2024 年隐私实践研究报告

2024年隐私实践研究报告2/2024年隐私实践研究报告3摘要4执行摘要4调查方法6人员配置趋势7/资质10隐私运营10/协作12/董事会与隐私13/资金17隐私设计18隐私意识培训20隐私泄露21结论22致谢©2024ISACA。版权所有。©2024ISACA。版权所有。;/2024年隐私实践研究报告结果，探讨了隐私人员配置、隐私运营、合规性、意识培训、题。虽然部分调查结果与去年的调查结果一致，但也有部分调©2024ISACA。版权所有。4/2024年隐私实践研究报告执行摘要度ISACA第四次全球“隐私状况调查”主要发现•与法律/合规职位相比，隐私技术职位的需求•关于隐私在企业董事会和资金预算中的优先隐私专业人员如果能优化资源，将隐私与企隐私专业人员如果能优化资源，将隐私与企业产品和服务紧密结合，就能获得竞争优势缺乏资金，但他们并不打算使用人工智能调查方法数据隐私安全专家（CDPSE™)认证、网络安全从业人员认证（CSX-P™)或注册信息安全经理（CISM）认证的证书持有人或职务名称中带有“隐私”的ISACA成员发出了调查邀请。共有总收入工作经验年限7%18%19%21%18%少于5000万美元总收入工作经验年限7%18%19%21%18%少于5000万美元5亿-9.99亿美元大于10亿美元500万-9900万美元1亿-4.99亿美元5/2024年隐私实践研究报告主要行业主要行业17%17%方地区地区 4% 4%46%20%22%4%组织的员工人数组织的员工人数23%25000名员工或更多250-999名员工5000-24999名员工1000-4999名员工员工22%20%18%17%©2024ISACA。版权所有。6/2024年隐私实践研究报告其中部分受访者还持有多个ISACA证书。39%的人员配置趋势隐私专业人员主要分为两类：法律/合规专业人员和隐私技术专业人员。法律/合规专业人员拥有法与法律/合规职位相比，隐私技术职位的人员配置法律/合规部门的人员配置稍显或明显不足。与法律/合规职位相比，隐私技术团队的人员不足情况更为严重。在今年的调查中，企业隐私人员数此今年人员不足的趋势与去年的调查结果相同空缺隐私岗位受访者表示他们的企业正在招聘法律/合规隐私职图2显示了法律/合规隐私职位的招聘周期；图3招聘到一名合格的法律/合规隐私人员平均需要多20%23%25%2%3%18%的受访者表示，法律/合规职位的招聘周期略加。与去年的调查结果相比，这一比例有所下去年有23%的受访者表示空缺隐私技术职位的招©2024ISACA。版权所有。7/2024年隐私实践研究报告23%20%25%2%3%资质上的隐私职位求职者完全符合所申请职位（法律/分别为24%（法律/合规职位求职者）和25%（的期望发生了变化。他们可能明白，只有极少职者能够在拥有技术专长的同时精通法律知识。不同类型技术不同类型技术和/或应用程序的经验s49%框架和/或控制经验54%49%技术专长45%44%了解组织应遵守的法律法规46%IT运营知识和技能38%2023202441%63%63%©2024ISACA。版权所有。8/2024年隐私实践研究报告性（今年与去年的对比数据）。图中数值为认为相关因素非常或比较重要的受访者的百分比。尽管受访者表示求职者最好有隐私工作经验，但现实情况员最初是在完全不相干的领域工作，之后才过渡到隐私领域的。事实上，只有18%的受访者表示，其所在企业半数以上的隐私人员最初就在隐私领合规合规/法律经验96%隐私工作的实践经验所持证书92%技术经验93%完成隐私相关的实训课程81%大学学位72%前雇主推荐68%202396%93%93%95%94%69%68%82%2024开展培训，让有意于隐私工作的非隐私工开展培训，让有意于隐私工作的非隐私工作人员转而担任隐私职位聘用更多合同员工或外部顾问多采用基于绩效的培训来确保实际技能的掌握情况多利用证书来确保掌握特定领域的专业知识更加依赖人工智能或自动化学徒/实习制未采取任何措施不清楚组织不存在隐私技能差距问题其他25%24%39%50%3%55%30%2%55%30%2%9/2024年隐私实践研究报告对隐私专业人员的需求次是隐私从业人员（48%）和初级/基础隐私专业有别于去年的调查结果，今年的受访者并不访者表示对法律/合规职位的需求预计将增加，而今年的受访者则表示对法律/合规职位的需求预计增加增加保持不变保持不变减少减少不清楚不清楚不适用不适用增加增加保持不变减少不清楚不适用25%62%2%10/2024年隐私实践研究报告隐私运营如果企业的董事会并未充分重视隐私工作，也没有协作图9列出了必须与隐私专业人员协作的职能领域，同时还列出了表示经常或频繁与这些部门协作的受密切合作；同样比例（34%）的受访者经常与产品/业务开发部门合作；而只有23%的受访者经常与销售、市场营销和客户关系部门合作。购买内置强大隐私控制功能的技术对于保护数据主体来说至关重要。为企业产品和服务提供基本支持的技术必须能够保护隐私。在不参与采购过程的前提下，隐私专业人员几乎不可能推动隐私设计实践。