐私需求。R. Jason Cronk,操作隐私设计研究所的创始人,认为隐私是一个跨学科的职业,需要深入了解跨职能的相互依赖关系,他指出:“隐私是终极的跨学科职业,涉及法律、技术、社会学、哲学、心理学、经济学、数学、计算机科学、商业头脑等等。如果隐私专业人士想要蓬勃发展并取得成功,他们就需要提高自己的水平。只有了解一门学科与其他门学科的相互作用,你才能声称自己拥有该学科的专业知识。”

为了提高效率,隐私从业者需要了解隐私与其他工作职能之间的相互依赖性。例如,由安全团队领导的内部威胁监控工具部署可能会对员工隐私产生负面影响。或者,以隐私合规为主导的个人数据聚合可能会使数据对于数据团队的关键业务分析用例毫无用处。根据2023年ISACA隐私实践报告,调查参与者表示,他们的隐私团队不断与信息安全(32%)、法律与合规(29%)以及风险管理(22%)进行互动。

对多个利益相关者之间协作的关注导致隐私项目经理角色的兴起,其职责广泛,以确保隐私被视为共同责任,并推动整个企业隐私计划的执行。隐私项目经理监督隐私合规举措的执行,例如数据映射、隐私风险评估、隐私意识和合规报告。根据组织和人员配置模式,隐私项目经理可能负责支持特定的隐私项目,例如监管调查响应、隐私工具采用或隐私功能启动。Lightbeam.ai 联合创始人 Priyadarshini Prasad 解释了为什么隐私现在被视为共同责任,强调组织中需要更广泛的隐私角色,并指出:“数据的数量、种类和速度迫使组织加强其隐私态势,从政策和程序到主动监控、检测和补救隐私问题。在这方面,隐私已成为法律团队和 IT/安全团队之间的共同责任。”

技术顾问和安全专业人员通常承担额外的技术隐私责任,例如执行技术隐私审查、部署隐私增强工具和构建流程以实现个人隐私权,但随着对数据道德使用的担忧增加,需要隐私专业知识正在扩展到这些角色之外。因此,其他技术专业人员必须在工作中理解并应用隐私原则。技术专业人员需要对隐私危害、影响其工作职责的隐私法规以及设计隐私原则有基本的了解,以确保隐私嵌入到设计中,而不是事后才想到。

微信图片_20241020022935.png

图3显示,非隐私角色的招聘信息已开始将隐私技能作为一项要求,从而为更广泛的技术人员提供隐私意识和教育。

随着隐私的重要性日益增加,网络安全、合规性、风险管理、IT、产品管理、设计和数据治理等邻近领域的角色都需要专门的隐私技能。成熟的组织正在招聘与隐私相关的新利基职位;例如,向负责任的产品管理的转变导致对能够将隐私、包容性和可持续性纳入产品生命周期的隐私产品经理的需求增加。另一个例子是最近与暗黑模式相关的执法行动激增,这导致了隐私产品经理的需求增加。尤其是导致注重隐私的用户体验 (UX) 专家和设计师的招聘数量增加。

隐私人才短缺

ISACA的《2023 年隐私实践报告》对全球1,890名隐私专业人士进行了调查,结果发现大多数隐私职能部门都存在资源不足的问题,而且技术隐私职位的人手不足 (53%) 高于法律职位 (44%)。受访者还承认,建立隐私计划的最大障碍是缺乏合格的资源。由于合格申请人的稀缺,填补开放隐私技术职位比填补法律隐私职位需要更长的时间。该报告指出,18% 的技术隐私职位的招聘时间超过六个月。此外,隐私倡导者和隐私工程师是最需要的五个隐私职位之一。这些见解凸显了该领域需要更多培训和教育的必要性。隐私,特别是技术角色的隐私,以满足不断增长的需求。

为了更深入地了解技术隐私职位所需的技能,作者分析了截至 2023 年 8 月来自 LinkedIn 和 Indeed 的美国 1,817 个开放隐私职位招聘信息。基于对头衔、职位描述、职责的审查、首选资格、工作类型和职能,结果显示 532 个(29%)的开放隐私角色本质上是技术性的。尽管每个可用帖子的范围和技术深度各不相同,但跨职能协作和有效沟通是技术隐私角色的基本技能。

图4显示,几乎所有技术隐私角色都需要与其他工作职能协作;因此,沟通技巧对于成功担任这些角色至关重要。对于希望转向技术隐私职位的候选人来说,图 4显示了可用于工作准备自我评估并包含在专业发展计划中以解决技能差距的急需技能。

微信图片_20241020023004.png

请注意,技术隐私角色是一个总括术语,并非所有技能领域都是必需的或相关的。例如,隐私技术审计员角色可能需要了解法规、隐私框架、代码审查和风险管理最佳实践,但可能不需要隐私增强技术或项目管理经验。该分析还消除了一个常见的误解,即所有技术隐私角色都需要编程技能,显示只有16%的职位发布明确需要软件开发专业知识。

