2024年隐私实践研究报告-2024.02

1PRIVPRIVACAYCY

IINN

PRAPCRACTICTEICE

202342024

年隐私实践研究报告©

2024ISACA。版权所有。隐私©

20224023

ISACAI.SACA.

AllAllRightsRightsReserReserved.ved.2

/

2024

年隐私实践研究报告目录34摘要执行摘要4/主要发现46调查方法人员配置趋势6/空缺隐私岗位7

/

资质9/对隐私专业人员的需求10隐私运营10

/

协作11/隐私问责12/董事会与隐私13

/

资金14/人工智能15合规1718202122隐私设计隐私意识培训隐私泄露结论致谢©

2024

ISACA。版权所有。3

/

2024

年隐私实践研究报告摘要《2024年隐私实践研究报告》报告了

ISACA2023年第四季度“全球隐私状况调查”的结果，探讨了隐私人员配置、隐私运营、合规性、意识培训、隐私设计和隐私泄露等问题。虽然部分调查结果与去年的调查结果一致，但也有部分调查结果表明，隐私团队在接下来一年的工作中要面对隐私预算缩减的挑战。©

2024

ISACA。版权所有。4

/

2024

年隐私实践研究报告执行摘要••专家级隐私专业人员的招聘难度最高，这与去年的调查结果一致。《2024

年隐私实践研究报告》基于

2023

年第四季度

ISACA

第四次全球“隐私状况调查”的调查结果，探讨了隐私人员配置、运营、合规、意识培训、数据泄露和隐私设计等问题。贯彻隐私计划最普遍的阻碍是缺乏有能力的隐私团队和隐私专业人员；计划分配的任务、角色和责任不明确；缺乏行政或业务支持；以及在企业内部缺乏可见度和影响力。尊重数据主体并保护其隐私是数字信任的要点之一。此外，违反隐私法律法规可能会损害企业声誉并带来巨额罚款。隐私专业人员如果能优化资源，将隐私与企业产品和服务紧密结合，就能获得竞争优势并保护消费者。本报告探讨了企业隐私相关问题的现状。••••最常见的隐私失败问题是培训不力或根本没有培训。与去年相比，今年的受访者更倾向于认为在未来一年内企业的隐私预算可能会减少。主要发现受访者认为首席隐私官最有可能对隐私运营负责。今年的调查结果为企业提供了重要启示：•与法律/合规职位相比，隐私技术职位的需求超过三分之一的受访者表示，尽管人手不足且缺乏资金，但他们并不打算使用人工智能（AI）来处理隐私事务。在未来一年更有可能增长。•关于隐私在企业董事会和资金预算中的优先级问题，受访者的看法与去年相当。•

根据调查反馈，推行隐私设计的企业更有可能：•••••在组织不同的职能部门中开展更多互动确保组织隐私战略与其他组织目标一致对组织保护敏感数据隐私的能力充满信心认为他们的隐私预算资金充足隐私专业人员如果能优化资源，将隐私与企业产品和服务紧密结合，就能获得竞争优势并保护消费者。分别进行隐私培训与安全培训调查方法2023

年第四季度，ISACA

向全球约

15500

名注册数据隐私安全专家（CDPSE™）认证、网络安全从业人员认证（CSX-P™）

或注册信息安全经理（CISM）认证的证书持有人或职务名称中带有“隐私”的

ISACA

成员发出了调查邀请。共有1300多名受访者完成了调查。©

2024

ISACA。版权所有。5

/

2024

年隐私实践研究报告图1：受访者信息主要行业工作经验年限总收入30%7%26%18%19%技术服务/咨询19%17%21%13%12%18%金融/银行1-516-2021-2525+6-1011-15少于5000

500万-

1亿-4.99

5亿-9.99

大于10亿政府/军队&国家/州/地方万美元9900万

亿美元美元亿美元

美元地区欧洲22%20%亚洲北美46%4%大洋洲拉丁美洲4%4%非洲组织的员工人数20%18%23%17%22%1-249名员工250-999

名1000-4999名员工5000-24999名员工25000

名员工员工或更多©

2024

ISACA。版权所有。6

/

2024

年隐私实践研究报告其中部分受访者还持有多个

ISACA

证书。39%的受访者担任管理职务，28%为企业高层领导，20%为普通员工，其余13%的受访者担任高管职务。图1

展示了受访者的其他信息。人员配置趋势隐私专业人员主要分为两类：法律/合规专业人员和隐私技术专业人员。法律/合规专业人员拥有法律方面的专业知识，能够理解企业的监管义务。隐私技术专业人员拥有评估和应用技术控制的技能和经验，能够帮助企业实现隐私目标。在一些企业中，这两种专业人员在同一个团队中并肩工作，但在另一些企业中，这两种专业人员担任不同的职位并向不同的高管汇报工作。的受访者表示所在企业正在招聘隐私技术职位这一调查结果与预期的隐私预算缩减一致；在隐私预算预计会缩减的条件下，放缓招聘速度也是合情合理的。图