产品开发团队可能会应用欺骗性隐私实践，但如果隐私专业人员与该部门密切合作，就能够引导该部门，避免制造出与隐私目标不符的产品。与营销团队通常非私实践并防止他们过度追踪消费者信息。78%78%信息安全77%法律与合规68%风险管理63%IT运营和开发61%内部审计50%人力资源37%采购34%产品/业务开发32%销售、营销和客户关系25%23%财务23%22%23%20242023公共和媒体关系 71%23%36%34%34%64%62%51%©2024ISACA。版权所有。21%9%5%4%4%2%21%9%5%4%4%2%11/2024年隐私实践研究报告隐私问责私工作和隐私专业人员的负责人可能各不相同。图10列出了企业隐私工作的主要负责人。这些调查有10%的受访者表示首席隐私官承担此责任。与首席隐私官相比，首席执行官对隐私意义及其的了解可能不够深入，因此那些向首席执行工作的隐私专业人员在争取高层对隐私倡议发生冲突。例如，不可否认性的安全概念(即确保方验证的数据完整性和数据来源的证明)可能与个人的私密通信权利(例如，通过匿名道德热线进行沟通)相冲突。此外，隐私专业人员向法律部门报首席隐私官首席隐私官首席信息官首席信息官高管级别的安全主管高管级别的安全主管（如CISO、CSO等）首席执行官首席执行官法务总监法务总监/首席法务官首席合规官首席合规官其他不清楚不清楚董事会董事会没有专员负责隐私事务没有专员负责隐私事务©2024ISACA。版权所有。12/2024年隐私实践研究报告董事会与隐私表示其所在企业的董事会充分重视隐私。与去调查结果（去年该比例为55%）相比，这一比例略有上升。图11展示了隐私事务对于董事会来说的基于合规驱动的视角来看待隐私，今年该比例到了44%。近期的执法行动和新出台的隐私法律法者表示其所在企业的董事会认为隐私事务是合不清楚。该比例与去年的调查结果相比略有去年有73%的受访者表示其企业的隐私战略与企业是否©2024ISACA。版权所有。13/2024年隐私实践研究报告资金去年该比例为42%。但与去年相比，受访者对今年只有8%的受访者认为其所在企业的隐私预算会在私预算不足的受访者中，有63%的受访者认为未来24%24%51%25%34%27%28%35%27%8%29%29%31%26%保持不变不清楚减少增加©2024ISACA。版权所有。14/2024年隐私实践研究报告但经济衰退可能会对隐私造成严重影响：ISACA人工智能访者表示并未利用人工智能（AI）开展隐私工作。图15展示了受访者在隐私相关任务中使用人工智者表示，他们计划在未来一年内将人工智能引业隐私事务，但今年的调查结果表明这种情况这种情况有些出乎意料，因为在ISACA最近的一业人员没有使用人工智能，但其所在企业的其工使用人工智能来辅助工作，且不涉及任何隐11%的受访者预计其所在企业的网络安全预算会减少2。企业可能出于对大型泄密事件（如LastPass 泄密事件3）和勒索软件的担忧而不敢轻易缩减网 我们目前正在使用人工我们目前正在使用人工智能来处理隐私事务我们计划在未来一年内使用人工智能来处理隐私事务我们不打算使用人工智能来处理隐私事务不清楚28%28%36%8%/economic-outlook/september-202/resources/reports/state-of-cybersecurity-2023/sites/daveywinder/2023/03/03/why-you-should-stop-using-lastpass-after-new-hack-methoupdate/?sh=4c06e06928fctive-ai-2023-an-isaca-pulse-poll-infograph©2024ISACA。版权所有。15/2024年隐私实践研究报告者可能明白，人工智能不是应对隐私挑战的万能钥匙。收入较低、员工规模较小的企业使用人工智能的可能性要小得多。在营收低于5000万美元的企业中，有48%的受访者表示不打算应用人工智能来型企业中，这一比例仅为24%。在员工规模少于管理需要耗费额外的治理和资源，将人工智能用于合规于现行的隐私法律法规众多，隐私团队常常行合规相关义务而殚精竭虑。使用框架或法来管理隐私可以帮助企业确立明确的目标。78%的受访者表示其所在企业使用框架或法律/法规来管与隐私相关的风险。例如，如果人工智能平台有45%表示不打算应用人工智能来处理隐私事务。有53%表示不打算应用人工智能来处理隐私事务。