2024年隱私實踐研究報告-2024.02

1PRIVPRIVACAYCY

IINN

PRAPCRACTICTEICE

202342024

年隱私實踐研究報告?

2024ISACA。版權(quán)所有。隱私?

20224023

ISACAI.SACA.

AllAllRightsRightsReserReserved.ved.2

/

2024

年隱私實踐研究報告目錄34摘要執(zhí)行摘要4/主要發(fā)現(xiàn)46調(diào)查方法人員配置趨勢6/空缺隱私崗位7

/

資質(zhì)9/對隱私專業(yè)人員的需求10隱私運營10

/

協(xié)作11/隱私問責12/董事會與隱私13

/

資金14/人工智能15合規(guī)1718202122隱私設(shè)計隱私意識培訓隱私泄露結(jié)論致謝?

2024

ISACA。版權(quán)所有。3

/

2024

年隱私實踐研究報告摘要《2024年隱私實踐研究報告》報告了

ISACA2023年第四季度“全球隱私狀況調(diào)查”的結(jié)果，探討了隱私人員配置、隱私運營、合規(guī)性、意識培訓、隱私設(shè)計和隱私泄露等問題。雖然部分調(diào)查結(jié)果與去年的調(diào)查結(jié)果一致，但也有部分調(diào)查結(jié)果表明，隱私團隊在接下來一年的工作中要面對隱私預(yù)算縮減的挑戰(zhàn)。?

2024

ISACA。版權(quán)所有。4

/

2024

年隱私實踐研究報告執(zhí)行摘要??專家級隱私專業(yè)人員的招聘難度最高，這與去年的調(diào)查結(jié)果一致。《2024

年隱私實踐研究報告》基于

2023

年第四季度

ISACA

第四次全球“隱私狀況調(diào)查”的調(diào)查結(jié)果，探討了隱私人員配置、運營、合規(guī)、意識培訓、數(shù)據(jù)泄露和隱私設(shè)計等問題。貫徹隱私計劃最普遍的阻礙是缺乏有能力的隱私團隊和隱私專業(yè)人員；計劃分配的任務(wù)、角色和責任不明確；缺乏行政或業(yè)務(wù)支持；以及在企業(yè)內(nèi)部缺乏可見度和影響力。尊重數(shù)據(jù)主體并保護其隱私是數(shù)字信任的要點之一。此外，違反隱私法律法規(guī)可能會損害企業(yè)聲譽并帶來巨額罰款。隱私專業(yè)人員如果能優(yōu)化資源，將隱私與企業(yè)產(chǎn)品和服務(wù)緊密結(jié)合，就能獲得競爭優(yōu)勢并保護消費者。本報告探討了企業(yè)隱私相關(guān)問題的現(xiàn)狀。????最常見的隱私失敗問題是培訓不力或根本沒有培訓。與去年相比，今年的受訪者更傾向于認為在未來一年內(nèi)企業(yè)的隱私預(yù)算可能會減少。主要發(fā)現(xiàn)受訪者認為首席隱私官最有可能對隱私運營負責。今年的調(diào)查結(jié)果為企業(yè)提供了重要啟示：?與法律/合規(guī)職位相比，隱私技術(shù)職位的需求超過三分之一的受訪者表示，盡管人手不足且缺乏資金，但他們并不打算使用人工智能（AI）來處理隱私事務(wù)。在未來一年更有可能增長。?關(guān)于隱私在企業(yè)董事會和資金預(yù)算中的優(yōu)先級問題，受訪者的看法與去年相當。?

根據(jù)調(diào)查反饋，推行隱私設(shè)計的企業(yè)更有可能：?????在組織不同的職能部門中開展更多互動確保組織隱私戰(zhàn)略與其他組織目標一致對組織保護敏感數(shù)據(jù)隱私的能力充滿信心認為他們的隱私預(yù)算資金充足隱私專業(yè)人員如果能優(yōu)化資源，將隱私與企業(yè)產(chǎn)品和服務(wù)緊密結(jié)合，就能獲得競爭優(yōu)勢并保護消費者。分別進行隱私培訓與安全培訓調(diào)查方法2023

年第四季度，ISACA

向全球約

15500

名注冊數(shù)據(jù)隱私安全專家（CDPSE?）認證、網(wǎng)絡(luò)安全從業(yè)人員認證（CSX-P?）

或注冊信息安全經(jīng)理（CISM）認證的證書持有人或職務(wù)名稱中帶有“隱私”的

ISACA

成員發(fā)出了調(diào)查邀請。共有1300多名受訪者完成了調(diào)查。?