2

显示了法律/合规隐私职位的招聘周期；图

3显示了空缺隐私技术职位的招聘周期。相关数据与去年的调查结果相当。图2：法律/合规隐私职位的招聘周期与法律/合规职位相比，隐私技术职位的人员配置似乎更加不足。54%

的受访者表示隐私技术团队的人员配置稍显或明显不足，而

44%

的受访者表示法律/合规部门的人员配置稍显或明显不足。与法律/合规职位相比，隐私技术团队的人员不足情况更为严重。在今年的调查中，企业隐私人员数量统计结果的中位数为

9

人，去年该数据为

10

人，因此今年人员不足的趋势与去年的调查结果相同也就不足为奇了。招聘到一名合格的法律/合规隐私人员平均需要多长时间？2%11%20%23%25%3%16%<2周>6个月1–3个月3–6个月招不到人不清楚空缺隐私岗位不适用18%的受访者表示，法律/合规职位的招聘周期略有或显著增加，这与去年的调查结果相同。19%

的受访者表示，空缺隐私技术职位的招聘周期有所增加。与去年的调查结果相比，这一比例有所下降，去年有

23%

的受访者表示空缺隐私技术职位的招聘周期略有或显著增加。许多受访者表示其企业正在招聘隐私职位。25%

的受访者表示他们的企业正在招聘法律/合规隐私职位，31%

的受访者表示其企业正在招聘隐私技术职位。该数据与去年相比略有下降，去年有

27%的受访者表示所在企业正在招聘法律/合规职位，34%©

2024

ISACA。版权所有。7

/

2024

年隐私实践研究报告资质图3：空缺隐私技术职位的招聘周期填补空缺职位的一大挑战是缺乏资质合格的求职者。只有

21%的受访者表示，在他们的企业中，半数以上的隐私职位求职者完全符合所申请职位（法律/合规职位和隐私技术职位）的要求。去年这一比例分别为

24%（法律/合规职位求职者）和

25%（隐私技术职位求职者）。招聘到一名合格的隐私技术人员平均需要多长时间？2%11%23%图4列出了受访者心目中隐私专业人员的五大技术短板。20%在今年的调查结果中，前两项差距与去年的调查结果一致，但“技术专长”位列第三。49%的受访者认为“技术专长”是隐私专业人员的一大技术差距，该数据与去年相比增加了

4%。“了解企业应遵守的法律法规”在今年的排名中位列第四，与去年相比下降了一个排名。44%

的受访者将其列为重大技术差距，该数据与去年相比下降了

2%。25%3%16%<2周>6个月招不到人不清楚1–3个月3–6个月上述调查结果可能预示着招聘经理对隐私专业人员的期望发生了变化。他们可能明白，只有极少数求职者能够在拥有技术专长的同时精通法律知识。他们可能不再致力于招聘全能型人才。此外，技术领域的快速发展也可能使“技术专长”成为更有价值的求职资质。不适用图4：受访者指出的技术短板您认为当今的隐私专业人员在哪些方面的技术差距最大？不同类型技术和/或应用程序的经验63%63%49%54%框架和/或控制经验技术专长49%45%44%46%了解组织应遵守的法律法规41%38%IT运营知识和技能20242023©

2024

ISACA。版权所有。8

/

2024

年隐私实践研究报告图5展示了用于评估求职者资质的各个要素的重要性（今年与去年的对比数据）。图中数值为认为相关因素非常或比较重要的受访者的百分比。尽管受访者表示求职者最好有隐私工作经验，但现实情况是，许多从业人员是从其他领域转入隐私行业的。44%

