2024 年隱私實踐研究報告

2024年隱私實踐研究報告2/2024年隱私實踐研究報告3摘要4執(zhí)行摘要4調(diào)查方法6人員配置趨勢7/資質(zhì)10隱私運營10/協(xié)作12/董事會與隱私13/資金17隱私設(shè)計18隱私意識培訓(xùn)20隱私泄露21結(jié)論22致謝?2024ISACA。版權(quán)所有。?2024ISACA。版權(quán)所有。;/2024年隱私實踐研究報告結(jié)果，探討了隱私人員配置、隱私運營、合規(guī)性、意識培訓(xùn)、題。雖然部分調(diào)查結(jié)果與去年的調(diào)查結(jié)果一致，但也有部分調(diào)?2024ISACA。版權(quán)所有。4/2024年隱私實踐研究報告執(zhí)行摘要度ISACA第四次全球“隱私狀況調(diào)查”主要發(fā)現(xiàn)?與法律/合規(guī)職位相比，隱私技術(shù)職位的需求?關(guān)于隱私在企業(yè)董事會和資金預(yù)算中的優(yōu)先隱私專業(yè)人員如果能優(yōu)化資源，將隱私與企隱私專業(yè)人員如果能優(yōu)化資源，將隱私與企業(yè)產(chǎn)品和服務(wù)緊密結(jié)合，就能獲得競爭優(yōu)勢缺乏資金，但他們并不打算使用人工智能調(diào)查方法數(shù)據(jù)隱私安全專家（CDPSE?)認(rèn)證、網(wǎng)絡(luò)安全從業(yè)人員認(rèn)證（CSX-P?)或注冊信息安全經(jīng)理（CISM）認(rèn)證的證書持有人或職務(wù)名稱中帶有“隱私”的ISACA成員發(fā)出了調(diào)查邀請。共有總收入工作經(jīng)驗?zāi)晗?%18%19%21%18%少于5000萬美元總收入工作經(jīng)驗?zāi)晗?%18%19%21%18%少于5000萬美元5億-9.99億美元大于10億美元500萬-9900萬美元1億-4.99億美元5/2024年隱私實踐研究報告主要行業(yè)主要行業(yè)17%17%方地區(qū)地區(qū) 4% 4%46%20%22%4%組織的員工人數(shù)組織的員工人數(shù)23%25000名員工或更多250-999名員工5000-24999名員工1000-4999名員工員工22%20%18%17%?2024ISACA。版權(quán)所有。6/2024年隱私實踐研究報告其中部分受訪者還持有多個ISACA證書。39%的人員配置趨勢隱私專業(yè)人員主要分為兩類：法律/合規(guī)專業(yè)人員和隱私技術(shù)專業(yè)人員。法律/合規(guī)專業(yè)人員擁有法與法律/合規(guī)職位相比，隱私技術(shù)職位的人員配置法律/合規(guī)部門的人員配置稍顯或明顯不足。與法律/合規(guī)職位相比，隱私技術(shù)團隊的人員不足情況更為嚴(yán)重。在今年的調(diào)查中，企業(yè)隱私人員數(shù)此今年人員不足的趨勢與去年的調(diào)查結(jié)果相同空缺隱私崗位受訪者表示他們的企業(yè)正在招聘法律/合規(guī)隱私職圖2顯示了法律/合規(guī)隱私職位的招聘周期；圖3招聘到一名合格的法律/合規(guī)隱私人員平均需要多20%23%25%2%3%18%的受訪者表示，法律/合規(guī)職位的招聘周期略加。與去年的調(diào)查結(jié)果相比，這一比例有所下去年有23%的受訪者表示空缺隱私技術(shù)職位的招?2024ISACA。版權(quán)所有。7/2024年隱私實踐研究報告23%20%25%2%3%資質(zhì)上的隱私職位求職者完全符合所申請職位（法律/分別為24%（法律/合規(guī)職位求職者）和25%（的期望發(fā)生了變化。他們可能明白，只有極少職者能夠在擁有技術(shù)專長的同時精通法律知識。