2024 年隱私實踐研究報告

2024年隱私實踐研究報告2/2024年隱私實踐研究報告3摘要4執(zhí)行摘要4調查方法6人員配置趨勢7/資質10隱私運營10/協(xié)作12/董事會與隱私13/資金17隱私設計18隱私意識培訓20隱私泄露21結論22致謝?2024ISACA。版權所有。?2024ISACA。版權所有。;/2024年隱私實踐研究報告結果，探討了隱私人員配置、隱私運營、合規(guī)性、意識培訓、題。雖然部分調查結果與去年的調查結果一致，但也有部分調?2024ISACA。版權所有。4/2024年隱私實踐研究報告執(zhí)行摘要度ISACA第四次全球“隱私狀況調查”主要發(fā)現(xiàn)?與法律/合規(guī)職位相比，隱私技術職位的需求?關于隱私在企業(yè)董事會和資金預算中的優(yōu)先隱私專業(yè)人員如果能優(yōu)化資源，將隱私與企隱私專業(yè)人員如果能優(yōu)化資源，將隱私與企業(yè)產品和服務緊密結合，就能獲得競爭優(yōu)勢缺乏資金，但他們并不打算使用人工智能調查方法數(shù)據隱私安全專家（CDPSE?)認證、網絡安全從業(yè)人員認證（CSX-P?)或注冊信息安全經理（CISM）認證的證書持有人或職務名稱中帶有“隱私”的ISACA成員發(fā)出了調查邀請。共有總收入工作經驗年限7%18%19%21%18%少于5000萬美元總收入工作經驗年限7%18%19%21%18%少于5000萬美元5億-9.99億美元大于10億美元500萬-9900萬美元1億-4.99億美元5/2024年隱私實踐研究報告主要行業(yè)主要行業(yè)17%17%方地區(qū)地區(qū) 4% 4%46%20%22%4%組織的員工人數(shù)組織的員工人數(shù)23%25000名員工或更多250-999名員工5000-24999名員工1000-4999名員工員工22%20%18%17%?2024ISACA。版權所有。6/2024年隱私實踐研究報告其中部分受訪者還持有多個ISACA證書。39%的人員配置趨勢隱私專業(yè)人員主要分為兩類：法律/合規(guī)專業(yè)人員和隱私技術專業(yè)人員。法律/合規(guī)專業(yè)人員擁有法與法律/合規(guī)職位相比，隱私技術職位的人員配置法律/合規(guī)部門的人員配置稍顯或明顯不足。與法律/合規(guī)職位相比，隱私技術團隊的人員不足情況更為嚴重。在今年的調查中，企業(yè)隱私人員數(shù)此今年人員不足的趨勢與去年的調查結果相同空缺隱私崗位受訪者表示他們的企業(yè)正在招聘法律/合規(guī)隱私職圖2顯示了法律/合規(guī)隱私職位的招聘周期；圖3招聘到一名合格的法律/合規(guī)隱私人員平均需要多20%23%25%2%3%18%的受訪者表示，法律/合規(guī)職位的招聘周期略加。與去年的調查結果相比，這一比例有所下去年有23%的受訪者表示空缺隱私技術職位的招?2024ISACA。版權所有。7/2024年隱私實踐研究報告23%20%25%2%3%資質上的隱私職位求職者完全符合所申請職位（法律/分別為24%（法律/合規(guī)職位求職者）和25%（的期望發(fā)生了變化。他們可能明白，只有極少職者能夠在擁有技術專長的同時精通法律知識。不同類型技術不同類型技術和/或應用程序的經驗s49%框架和/或控制經驗54%49%技術專長45%44%了解組織應遵守的法律法規(guī)46%IT運營知識和技能38%2023202441%63%63%?2024ISACA。版權所有。8/2024年隱私實踐研究報告性（今年與去年的對比數(shù)據）。圖中數(shù)值為認為相關因素非常或比較重要的受訪者的百分比。盡管受訪者表示求職者最好有隱私工作經驗，但現(xiàn)實情況員最初是在完全不相干的領域工作，之后才過渡到隱私領域的。