的受访者表示，其所在企业半数以上的隐私人员最初是在完全不相干的领域工作，之后才过渡到隐私领域的。事实上，只有

18%的受访者表示，其所在企业半数以上的隐私人员最初就在隐私领域工作。图6列出了企业为缩小隐私技能差距而采取的解决方案，这与图5所示的调查结果一致。图5：评估求职者资格的各个要素的重要性在确定隐私职位求职者是否合格时，以下各项因素的重要性如何？95%96%合规/法律经验隐私工作的实践经验94%96%93%92%所持证书技术经验93%93%82%81%完成隐私相关的实训课程大学学位69%72%68%68%前雇主推荐20242023图6：缩小隐私技能差距的措施贵司采取了以下哪些措施（如有）来帮助缩小隐私技能差距？开展培训，让有意于隐私工作的非隐私工作人员转而担任隐私职位50%聘用更多合同员工或外部顾问39%多采用基于绩效的培训来确保实际技能的掌握情况25%24%多利用证书来确保掌握特定领域的专业知识更加依赖人工智能或自动化18%17%学徒/实习制未采取任何措施不清楚13%10%3%组织不存在隐私技能差距问题其他

1%©

2024

ISACA。版权所有。9

/

2024

年隐私实践研究报告访者表示对法律/合规职位的需求预计将增加，而今年的受访者则表示对法律/合规职位的需求预计将减少。69%

的受访者表示，未来一年对隐私技术专业人员的需求将增加。对隐私专业人员的需求76%

的受访者认为，隐私专家的招聘难度最高，其次是隐私从业人员（48%）和初级/基础隐私专业人员（14%）。行业对隐私专业人员的需求不断增长，留住人才也很困难，这些因素可能会在未来加剧企业隐私人员不足的问题。41%

的受访者表示，其所在的企业在留住合格的隐私专业人员方面遇到了困难。预计未来一年对各类隐私专业人员的需求都将增加。图

7

和图

8

分别展示了未来一年对法律/合规隐私专业人员以及对隐私技术专业人员的预期需求。有别于去年的调查结果，今年的受访者并不认为对隐私专业人员的需求会大幅增长。去年，62%

的受图7：对法律/合规隐私职位的需求您认为未来一年对法律/合规隐私职位的需求是增加、减少还是保持不变？增加55%保持不变30%减少2%不清楚11%不适用

1%图8：对隐私技术职位的需求您认为未来一年对隐私技术职位的需求是增加、减少还是保持不变？62%增加保持不变减少25%2%1%不清楚不适用10%预计未来一年对各类隐私专业人员的需求都将增加。©

2024

ISACA。版权所有。10

/

2024

年隐私实践研究报告隐私运营令人担忧的是，只有

34%的受访者经常与采购部门密切合作；同样比例（34%）的受访者经常与产品/业务开发部门合作；而只有

23%的受访者经常与销售、市场营销和客户关系部门合作。购买内置强大隐私控制功能的技术对于保护数据主体来说至关重要。为企业产品和服务提供基本支持的技术必须能够保护隐私。在不参与采购过程的前提下，隐私专业人员几乎不可能推动隐私设计实践。产品开发团队可能会应用欺骗性隐私实践，但如果隐私专业人员与该部门密切合作，就能够引导该部门，避免制造出与隐私目标不符的产品。与营销团队通常非常依赖数据来为营销工作提供信息，隐私专业人员也可以引导营销团队，避免营销团队应用欺骗性隐私实践并防止他们过度追踪消费者信息。隐私计划只有在整个企业的支持下才能取得成功。隐私专业人员需要与企业几乎所有的部门协作。企业高层定下的基调会影响企业的态度和隐私文化。如果企业的董事会并未充分重视隐私工作，也没有为隐私工作提供所需的资源和资金，那么这些企业将很难实现其隐私目标并满足合规要求。协作隐私专业人员必须定期与企业其他职能部门协作。图9列出了必须与隐私专业人员协作的职能领域，同时还列出了表示经常或频繁与这些部门协作的受访者的百分比。图9：跨部门协作的隐私专业人员贵司的隐私团队/隐私专业人员与以下领域的互动频率如何？78%77%信息安全71%法律与合规68%64%63%风险管理62%61%IT运营和开发51%50%内部审计36%人力资源37%34%采购34%产品/业务开发34%32%23%25%销售、营销和客户关系23%23%财务22%23%公共和媒体关系20242023©