不同類型技術(shù)不同類型技術(shù)和/或應(yīng)用程序的經(jīng)驗s49%框架和/或控制經(jīng)驗54%49%技術(shù)專長45%44%了解組織應(yīng)遵守的法律法規(guī)46%IT運營知識和技能38%2023202441%63%63%?2024ISACA。版權(quán)所有。8/2024年隱私實踐研究報告性（今年與去年的對比數(shù)據(jù)）。圖中數(shù)值為認(rèn)為相關(guān)因素非常或比較重要的受訪者的百分比。盡管受訪者表示求職者最好有隱私工作經(jīng)驗，但現(xiàn)實情況員最初是在完全不相干的領(lǐng)域工作，之后才過渡到隱私領(lǐng)域的。事實上，只有18%的受訪者表示，其所在企業(yè)半數(shù)以上的隱私人員最初就在隱私領(lǐng)合規(guī)合規(guī)/法律經(jīng)驗96%隱私工作的實踐經(jīng)驗所持證書92%技術(shù)經(jīng)驗93%完成隱私相關(guān)的實訓(xùn)課程81%大學(xué)學(xué)位72%前雇主推薦68%202396%93%93%95%94%69%68%82%2024開展培訓(xùn)，讓有意于隱私工作的非隱私工開展培訓(xùn)，讓有意于隱私工作的非隱私工作人員轉(zhuǎn)而擔(dān)任隱私職位聘用更多合同員工或外部顧問多采用基于績效的培訓(xùn)來確保實際技能的掌握情況多利用證書來確保掌握特定領(lǐng)域的專業(yè)知識更加依賴人工智能或自動化學(xué)徒/實習(xí)制未采取任何措施不清楚組織不存在隱私技能差距問題其他25%24%39%50%3%55%30%2%55%30%2%9/2024年隱私實踐研究報告對隱私專業(yè)人員的需求次是隱私從業(yè)人員（48%）和初級/基礎(chǔ)隱私專業(yè)有別于去年的調(diào)查結(jié)果，今年的受訪者并不訪者表示對法律/合規(guī)職位的需求預(yù)計將增加，而今年的受訪者則表示對法律/合規(guī)職位的需求預(yù)計增加增加保持不變保持不變減少減少不清楚不清楚不適用不適用增加增加保持不變減少不清楚不適用25%62%2%10/2024年隱私實踐研究報告隱私運營如果企業(yè)的董事會并未充分重視隱私工作，也沒有協(xié)作圖9列出了必須與隱私專業(yè)人員協(xié)作的職能領(lǐng)域，同時還列出了表示經(jīng)常或頻繁與這些部門協(xié)作的受密切合作；同樣比例（34%）的受訪者經(jīng)常與產(chǎn)品/業(yè)務(wù)開發(fā)部門合作；而只有23%的受訪者經(jīng)常與銷售、市場營銷和客戶關(guān)系部門合作。購買內(nèi)置強大隱私控制功能的技術(shù)對于保護數(shù)據(jù)主體來說至關(guān)重要。為企業(yè)產(chǎn)品和服務(wù)提供基本支持的技術(shù)必須能夠保護隱私。在不參與采購過程的前提下，隱私專業(yè)人員幾乎不可能推動隱私設(shè)計實踐。產(chǎn)品開發(fā)團隊可能會應(yīng)用欺騙性隱私實踐，但如果隱私專業(yè)人員與該部門密切合作，就能夠引導(dǎo)該部門，避免制造出與隱私目標(biāo)不符的產(chǎn)品。與營銷團隊通常非私實踐并防止他們過度追蹤消費者信息。78%78%信息安全77%法律與合規(guī)68%風(fēng)險管理63%IT運營和開發(fā)61%內(nèi)部審計50%人力資源37%采購34%產(chǎn)品/業(yè)務(wù)開發(fā)32%銷售、營銷和客戶關(guān)系25%23%財務(wù)23%22%23%20242023公共和媒體關(guān)系 71%23%36%34%34%64%62%51%?2024ISACA。版權(quán)所有。21%9%5%4%4%2%21%9%5%4%4%2%11/2024年隱私實踐研究報告隱私問責(zé)私工作和隱私專業(yè)人員的負責(zé)人可能各不相同。圖10列出了企業(yè)隱私工作的主要負責(zé)人。這些調(diào)查有10%的受訪者表示首席隱私官承擔(dān)此責(zé)任。