事實上，只有18%的受訪者表示，其所在企業(yè)半數(shù)以上的隱私人員最初就在隱私領合規(guī)合規(guī)/法律經驗96%隱私工作的實踐經驗所持證書92%技術經驗93%完成隱私相關的實訓課程81%大學學位72%前雇主推薦68%202396%93%93%95%94%69%68%82%2024開展培訓，讓有意于隱私工作的非隱私工開展培訓，讓有意于隱私工作的非隱私工作人員轉而擔任隱私職位聘用更多合同員工或外部顧問多采用基于績效的培訓來確保實際技能的掌握情況多利用證書來確保掌握特定領域的專業(yè)知識更加依賴人工智能或自動化學徒/實習制未采取任何措施不清楚組織不存在隱私技能差距問題其他25%24%39%50%3%55%30%2%55%30%2%9/2024年隱私實踐研究報告對隱私專業(yè)人員的需求次是隱私從業(yè)人員（48%）和初級/基礎隱私專業(yè)有別于去年的調查結果，今年的受訪者并不訪者表示對法律/合規(guī)職位的需求預計將增加，而今年的受訪者則表示對法律/合規(guī)職位的需求預計增加增加保持不變保持不變減少減少不清楚不清楚不適用不適用增加增加保持不變減少不清楚不適用25%62%2%10/2024年隱私實踐研究報告隱私運營如果企業(yè)的董事會并未充分重視隱私工作，也沒有協(xié)作圖9列出了必須與隱私專業(yè)人員協(xié)作的職能領域，同時還列出了表示經?；蝾l繁與這些部門協(xié)作的受密切合作；同樣比例（34%）的受訪者經常與產品/業(yè)務開發(fā)部門合作；而只有23%的受訪者經常與銷售、市場營銷和客戶關系部門合作。購買內置強大隱私控制功能的技術對于保護數(shù)據主體來說至關重要。為企業(yè)產品和服務提供基本支持的技術必須能夠保護隱私。在不參與采購過程的前提下，隱私專業(yè)人員幾乎不可能推動隱私設計實踐。產品開發(fā)團隊可能會應用欺騙性隱私實踐，但如果隱私專業(yè)人員與該部門密切合作，就能夠引導該部門，避免制造出與隱私目標不符的產品。與營銷團隊通常非私實踐并防止他們過度追蹤消費者信息。78%78%信息安全77%法律與合規(guī)68%風險管理63%IT運營和開發(fā)61%內部審計50%人力資源37%采購34%產品/業(yè)務開發(fā)32%銷售、營銷和客戶關系25%23%財務23%22%23%20242023公共和媒體關系 71%23%36%34%34%64%62%51%?2024ISACA。版權所有。21%9%5%4%4%2%21%9%5%4%4%2%11/2024年隱私實踐研究報告隱私問責私工作和隱私專業(yè)人員的負責人可能各不相同。圖10列出了企業(yè)隱私工作的主要負責人。這些調查有10%的受訪者表示首席隱私官承擔此責任。與首席隱私官相比，首席執(zhí)行官對隱私意義及其的了解可能不夠深入，因此那些向首席執(zhí)行工作的隱私專業(yè)人員在爭取高層對隱私倡議發(fā)生沖突。例如，不可否認性的安全概念(即確保方驗證的數(shù)據完整性和數(shù)據來源的證明)可能與個人的私密通信權利(例如，通過匿名道德熱線進行溝通)相沖突。此外，隱私專業(yè)人員向法律部門報首席隱私官首席隱私官首席信息官首席信息官高管級別的安全主管高管級別的安全主管（如CISO、CSO等）首席執(zhí)行官首席執(zhí)行官法務總監(jiān)法務總監(jiān)/首席法務官首席合規(guī)官首席合規(guī)官其他不清楚不清楚董事會董事會沒有專員負責隱私事務沒有專員負責隱私事務?2024ISACA。版權所有。12/2024年隱私實踐研究報告董事會與隱私表示其所在企業(yè)的董事會充分重視隱私。與去調查結果（去年該比例為55%）相比，這一比例略有上升。圖11展示了隱私事務對于董事會來說的基于合規(guī)驅動的視角來看待隱私，今年該比例到了44%。近期的執(zhí)法行動和新出臺的隱私法律法者表示其所在企業(yè)的董事會認為隱私事務是合不清楚。該比例與去年的調查結果相比略有去年有73%的受訪者表示其企業(yè)的隱私戰(zhàn)略與企業(yè)是否?2024ISACA。版權所有。13/2024年隱私實踐研究報告資金去年該比例為42%。但與去年相比，受訪者對今年只有8%的受訪者認為其所在企業(yè)的隱私預算會在私預算不足的受訪者中，有63%的受訪者認為未來24%24%51%25%34%27%28%35%27%8%29%29%31%26%保持不變不清楚減少增加?2024ISACA。版權所有。14/2024年隱私實踐研究報告但經濟衰退可能會對隱私造成嚴重影響：ISACA人工智能訪者表示并未利用人工智能（AI）開展隱私工作。