2024

ISACA。版权所有。11

/

2024

年隐私实践研究报告隐私问责有

10%的受访者表示首席隐私官承担此责任。与首席隐私官相比，首席执行官对隐私意义及其重要性的了解可能不够深入，因此那些向首席执行官汇报工作的隐私专业人员在争取高层对隐私倡议的支持时可能面临更多挑战。根据企业的企业架构以及高管的能力，统领企业隐私工作和隐私专业人员的负责人可能各不相同。图10

列出了企业隐私工作的主要负责人。这些调查结果与

2023

年的调查结果一致。隐私专业人员要能够依据隐私职能在企业中所处的位置判断潜在的利益冲突。安全与隐私有时可能会发生冲突。例如，不可否认性的安全概念(即确保当事方无法事后否认原始数据，以及提供可由第三方验证的数据完整性和数据来源的证明)可能与个人的私密通信权利(例如，通过匿名道德热线进行沟通)相冲突。此外，隐私专业人员向法律部门报告工作本身就可能导致利益冲突，因为隐私部门侧重于个人的权利，而法律部门侧重于维护企业利益。企业规模可能会影响企业隐私工作最终负责人的设立。在员工规模不超过

250

人的企业中，27%的受访者表示首席执行官（CEO）统领负责隐私事务。但在员工人数超过

2.5万人的大型企业中，仅有

8%的受访者表示首席执行官承担隐私事务的主要责任。在员工人数超过

2.5

万人的大型企业中，32%的受访者表示首席隐私官统领负责企业的隐私事务。相较之下，在员工规模不足

250

人的小型企业中，仅图10：隐私问责谁是贵司隐私事务的主要负责人？21%首席隐私官首席信息官17%高管级别的安全主管（如CISO、CSO等）15%首席执行官法务总监/首席法务官首席合规官14%10%9%其他

5%不清楚4%董事会4%没有专员负责隐私事务2%©

2024

ISACA。版权所有。12

/

2024

年隐私实践研究报告董事会与隐私去年，只有

33%的受访者表示其所在企业的董事会基于合规驱动的视角来看待隐私，今年该比例上升到了

44%。近期的执法行动和新出台的隐私法律法规可能导致企业优先考虑合规问题。欧洲受访者在调查中选择“合规驱动”的比例较高，49%的受访者表示其所在企业的董事会认为隐私事务是合规驱动的。考虑到《欧洲通用数据保护条例》（GDPR）的深远影响，这一结果不足为奇。董事会对企业的隐私计划影响重大。57%

的受访者表示其所在企业的董事会充分重视隐私。与去年的调查结果（去年该比例为

55%）相比，这一比例略有上升。图

11

展示了隐私事务对于董事会来说的优先级。董事会可以通过多种方式来确定隐私计划的优先级。合规驱动型方法认为隐私是一项法规要求，而道德驱动型方法则不考虑适用的法律法规，优先考虑隐私事务。一些企业可能会将隐私保护视为一种竞争优势，许多企业会结合多种方法来确定隐私事务的优先级。图

12

展示了董事会对隐私计划的不同看法。74%

的受访者表示其企业的隐私战略与企业目标一致，11%的受访者持相反意见，15%的受访者表示不清楚。该比例与去年的调查结果相比略有上升，去年有

73%的受访者表示其企业的隐私战略与企业目标一致。图11：隐私事务对董事会来说的优先级图12：董事会对隐私计划的不同看法您认为贵司的董事会是否充分重视隐私问题？您认为贵司董事会将企业的隐私计划视为：3%17%29%44%57%4%23%22%合规驱动道德驱动竞争优势是否不清楚不适用合规、道德和竞争优势的结合©

2024

ISACA。版权所有。13

/

2024

年隐私实践研究报告资金图13：隐私资金您认为贵司的隐私预算目前：董事会对隐私的重视程度以及企业对隐私的看法非常重要，因为这可能会影响企业员工对隐私计划的认同以及隐私团队可用的资源。图

13

展示了受访者对其所在企业隐私资金的看法。6%15%今年的调查结果显示，43%的受访者认为其所在企业的隐私预算不足，这与去年的调查结果基本一致，去年该比例为

42%。但与去年相比，受访者对今年隐私预算前景所持的看法不太乐观（见图14）。36%近年来，隐私预算似乎一直在大幅缩减。两年前，只有

8%的受访者认为其所在企业的隐私预算会在未来一年内缩减。出人意料的是，近年来监管环境飞速变化，即便是在这种局势下，隐私专业人员今年仍然认为其所在企业未来一年的隐私预算会缩减。这种现象尤其令人担忧，因为在认为其所在企业隐私预算不足的受访者中，有