與首席隱私官相比，首席執(zhí)行官對隱私意義及其的了解可能不夠深入，因此那些向首席執(zhí)行工作的隱私專業(yè)人員在爭取高層對隱私倡議發(fā)生沖突。例如，不可否認(rèn)性的安全概念(即確保方驗證的數(shù)據(jù)完整性和數(shù)據(jù)來源的證明)可能與個人的私密通信權(quán)利(例如，通過匿名道德熱線進行溝通)相沖突。此外，隱私專業(yè)人員向法律部門報首席隱私官首席隱私官首席信息官首席信息官高管級別的安全主管高管級別的安全主管（如CISO、CSO等）首席執(zhí)行官首席執(zhí)行官法務(wù)總監(jiān)法務(wù)總監(jiān)/首席法務(wù)官首席合規(guī)官首席合規(guī)官其他不清楚不清楚董事會董事會沒有專員負責(zé)隱私事務(wù)沒有專員負責(zé)隱私事務(wù)?2024ISACA。版權(quán)所有。12/2024年隱私實踐研究報告董事會與隱私表示其所在企業(yè)的董事會充分重視隱私。與去調(diào)查結(jié)果（去年該比例為55%）相比，這一比例略有上升。圖11展示了隱私事務(wù)對于董事會來說的基于合規(guī)驅(qū)動的視角來看待隱私，今年該比例到了44%。近期的執(zhí)法行動和新出臺的隱私法律法者表示其所在企業(yè)的董事會認(rèn)為隱私事務(wù)是合不清楚。該比例與去年的調(diào)查結(jié)果相比略有去年有73%的受訪者表示其企業(yè)的隱私戰(zhàn)略與企業(yè)是否?2024ISACA。版權(quán)所有。13/2024年隱私實踐研究報告資金去年該比例為42%。但與去年相比，受訪者對今年只有8%的受訪者認(rèn)為其所在企業(yè)的隱私預(yù)算會在私預(yù)算不足的受訪者中，有63%的受訪者認(rèn)為未來24%24%51%25%34%27%28%35%27%8%29%29%31%26%保持不變不清楚減少增加?2024ISACA。版權(quán)所有。14/2024年隱私實踐研究報告但經(jīng)濟衰退可能會對隱私造成嚴(yán)重影響：ISACA人工智能訪者表示并未利用人工智能（AI）開展隱私工作。圖15展示了受訪者在隱私相關(guān)任務(wù)中使用人工智者表示，他們計劃在未來一年內(nèi)將人工智能引業(yè)隱私事務(wù)，但今年的調(diào)查結(jié)果表明這種情況這種情況有些出乎意料，因為在ISACA最近的一業(yè)人員沒有使用人工智能，但其所在企業(yè)的其工使用人工智能來輔助工作，且不涉及任何隱11%的受訪者預(yù)計其所在企業(yè)的網(wǎng)絡(luò)安全預(yù)算會減少2。企業(yè)可能出于對大型泄密事件（如LastPass 泄密事件3）和勒索軟件的擔(dān)憂而不敢輕易縮減網(wǎng) 我們目前正在使用人工我們目前正在使用人工智能來處理隱私事務(wù)我們計劃在未來一年內(nèi)使用人工智能來處理隱私事務(wù)我們不打算使用人工智能來處理隱私事務(wù)不清楚28%28%36%8%/economic-outlook/september-202/resources/reports/state-of-cybersecurity-2023/sites/daveywinder/2023/03/03/why-you-should-stop-using-lastpass-after-new-hack-methoupdate/?sh=4c06e06928fctive-ai-2023-an-isaca-pulse-poll-infograph?2024ISACA。版權(quán)所有。15/2024年隱私實踐研究報告者可能明白，人工智能不是應(yīng)對隱私挑戰(zhàn)的萬能鑰匙。收入較低、員工規(guī)模較小的企業(yè)使用人工智能的可能性要小得多。在營收低于5000萬美元的企業(yè)中，有48%的受訪者表示不打算應(yīng)用人工智能來型企業(yè)中，這一比例僅為24%。