这表明，隐私专业人员了解人工智能的相关在拥有成熟的隐私计划之前，使用人工智能来78%的欧洲受访者使用GDPR，61%的北美受访者《通用数据保护条例》（《通用数据保护条例》（GDPR）2016/679美国国家标准与技术研究院（NIST）隐私框架ISO/IEC27002:2013《信息技术--安全技术—信息安全控制实用规则》ISO/IEC27701COBIT44%27%35%30%53%/sol3/papers.cfm?abstract_id=4426146#:~:text=The%20Tables%20which%20dse,the%20total%20to%20162%16/2024年隐私实践研究报告隐私技术专业人员必须与法律/合规团队密切合作与法律/合规团队会面，这部分专业人员应当考虑定期与法律/合规团队会面，否则执法行动或与数据传输相关的资源（如欧盟-美国数据隐私框架）会丧失一定的时效性，这会严重影响企业的日法律从业人员之间的沟通，有利于评估现有的专业人员往往在遵守新的隐私法律法规方面举图17：隐私技术专业人员与法律/合规专业人员之隐私技术专业人员多久与法律/合规专业人员会面新的隐私法律/法规出台新的隐私法律/法规出台时每年1-2次每季度每月每周从不23%27%6%8%完全有信心完全有信心非常有信心一般有信心不太有信心完全没有信心不清楚拒绝回答32%37%3%6%©2024ISACA。版权所有。©2024ISACA。版权所有。17/2024年隐私实践研究报告根据某些隐私法律法规，数据主体有权对个人主体请求处理个人数据的次数在去年有所增加，另有31%的受访者表示该数据保持不变，6%的受访许多从事隐私技术工作的专业人员通常不会应对数据主体请求或直接与客户打交道，他隐私设计而非一种事后手段。企业需要定期进行隐私设践，这能够为合规工作提供支持。如果企业进受到的伤害可能会更小。69%的受访者表示，其所在企业在开发新的应用程序和服务时有采取隐，，者表示不清楚。图19显示了受访者所在企业实践践隐私设计的企业中，隐私员工人数的中位数为9。但去年在经常实践隐私设计的企业中，隐私员工人数的中位数为19，明显高于今年的调查结果。•更倾向于认为其董事会充分重视隐私问题29%23%34%4%©2024ISACA。版权所有。18/2024年隐私实践研究报告在经常实践隐私设计的企业中，受访者更有可其企业的隐私团队在确保数据隐私和遵守新隐私法律法规方面的能力完全或非常有信心（71%：43%但这也可能是一种虚假的信心。在过去一隐私意识培训大多数受访者表示其所在企业为员工提供了隐有9%的受访者表示没有进行过隐私意识培训，这可能是小型隐私咨询公司的经营者，团队中每确保所有员工定期接受隐私培训。大多数受访者访企业一样，都有可能遭遇重大隐私泄露事件（两（71%）表示隐私意识培训对其所在企业的隐私意对于早已完成培训的员工来说，每年都进行同培训没有任何价值。企业需要定期审查并修培训内容，确保培训内容紧跟行业发展态势工提供有意义的信息。图21显示了企业审查并修近一半的受访者（49%）指出，缺乏培训或培训效果不佳是常见的隐私失误。在审查隐私意识培应当评估其有效性。隐私团队应合理选择用于每年每年在新员工培训时每季度重大事件发生后无隐私培训不清楚其他66%52%3%6%5%19/2024年隐私实践研究报告每年每年新法律/法规出台后每2-5年无隐私培训不对隐私培训内容进行修改23%60%9%3%5%仅仅依靠隐私事件数量和/或客户投诉数量来评仅仅依靠隐私事件数量和/或客户投诉数量来评估隐私培训质量是一种被动方法，这种方法意味着已经发生了隐私事件或客户隐私已经受到了伤仅仅依靠隐私事件数量和/或客户投诉数量来评估示其所在企业没有将两者分开；6%的受访者表示6%5%20%21%23%26%33%33%202422%28%23%6%5%20%21%23%26%33%33%202422%28%23%20/2024年隐私实践研究报告隐私泄露比例与去年的调查结果持平。63%的受访者表示其所在企业并未发生过重大隐私泄露事件，8%的受访者拒绝回答，18%的受访者表示不清楚。不清楚这一点揭示了泄露应对和数据分类相关的更并不清楚个人信息是否泄露，这意味着数据看法。尽管受访者所在企业发生泄露事件的百与去年相同，今年只有18%的受访者认为其所在企露事件的可能性。这可能意味着许多企业的隐私风险管理尚未成熟，也可能代表着隐私专业人员需要增加增加减少减少不变不变拒绝回答拒绝回答不清楚不清楚20232023有可能有可能一定概率一定概率不太可能不太可能不清楚拒绝回答拒绝回答©2024ISACA。版权所有。©2024ISACA。版权所有。21/2024年隐私实践研究报告结论不能妥善保护客户数据，将会失去客户的青睐持。6侵犯隐私会损害企业声誉并带来巨额罚款，如果不保护数据隐私，企业就可能会失去消费尽管许多隐私保护团队的资源有限，但ISACA在调查中发现了一些好消息：与过去相比，企业发生不足问题的隐私专业人员在2024年可能会遇到更但如果隐私专业人员能最大限度地发挥隐私计划的center/docs/cisco-priva-cy-benchmark-study-2023.pdf?CCID=cc000160&DTID=esootr000515&OID=rpts©2024ISACA。版权所有。22/2024年隐私实践研究报告致谢董事会FormerChairmanandChiefExecutiveOffSeniorVicePresidenOfficerforCustomerServices,OracleCoFormerChiefInformationSecurityOfficer,UnitedNationsOfficeforProjectServices(UNACD.DC