63%的受访者认为未来一年内企业的隐私预算将进一步缩减。这代表着在未来一年，部分资源紧缺的隐私团队将面临更严峻的挑战。43%资金过多资金充足资金不足不清楚图14：未来一年内的隐私预算贵司的隐私预算将在未来一年内发生何种变化？202424%1%51%25%202334%35%27%28%12%2022202127%29%8%29%31%14%26%保持不变增加减少不清楚©

2024

ISACA。版权所有。14

/

2024

年隐私实践研究报告本次调查结果显示，只有

5%

的受访者预计隐私预算会大幅缩减，46%的受访者表示其所在企业的隐私预算可能会略有缩减，这在一定程度上缓解了对预算缩减的担忧。企业隐私预算可能不会大幅缩减，但隐私专业人员应准备好应对隐私预算略有缩减的发展态势。这一现象与全球经济发展趋势一致。与2023

年相比，

2024

年全球经济增速预计将进一步放缓1。“2023

年网络安全状况”调查的结果表明，只有11%的受访者预计其所在企业的网络安全预算会减少

2。企业可能出于对大型泄密事件（如

LastPass泄密事件3）和勒索软件的担忧而不敢轻易缩减网络安全预算。更糟的是，企业可能会将网络安全和隐私视为一体，认为网络安全专业人员会保护隐私，反之亦然。但经济衰退可能会对隐私造成严重影响：

ISACA人工智能图15：使用人工智能的计划尽管面临人员不足和资金不足的挑战，但大多数受访者表示并未利用人工智能（AI）开展隐私工作。图

15

展示了受访者在隐私相关任务中使用人工智能的详情。贵司计划如何使用人工智能（机器人或机器学习）来执行隐私相关事务？只有

8%的受访者在隐私工作中使用人工智能，而去年该比例为

11%。在去年的调查中，20%

的受访者表示，他们计划在未来一年内将人工智能引入企业隐私事务，但今年的调查结果表明这种情况并未发生。8%28%28%这种情况有些出乎意料，因为在

ISACA

最近的一项调查中，41%的受访者表示其所在企业的员工正在使用生成式人工智能。4

据此分析，可能隐私专业人员没有使用人工智能，但其所在企业的其他员工使用人工智能来辅助工作，且不涉及任何隐私相关的事务。36%我们目前正在使用人工智能来处理隐私事务我们不打算使用人工智能来处理隐私事务我们计划在未来一年内使用人工智能来处理隐私事务不清楚1

经济合作与发展组织（经合组织），“应对通货膨胀和低增长”，《经合组织经济展望：2023

年9

月中期报告》，/economic-outlook/september-2023/23ISACA，《2023年网络安全状况：劳动力、资源和网络运营的全球最新发展态势》，美国，2023

年，/resources/reports/state-of-cybersecurity-2023Winder，D.；“在黑客攻击方法升级后，您应该停止使用LastPass的原因”，《福布斯》，2023

年3

月3

日，/sites/daveywinder/2023/03/03/why-you-should-stop-using-lastpass-after-new-hack-method-update/?sh=4c06e06928fc4ISACA,“生成式人工智能：风险、机遇与前景”，2023

年10

月25

日，/resources/infographics/genera-tive-ai-2023-an-isaca-pulse-poll-infographic©

2024

ISACA。版权所有。15

/

2024

年隐私实践研究报告企业不愿使用人工智能具有一定的积极意义：受访者可能明白，人工智能不是应对隐私挑战的万能钥匙。收入较低、员工规模较小的企业使用人工智能的可能性要小得多。在营收低于

5000

万美元的企业中，有

48%的受访者表示不打算应用人工智能来处理隐私相关事务。而在营收超过

10

亿美元的大型企业中，这一比例仅为

24%。在员工规模少于250

人的企业中，有

49%的受访者表示不打算应用人工智能来处理隐私相关事务，而在员工规模超过25000

人的企业中，这一比例仅为

23%。这些调查结果表明，小型企业明白，实现对人工智能的有效管理需要耗费额外的治理和资源，将人工智能用于隐私相关事务可能会进一步加重员工的工作负担。隐私专业人员似乎大都明白，人工智能可能会带来与隐私相关的风险。例如，如果人工智能平台需要输入信息才能完成训练并产出成果，那么输入的个人信息可能会影响未来的结果，从而会侵犯隐私。在对企业的数据隐私能力完全没有信心的受访者中，有