在員工規(guī)模少于管理需要耗費額外的治理和資源，將人工智能用于合規(guī)于現(xiàn)行的隱私法律法規(guī)眾多，隱私團隊常常行合規(guī)相關(guān)義務(wù)而殫精竭慮。使用框架或法來管理隱私可以幫助企業(yè)確立明確的目標(biāo)。78%的受訪者表示其所在企業(yè)使用框架或法律/法規(guī)來管與隱私相關(guān)的風(fēng)險。例如，如果人工智能平臺有45%表示不打算應(yīng)用人工智能來處理隱私事務(wù)。有53%表示不打算應(yīng)用人工智能來處理隱私事務(wù)。這表明，隱私專業(yè)人員了解人工智能的相關(guān)在擁有成熟的隱私計劃之前，使用人工智能來78%的歐洲受訪者使用GDPR，61%的北美受訪者《通用數(shù)據(jù)保護條例》（《通用數(shù)據(jù)保護條例》（GDPR）2016/679美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）隱私框架ISO/IEC27002:2013《信息技術(shù)--安全技術(shù)—信息安全控制實用規(guī)則》ISO/IEC27701COBIT44%27%35%30%53%/sol3/papers.cfm?abstract_id=4426146#:~:text=The%20Tables%20which%20dse,the%20total%20to%20162%16/2024年隱私實踐研究報告隱私技術(shù)專業(yè)人員必須與法律/合規(guī)團隊密切合作與法律/合規(guī)團隊會面，這部分專業(yè)人員應(yīng)當(dāng)考慮定期與法律/合規(guī)團隊會面，否則執(zhí)法行動或與數(shù)據(jù)傳輸相關(guān)的資源（如歐盟-美國數(shù)據(jù)隱私框架）會喪失一定的時效性，這會嚴(yán)重影響企業(yè)的日法律從業(yè)人員之間的溝通，有利于評估現(xiàn)有的專業(yè)人員往往在遵守新的隱私法律法規(guī)方面舉圖17：隱私技術(shù)專業(yè)人員與法律/合規(guī)專業(yè)人員之隱私技術(shù)專業(yè)人員多久與法律/合規(guī)專業(yè)人員會面新的隱私法律/法規(guī)出臺新的隱私法律/法規(guī)出臺時每年1-2次每季度每月每周從不23%27%6%8%完全有信心完全有信心非常有信心一般有信心不太有信心完全沒有信心不清楚拒絕回答32%37%3%6%?2024ISACA。版權(quán)所有。?2024ISACA。版權(quán)所有。17/2024年隱私實踐研究報告根據(jù)某些隱私法律法規(guī)，數(shù)據(jù)主體有權(quán)對個人主體請求處理個人數(shù)據(jù)的次數(shù)在去年有所增加，另有31%的受訪者表示該數(shù)據(jù)保持不變，6%的受訪許多從事隱私技術(shù)工作的專業(yè)人員通常不會應(yīng)對數(shù)據(jù)主體請求或直接與客戶打交道，他隱私設(shè)計而非一種事后手段。企業(yè)需要定期進行隱私設(shè)踐，這能夠為合規(guī)工作提供支持。如果企業(yè)進受到的傷害可能會更小。69%的受訪者表示，其所在企業(yè)在開發(fā)新的應(yīng)用程序和服務(wù)時有采取隱，，者表示不清楚。圖19顯示了受訪者所在企業(yè)實踐踐隱私設(shè)計的企業(yè)中，隱私員工人數(shù)的中位數(shù)為9。但去年在經(jīng)常實踐隱私設(shè)計的企業(yè)中，隱私員工人數(shù)的中位數(shù)為19，明顯高于今年的調(diào)查結(jié)果。?更傾向于認(rèn)為其董事會充分重視隱私問題29%23%34%4%?2024ISACA。版權(quán)所有。18/2024年隱私實踐研究報告在經(jīng)常實踐隱私設(shè)計的企業(yè)中，受訪者更有可其企業(yè)的隱私團隊在確保數(shù)據(jù)隱私和遵守新隱私法律法規(guī)方面的能力完全或非常有信心（71%：43%但這也可能是一種虛假的信心。