尽管分析仅限于美国,但预计其他地区的趋势也将如此。Tsaaro 是一家在亚洲和海湾地区开展业务的隐私培训学院,其首席执行官阿卡什·辛格 (Akarsh Singh) 列出了这些地区和州所需的技能:“在当今快速发展的隐私环境中,亚洲和海湾地区的隐私专业人士目睹了对数据本地化、跨境数据传输和应对各种隐私法规方面的技能的需求不断增长。随着数据量呈指数级增长以及数据保护法变得更加严格,我们预计隐私角色将持续激增。”

大多数隐私职能部门在各个行业都人手不足,组织需要帮助寻找合适的候选人来填补空缺职位。普华永道 (PwC) 的 2030 年隐私大趋势路线图预测,这种趋势将持续下去,对能够应用技术隐私技能来解决业务问题的人员的需求将超过供应。为了弥合这种隐私技能差距,特别是对于技术角色、组织、候选人、专业网络和其他利益相关者可能需要几个步骤:

  • 消除与隐私技能要求相关的迷思—人们对隐私领域存在误解,认为隐私专业人士需要法律背景或网络安全或编程技术背景,这阻碍了非传统候选人从事隐私领域的职业。该行业必须采取更多措施来提高人们对隐私职业道路以及通才与专家角色的技能要求的认识。例如,网络安全劳动力框架(NICE框架)建立了一个通用词典,对网络安全工作进行分类和描述,以及工作人员需要了解和能够完成哪些工作来完成该工作。另一个例子是美国开发的网络职业路径工具网络安全和基础设施安全局(CISA),支持网络安全职业意识、教育和劳动力评估。在隐私方面,国际无障碍专业人员协会(IAPP) 等一些专业组织已开始尝试定义利基隐私角色,例如隐私工程师并制定指南,说明如何快速开始隐私工程职业生涯。NIST等政府机构已启动隐私劳动力工作组(PWWG) 等举措来定义隐私劳动力分类法;然而,仍有很长的路要走。在建立隐私职业道路的全面知识库之前,还有很长的路要走。

  • 从基于经验的招聘转变为基于技能的招聘—经验是确定申请人资格的主要因素,58%的组织将隐私职位的先前经验列为确定申请人是否适合开放职位的非常重要因素。40在网络安全、数据治理、合规、风险管理和IT咨询等隐私相关领域拥有经验的候选人拥有可满足隐私角色要求的可转移技能。此外,这些专业人员通常能够促进跨职能协作,这是隐私角色的一个重要方面,通常需要与组织内的各个部门进行协调。

  • 投资于培训和技能提升计划—组织仅将其隐私预算的6% 用于专业发展。由于技术创新和隐私监管环境在不断发展,因此跟上变化并投资于技能提升计划至关重要。与隐私相关的再培训和技能提升机会有助于建立注重隐私的文化、提高生产力并最终提高人才保留率。一项针对 13,000 多名员工的全球调查发现,缺乏职业发展和晋升机会是员工辞职的首要原因(41% 的用户)。组织可以通过提供内部隐私技能培训来发展隐私,从而支持隐私技能发展计划冠军;为专业隐私认证、课程和学位提供财务支持;鼓励员工参加隐私会议和研讨会。

结论

由于消费者隐私期望不断提高、监管环境迅速变化、隐私罚款不断增加以及以数据为中心的经济模式下的技术进步,隐私正在成为焦点,并在董事会层面进行讨论。这些发展导致对隐私技能的需求增加,特别是对技术隐私角色的需求。然而,劳动力尚未满足对这些技术隐私技能的需求。解决隐私技能短缺问题需要集体、持续的努力,建立可行的人才管道,并采取措施鼓励基于技能的招聘、专业发展计划和扩大目标人才库。


关于CDPSE

注册数据隐私安全专家认证CDPSE是业内首个基于技术经验的数据隐私认证。CDPSE验证了证书持有者与法务、合规、数据库管理员、工程师、软件开发人员以及后端和前端专家跨部门合作的经验和能力,证明其具备评估和实施全面技术隐私解决方案所需的技能和经验。

微信图片_20241020023825.png

通过学习CDPSE 课程并获得认证的持证人能建立和实施复杂的隐私保护方案,能够跨越隐私合规领域的技术和法务之间的障碍,在全组织范围内协助达成关于隐私保护最佳实践的共识,帮助企业领先于新的管理法规,并以经济高效的方式解决合规问题,降低风险,避免处罚,增强客户信任和盈利能力。

编者注:本文出自ISACA Journal 2024年第1期。尾注略。文章内容仅代表作者本人观点。 

作者:NANDITA RAO NARLA是隐私未来论坛的高级研究员,她的研究重点是隐私工程。

翻译:尹杭宇,CISM,PMP, ISACA微信公众号特邀通讯员。

校对:蔡俊磊(Joe Cai),CDPSE、CISA、CISM、CGEIT、CRISC、CCAK、Cybersecurity Audit、CISSP、CCSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA,ISACA中国技术委员会主席,ISACA微信公众号特邀通讯员,ISACA上海社区Leader,现任某国际酒店集团信息安全副总裁。