45%表示不打算应用人工智能来处理隐私事务。而在对企业的数据隐私能力不太有信心的受访者中，有

53%表示不打算应用人工智能来处理隐私事务。这表明，隐私专业人员了解人工智能的相关风险，在拥有成熟的隐私计划之前，使用人工智能来处理隐私事务的相关风险大于收益。合规图16列出了最常用的五大隐私管理框架和法规。迄今为止，国际上已颁布了

160

多部隐私法。5

由于现行的隐私法律法规众多，隐私团队常常为了履行合规相关义务而殚精竭虑。使用框架或法律法规来管理隐私可以帮助企业确立明确的目标。78%的受访者表示其所在企业使用框架或法律/法规来管理企业隐私。用于管理隐私的框架和法规存在地区差异。例如，78%的欧洲受访者使用

GDPR，61%的北美受访者使用NIST

隐私框架。图16：用于管理隐私的框架和法规贵司使用哪些框架/法规来管理隐私？《通用数据保护条例》（GDPR）2016/67953%美国国家标准与技术研究院（NIST）隐私框架44%ISO/IEC27002:2013

《信息技术--安全技术—信息安全控制实用规则》35%30%ISO/IEC27701COBIT27%5Greenleaf,G.；《2023年全球数据隐私法：162项国家法律和20项法案》，《181隐私法和商业国际报告》（PLBIR），1，2-4，2023

年5

月3

日，/sol3/papers.cfm?abstract_id=4426146#:~:text=The%20Tables%20which%20document%20the-se,the%20total%20to%20162%20globally。©

2024

ISACA。版权所有。16

/

2024

年隐私实践研究报告隐私技术专业人员必须与法律/合规团队密切合作以了解其监管义务。图

17

展示了隐私技术专业人员与法律/合规专业人员会面的频率。••数据丢失防护（67%）事件响应计划（63%）鉴于企业需要遵守的隐私法律法规众多，一些隐私专业人员往往在遵守新的隐私法律法规方面举步维艰，甚至怀疑自身保护数据隐私的能力。图

18

显示了受访者对自身合规能力的信心。部分隐私专业人员只在新的隐私法律法规出台时才与法律/合规团队会面，这部分专业人员应当考虑定期与法律/合规团队会面，否则执法行动或与数据传输相关的资源（如欧盟-美国数据隐私框架）会丧失一定的时效性，这会严重影响企业的日常运营。此外，定期会面能够促进隐私技术专业人员与法律从业人员之间的沟通，有利于评估现有的隐私控制措施是否与企业隐私义务一致。图

17：隐私技术专业人员与法律/合规专业人员之间的会面频率隐私技术专业人员多久与法律/合规专业人员会面一次以了解法律和监管要求？许多企业的目标不仅仅是实现合规，他们还在法律法规要求之外采取额外的隐私控制措施，例如对所有数据主体（无论其身处何地）都采用GDPR

要求。据调查结果显示，受访者所在企业最常用的五大控制措施为：6%17%23%8%•身份和访问管理（74%）19%•

加密（73%）27%•数据安全（72%）从不每月每周每年1-2次新的隐私法律/法规出台时每季度图18：实现合规的信心您对贵司隐私团队确保数据隐私和遵守新隐私法律法规的能力有多大信心？完全有信心非常有信心一般有信心不太有信心11%32%37%10%3%6%1%完全没有信心不清楚拒绝回答©

2024

ISACA。版权所有。17

/

2024

年隐私实践研究报告根据某些隐私法律法规，数据主体有权对个人数据进行访问、删除或转移。31%的受访者表示，数据主体请求处理个人数据的次数在去年有所增加，另有

31%的受访者表示该数据保持不变，6%的受访者表示有所减少，33%的受访者表示不清楚。尽管不清楚数据主体请求的受访者比例很高，但许多从事隐私技术工作的专业人员通常不会直接应对数据主体请求或直接与客户打交道，他们常在后端工作，确保部署必要的技术来满足数据主体的请求。隐私设计隐私设计需要将隐私保护要求嵌入企业系统工程的全流程。该方法要求将隐私作为一种基础性功能，而非一种事后手段。企业需要定期进行隐私设计实践，这能够为合规工作提供支持。如果企业进行了隐私设计实践，在发生隐私泄露事件时，数据主体受到的伤害可能会更小。69%的受访者表示，其所在企业在开发新的应用程序和服务时有采取隐私设计实践，17%的受访者持相反意见，，14%的受访者表示不清楚。图