在過去一隱私意識培訓(xùn)大多數(shù)受訪者表示其所在企業(yè)為員工提供了隱有9%的受訪者表示沒有進行過隱私意識培訓(xùn)，這可能是小型隱私咨詢公司的經(jīng)營者，團隊中每確保所有員工定期接受隱私培訓(xùn)。大多數(shù)受訪者訪企業(yè)一樣，都有可能遭遇重大隱私泄露事件（兩（71%）表示隱私意識培訓(xùn)對其所在企業(yè)的隱私意對于早已完成培訓(xùn)的員工來說，每年都進行同培訓(xùn)沒有任何價值。企業(yè)需要定期審查并修培訓(xùn)內(nèi)容，確保培訓(xùn)內(nèi)容緊跟行業(yè)發(fā)展態(tài)勢工提供有意義的信息。圖21顯示了企業(yè)審查并修近一半的受訪者（49%）指出，缺乏培訓(xùn)或培訓(xùn)效果不佳是常見的隱私失誤。在審查隱私意識培應(yīng)當(dāng)評估其有效性。隱私團隊?wèi)?yīng)合理選擇用于每年每年在新員工培訓(xùn)時每季度重大事件發(fā)生后無隱私培訓(xùn)不清楚其他66%52%3%6%5%19/2024年隱私實踐研究報告每年每年新法律/法規(guī)出臺后每2-5年無隱私培訓(xùn)不對隱私培訓(xùn)內(nèi)容進行修改23%60%9%3%5%僅僅依靠隱私事件數(shù)量和/或客戶投訴數(shù)量來評僅僅依靠隱私事件數(shù)量和/或客戶投訴數(shù)量來評估隱私培訓(xùn)質(zhì)量是一種被動方法，這種方法意味著已經(jīng)發(fā)生了隱私事件或客戶隱私已經(jīng)受到了傷僅僅依靠隱私事件數(shù)量和/或客戶投訴數(shù)量來評估示其所在企業(yè)沒有將兩者分開；6%的受訪者表示6%5%20%21%23%26%33%33%202422%28%23%6%5%20%21%23%26%33%33%202422%28%23%20/2024年隱私實踐研究報告隱私泄露比例與去年的調(diào)查結(jié)果持平。63%的受訪者表示其所在企業(yè)并未發(fā)生過重大隱私泄露事件，8%的受訪者拒絕回答，18%的受訪者表示不清楚。不清楚這一點揭示了泄露應(yīng)對和數(shù)據(jù)分類相關(guān)的更并不清楚個人信息是否泄露，這意味著數(shù)據(jù)看法。盡管受訪者所在企業(yè)發(fā)生泄露事件的百與去年相同，今年只有18%的受訪者認(rèn)為其所在企露事件的可能性。這可能意味著許多企業(yè)的隱私風(fēng)險管理尚未成熟，也可能代表著隱私專業(yè)人員需要增加增加減少減少不變不變拒絕回答拒絕回答不清楚不清楚20232023有可能有可能一定概率一定概率不太可能不太可能不清楚拒絕回答拒絕回答?2024ISACA。版權(quán)所有。?2024ISACA。版權(quán)所有。21/2024年隱私實踐研究報告結(jié)論不能妥善保護客戶數(shù)據(jù)，將會失去客戶的青睞持。6侵犯隱私會損害企業(yè)聲譽并帶來巨額罰款，如果不保護數(shù)據(jù)隱私，企業(yè)就可能會失去消費盡管許多隱私保護團隊的資源有限，但ISACA在調(diào)查中發(fā)現(xiàn)了一些好消息：與過去相比，企業(yè)發(fā)生不足問題的隱私專業(yè)人員在2024年可能會遇到更但如果隱私專業(yè)人員能最大限度地發(fā)揮隱私計劃的center/docs/cisco-priva-cy-benchmark-study-2023.pdf?CCID=cc000160&DTID=esootr000515&OID=rpts?2024ISACA。版權(quán)所有。22/2024年隱私實踐研究報告致謝董事會FormerChairmanandChiefExecutiveOffSeniorVicePresidenOfficerforCustomerServices,OracleCoFormerChiefInformationSecurityOfficer,UnitedNationsOfficeforProjectServices(UNACD.DC