圖15展示了受訪者在隱私相關任務中使用人工智者表示，他們計劃在未來一年內將人工智能引業(yè)隱私事務，但今年的調查結果表明這種情況這種情況有些出乎意料，因為在ISACA最近的一業(yè)人員沒有使用人工智能，但其所在企業(yè)的其工使用人工智能來輔助工作，且不涉及任何隱11%的受訪者預計其所在企業(yè)的網絡安全預算會減少2。企業(yè)可能出于對大型泄密事件（如LastPass 泄密事件3）和勒索軟件的擔憂而不敢輕易縮減網 我們目前正在使用人工我們目前正在使用人工智能來處理隱私事務我們計劃在未來一年內使用人工智能來處理隱私事務我們不打算使用人工智能來處理隱私事務不清楚28%28%36%8%/economic-outlook/september-202/resources/reports/state-of-cybersecurity-2023/sites/daveywinder/2023/03/03/why-you-should-stop-using-lastpass-after-new-hack-methoupdate/?sh=4c06e06928fctive-ai-2023-an-isaca-pulse-poll-infograph?2024ISACA。版權所有。15/2024年隱私實踐研究報告者可能明白，人工智能不是應對隱私挑戰(zhàn)的萬能鑰匙。收入較低、員工規(guī)模較小的企業(yè)使用人工智能的可能性要小得多。在營收低于5000萬美元的企業(yè)中，有48%的受訪者表示不打算應用人工智能來型企業(yè)中，這一比例僅為24%。在員工規(guī)模少于管理需要耗費額外的治理和資源，將人工智能用于合規(guī)于現(xiàn)行的隱私法律法規(guī)眾多，隱私團隊常常行合規(guī)相關義務而殫精竭慮。使用框架或法來管理隱私可以幫助企業(yè)確立明確的目標。78%的受訪者表示其所在企業(yè)使用框架或法律/法規(guī)來管與隱私相關的風險。例如，如果人工智能平臺有45%表示不打算應用人工智能來處理隱私事務。有53%表示不打算應用人工智能來處理隱私事務。這表明，隱私專業(yè)人員了解人工智能的相關在擁有成熟的隱私計劃之前，使用人工智能來78%的歐洲受訪者使用GDPR，61%的北美受訪者《通用數(shù)據保護條例》（《通用數(shù)據保護條例》（GDPR）2016/679美國國家標準與技術研究院（NIST）隱私框架ISO/IEC27002:2013《信息技術--安全技術—信息安全控制實用規(guī)則》ISO/IEC27701COBIT44%27%35%30%53%/sol3/papers.cfm?abstract_id=4426146#:~:text=The%20Tables%20which%20dse,the%20total%20to%20162%16/2024年隱私實踐研究報告隱私技術專業(yè)人員必須與法律/合規(guī)團隊密切合作與法律/合規(guī)團隊會面，這部分專業(yè)人員應當考慮定期與法律/合規(guī)團隊會面，否則執(zhí)法行動或與數(shù)據傳輸相關的資源（如歐盟-美國數(shù)據隱私框架）會喪失一定的時效性，這會嚴重影響企業(yè)的日法律從業(yè)人員之間的溝通，有利于評估現(xiàn)有的專業(yè)人員往往在遵守新的隱私法律法規(guī)方面舉圖17：隱私技術專業(yè)人員與法律/合規(guī)專業(yè)人員之隱私技術專業(yè)人員多久與法律/合規(guī)專業(yè)人員會面新的隱私法律/法規(guī)出臺新的隱私法律/法規(guī)出臺時每年1-2次每季度每月每周從不23%27%6%8%完全有信心完全有信心非常有信心一般有信心不太有信心完全沒有信心不清楚拒絕回答32%37%3%6%?2024ISACA。版權所有。?2024ISACA。版權所有。17/2024年隱私實踐研究報告根據某些隱私法律法規(guī)，數(shù)據主體有權對個人主體請求處理個人數(shù)據的次數(shù)在去年有所增加，另有31%的受訪者表示該數(shù)據保持不變，6%的受訪許多從事隱私技術工作的專業(yè)人員通常不會應對數(shù)據主體請求或直接與客戶打交道，他隱私設計而非一種事后手段。企業(yè)需要定期進行隱私設踐，這能夠為合規(guī)工作提供支持。如果企業(yè)進受到的傷害可能會更小。