19

显示了受访者所在企业实践隐私设计的频率。•••更倾向于认为其隐私技术部门的人员配置得当（42%：34%）更倾向于认为其董事会充分重视隐私问题（77%：57%）董事会将隐私计划视为纯粹合规驱动的可能性较低（35%：44%）图19：实践隐私设计的频率贵司实践隐私设计的频率？与前几年的调查结果一致，那些经常实践隐私设计的企业往往拥有更多的可用资源。例如，在经常实践隐私设计的企业中，隐私员工人数的中位数为15，而在所有受访企业中隐私员工人数的中位数为9。但去年在经常实践隐私设计的企业中，隐私员工人数的中位数为

19，明显高于今年的调查结果。4%10%29%23%相较于受访企业的整体情况，那些经常实践隐私设计的受访企业还表现出一些其他趋势：34%一直经常有时很少从不©

2024

ISACA。版权所有。18

/

2024

年隐私实践研究报告•更倾向于认为其隐私预算充足（50%：36%）访企业一样，都有可能遭遇重大隐私泄露事件（两者均为

11%）。当务之急是让那些坚持隐私设计实践的企业明白，实践隐私设计并不能完全规避隐私泄露的风险。在经常实践隐私设计的企业中，受访者更有可能对其企业的隐私团队在确保数据隐私和遵守新隐私法律法规方面的能力完全或非常有信心

（71%：43%），但这也可能是一种虚假的信心。在过去一年中，那些坚持隐私设计实践的企业与所有其他受（71%）表示隐私意识培训对其所在企业的隐私意隐私意识培训识有积极影响。每个员工都可能会造成隐私泄露，因此全体员工都必须完成隐私意识培训。调查结果与该观点一致，大多数受访者表示其所在企业为员工提供了隐私意识培训（86%）。图

20

显示了受访者所在企业进行隐私意识培训的频率，相关数据与去年的调查结果相当。对于早已完成培训的员工来说，每年都进行同样的培训没有任何价值。企业需要定期审查并修改隐私培训内容，确保培训内容紧跟行业发展态势，为员工提供有意义的信息。图

21

显示了企业审查并修改隐私培训内容的频率。有

9%的受访者表示没有进行过隐私意识培训，这让人稍感担忧，但这些受访者可能是独立顾问，也可能是小型隐私咨询公司的经营者，团队中每个员工都是隐私专家。尽管如此，即使是微型企业也应确保所有员工定期接受隐私培训。大多数受访者近一半的受访者（49%）指出，缺乏培训或培训效果不佳是常见的隐私失误。在审查隐私意识培训时应当评估其有效性。隐私团队应合理选择用于评估培训效果的指标并紧跟行业发展态势。图20：隐私意识培训的频率贵司会在什么时候提供隐私培训？每年66%在新员工培训时52%每季度18%重大事件发生后无隐私培训17%6%3%不清楚

5%其他©

2024

ISACA。版权所有。19

/

2024

年隐私实践研究报告图21：审查并修改隐私意识培训内容贵司审查并修改隐私意识培训内容的频率？60%每年新法律/法规出台后23%每2-5年9%无隐私培训

5%3%不对隐私培训内容进行修改受访者用于评估其所在企业隐私培训计划的指标、包括：•

完成隐私培训的员工人数：65%仅仅依靠隐私事件数量和/或客户投诉数量来评估隐私培训质量是一种被动方法，这种方法意味着已经发生了隐私事件或客户隐私已经受到了伤害，因此企业应当对这种方法保持警惕。•隐私事件数量：56%•

客户隐私投诉数量：37%培训前后评估比较：23%•仅仅依靠隐私事件数量和/或客户投诉数量来评估隐私培训质量是一种被动方法，这种方法意味着已经发生了隐私事件或客户隐私已经受到了伤害，因此企业应当对这种方法保持警惕。在损害造成后再修改隐私培训内容很可能已无法挽回消费者的信任。追踪已完成隐私意识培训的员工数量是一种有效的方法，但这种方法并不能让我们深入了解员工是否学到了什么、是否觉得培训有用，以及能否更好地贯彻隐私目标。培训前和培训后评估（哪怕只是在培训前后问几道选择判断题）能帮助企业更好地了解隐私培训的质量。一些企业并未将隐私意识培训和安全意识培训分开进行。虽然这也是可行的，但有些企业会将隐私和安全混为一谈。重要的是，如果将隐私意识培训和安全意识培训结合起来，那么隐私和安全的相关信息都要涵盖在内。60%的受访者表示其所在企业分别进行隐私意识培训和安全培训；29%的受访者表示其所在企业没有将两者分开；6%的受访者表示不清楚。（5%的受访企业不提供隐私意识培训）。©

2024

ISACA。版权所有。20

/

2024

年隐私实践研究报告隐私泄露受访者关于隐私泄露的看法与去年的调查结果一致。根据今年的调查结果，11%的受访者表示其所在企业在过去

12

个月中遭遇了重大隐私泄露事件，该比例与去年的调查结果持平。63%的受访者表示其所在企业并未发生过重大隐私泄露事件，8%的受访者拒绝回答，18%的受访者表示不清楚。不清楚企业是否发生过隐私泄露事件的受访者比例很高，这一点揭示了泄露应对和数据分类相关的更广泛的问题。一些企业可能知道发生了信息泄露事件，但并不清楚个人信息是否泄露，这意味着数据分类工作需要改进。图

22

显示了受访者对今年与去年隐私泄露事件的看法。尽管受访者所在企业发生泄露事件的百分比与去年相同，今年只有

18%的受访者认为其所在企业发生数据泄露事件的频率与去年相同。如图

23

所示，针对未来一年发生重大隐私泄露事件的可能性，受访者们持有不同的看法。令人担忧的是，近四分之一的受访者表示不清楚发生隐私泄露事件的可能性。这可能意味着许多企业的隐私风险管理尚未成熟，也可能代表着隐私专业人员需要进一步深入了解隐私泄露的构成。图22：隐私泄露趋势比较与去年相比，贵司重大隐私泄露事件发生的频次是否增加或减少？6%增加5%20%减少16%18%不变21%23%拒绝回答26%33%不清楚33%20242023图23：未来一年发生隐私泄露事件的可能性贵司未来一年发生重大隐私泄露事件的可能性有多大？有可能16%一定概率22%28%不太可能不清楚23%拒U绝nli回k

e答ly11%©

2024

ISACA。版权所有。21

/

2024

年隐私实践研究报告结论尽管许多隐私保护团队的资源有限，但

ISACA

在调查中发现了一些好消息：与过去相比，企业发生隐私泄露事件的次数并未增加。但与去年相比，今年企业的隐私团队规模有所缩小。预计在未来企业隐私预算会进一步缩减，因此目前团队已存在预算不足问题的隐私专业人员在

2024

年可能会遇到更多的预算问题。尽管隐私预算预期将进一步缩减，但如果隐私专业人员能最大限度地发挥隐私计划的作用，就能够实现企业的隐私目标。隐私法律法规已迫使许多企业将隐私保护置于优先地位，并扩大了与隐私相关的职能部门。消费者对隐私问题的关注度日益提高，许多企业认为，如果不能妥善保护客户数据，将会失去客户的青睐和支持。6

侵犯隐私会损害企业声誉并带来巨额罚款，如果不保护数据隐私，企业就可能会失去消费者的信任。6CISCO，《隐私日渐增长的重要性及影响》，2023，/c/dam/en_us/about/doing_business/trust-center/docs/cisco-priva-cy-benchmark-study-2023.pdf?CCID=cc000160&DTID=esootr000515&OID=rptsc030828©

2024

ISACA。版权所有。22

/

2024

年隐私实践研究报告致谢ISACA

在此致谢：董事会JohnDeSantis,ChairPamelaNigroFormer

Chairman

and

Chief

Executive

Officer,HyTrust,Inc.,USAISACA

BoardChair2022-2023CISA,CGEIT,

CRISC,CDPSE,CRMAVice

President,Security,Medecision,USAGregoryTouhillBrennanP.

Baybeck,

Vice-ChairCISA,CISM,CRISC,CISSPSenior

Vice

President

and

Chief

Information

SecurityOfficer

for

Customer

Services,

Oracle

Corporation,USAISACA

BoardChair2021-2022CISM,CISSPDirector,

CERT

Center,

Carnegie

Mellon

University,USAStephenGilfusManaging

Director,

Oversight

Ventures

LLC,Chairman,

Gilfus

Education

Group

and

Founder,BlackboardInc.,USATracey

DedrickISACA

BoardChair,

2020-2021