69%的受訪者表示，其所在企業(yè)在開發(fā)新的應用程序和服務時有采取隱，，者表示不清楚。圖19顯示了受訪者所在企業(yè)實踐踐隱私設計的企業(yè)中，隱私員工人數(shù)的中位數(shù)為9。但去年在經常實踐隱私設計的企業(yè)中，隱私員工人數(shù)的中位數(shù)為19，明顯高于今年的調查結果。?更傾向于認為其董事會充分重視隱私問題29%23%34%4%?2024ISACA。版權所有。18/2024年隱私實踐研究報告在經常實踐隱私設計的企業(yè)中，受訪者更有可其企業(yè)的隱私團隊在確保數(shù)據隱私和遵守新隱私法律法規(guī)方面的能力完全或非常有信心（71%：43%但這也可能是一種虛假的信心。在過去一隱私意識培訓大多數(shù)受訪者表示其所在企業(yè)為員工提供了隱有9%的受訪者表示沒有進行過隱私意識培訓，這可能是小型隱私咨詢公司的經營者，團隊中每確保所有員工定期接受隱私培訓。大多數(shù)受訪者訪企業(yè)一樣，都有可能遭遇重大隱私泄露事件（兩（71%）表示隱私意識培訓對其所在企業(yè)的隱私意對于早已完成培訓的員工來說，每年都進行同培訓沒有任何價值。企業(yè)需要定期審查并修培訓內容，確保培訓內容緊跟行業(yè)發(fā)展態(tài)勢工提供有意義的信息。圖21顯示了企業(yè)審查并修近一半的受訪者（49%）指出，缺乏培訓或培訓效果不佳是常見的隱私失誤。在審查隱私意識培應當評估其有效性。隱私團隊應合理選擇用于每年每年在新員工培訓時每季度重大事件發(fā)生后無隱私培訓不清楚其他66%52%3%6%5%19/2024年隱私實踐研究報告每年每年新法律/法規(guī)出臺后每2-5年無隱私培訓不對隱私培訓內容進行修改23%60%9%3%5%僅僅依靠隱私事件數(shù)量和/或客戶投訴數(shù)量來評僅僅依靠隱私事件數(shù)量和/或客戶投訴數(shù)量來評估隱私培訓質量是一種被動方法，這種方法意味著已經發(fā)生了隱私事件或客戶隱私已經受到了傷僅僅依靠隱私事件數(shù)量和/或客戶投訴數(shù)量來評估示其所在企業(yè)沒有將兩者分開；6%的受訪者表示6%5%20%21%23%26%33%33%202422%28%23%6%5%20%21%23%26%33%33%202422%28%23%20/2024年隱私實踐研究報告隱私泄露比例與去年的調查結果持平。63%的受訪者表示其所在企業(yè)并未發(fā)生過重大隱私泄露事件，8%的受訪者拒絕回答，18%的受訪者表示不清楚。不清楚這一點揭示了泄露應對和數(shù)據分類相關的更并不清楚個人信息是否泄露，這意味著數(shù)據看法。盡管受訪者所在企業(yè)發(fā)生泄露事件的百與去年相同，今年只有18%的受訪者認為其所在企露事件的可能性。這可能意味著許多企業(yè)的隱私風險管理尚未成熟，也可能代表著隱私專業(yè)人員需要增加增加減少減少不變不變拒絕回答拒絕回答不清楚不清楚20232023有可能有可能一定概率一定概率不太可能不太可能不清楚拒絕回答拒絕回答?2024ISACA。版權所有。?2024ISACA。版權所有。21/2024年隱私實踐研究報告結論不能妥善保護客戶數(shù)據，將會失去客戶的青睞持。6侵犯隱私會損害企業(yè)聲譽并帶來巨額罰款，如果不保護數(shù)據隱私，企業(yè)就可能會失去消費盡管許多隱私保護團隊的資源有限，但ISACA在調查中發(fā)現(xiàn)了一些好消息：與過去相比，企業(yè)發(fā)生不足問題的隱私專業(yè)人員在2024年可能會遇到更但如果隱私專業(yè)人員能最大限度地發(fā)揮隱私計劃的center/docs/cisco-priva-cy-benchmark-study-2023.pdf?CCID=cc000160&DTID=esootr000515&OID=rpts?2024ISACA。版權所有。22/2024年隱私實踐研究報告致謝董事會FormerChairmanandChiefExecutiveOffSeniorVicePresidenOfficerforCustomerServices,OracleCoFormerChiefInformationSecurityOfficer,UnitedNationsOfficeforProjectServices(UNACD.DC