2024

ISACA。版權(quán)所有。5

/

2024

年隱私實踐研究報告圖1：受訪者信息主要行業(yè)工作經(jīng)驗?zāi)晗蘅偸杖?0%7%26%18%19%技術(shù)服務(wù)/咨詢19%17%21%13%12%18%金融/銀行1-516-2021-2525+6-1011-15少于5000

500萬-

1億-4.99

5億-9.99

大于10億政府/軍隊&國家/州/地方萬美元9900萬

億美元美元億美元

美元地區(qū)歐洲22%20%亞洲北美46%4%大洋洲拉丁美洲4%4%非洲組織的員工人數(shù)20%18%23%17%22%1-249名員工250-999

名1000-4999名員工5000-24999名員工25000

名員工員工或更多?

2024

ISACA。版權(quán)所有。6

/

2024

年隱私實踐研究報告其中部分受訪者還持有多個

ISACA

證書。39%的受訪者擔任管理職務(wù)，28%為企業(yè)高層領(lǐng)導(dǎo)，20%為普通員工，其余13%的受訪者擔任高管職務(wù)。圖1

展示了受訪者的其他信息。人員配置趨勢隱私專業(yè)人員主要分為兩類：法律/合規(guī)專業(yè)人員和隱私技術(shù)專業(yè)人員。法律/合規(guī)專業(yè)人員擁有法律方面的專業(yè)知識，能夠理解企業(yè)的監(jiān)管義務(wù)。隱私技術(shù)專業(yè)人員擁有評估和應(yīng)用技術(shù)控制的技能和經(jīng)驗，能夠幫助企業(yè)實現(xiàn)隱私目標。在一些企業(yè)中，這兩種專業(yè)人員在同一個團隊中并肩工作，但在另一些企業(yè)中，這兩種專業(yè)人員擔任不同的職位并向不同的高管匯報工作。的受訪者表示所在企業(yè)正在招聘隱私技術(shù)職位這一調(diào)查結(jié)果與預(yù)期的隱私預(yù)算縮減一致；在隱私預(yù)算預(yù)計會縮減的條件下，放緩招聘速度也是合情合理的。圖

2

顯示了法律/合規(guī)隱私職位的招聘周期；圖

3顯示了空缺隱私技術(shù)職位的招聘周期。相關(guān)數(shù)據(jù)與去年的調(diào)查結(jié)果相當。圖2：法律/合規(guī)隱私職位的招聘周期與法律/合規(guī)職位相比，隱私技術(shù)職位的人員配置似乎更加不足。54%

的受訪者表示隱私技術(shù)團隊的人員配置稍顯或明顯不足，而

44%

的受訪者表示法律/合規(guī)部門的人員配置稍顯或明顯不足。與法律/合規(guī)職位相比，隱私技術(shù)團隊的人員不足情況更為嚴重。在今年的調(diào)查中，企業(yè)隱私人員數(shù)量統(tǒng)計結(jié)果的中位數(shù)為

9

人，去年該數(shù)據(jù)為

10

人，因此今年人員不足的趨勢與去年的調(diào)查結(jié)果相同也就不足為奇了。招聘到一名合格的法律/合規(guī)隱私人員平均需要多長時間？2%11%20%23%25%3%16%<2周>6個月1–3個月3–6個月招不到人不清楚空缺隱私崗位不適用18%的受訪者表示，法律/合規(guī)職位的招聘周期略有或顯著增加，這與去年的調(diào)查結(jié)果相同。19%

的受訪者表示，空缺隱私技術(shù)職位的招聘周期有所增加。與去年的調(diào)查結(jié)果相比，這一比例有所下降，去年有

23%

的受訪者表示空缺隱私技術(shù)職位的招聘周期略有或顯著增加。許多受訪者表示其企業(yè)正在招聘隱私職位。25%

的受訪者表示他們的企業(yè)正在招聘法律/合規(guī)隱私職位，31%

的受訪者表示其企業(yè)正在招聘隱私技術(shù)職位。該數(shù)據(jù)與去年相比略有下降，去年有

27%的受訪者表示所在企業(yè)正在招聘法律/合規(guī)職位，34%?

2024

ISACA。版權(quán)所有。7

/

2024

年隱私實踐研究報告資質(zhì)圖3：空缺隱私技術(shù)職位的招聘周期填補空缺職位的一大挑戰(zhàn)是缺乏資質(zhì)合格的求職者。只有

21%的受訪者表示，在他們的企業(yè)中，半數(shù)以上的隱私職位求職者完全符合所申請職位（法律/合規(guī)職位和隱私技術(shù)職位）的要求。去年這一比例分別為

24%（法律/合規(guī)職位求職者）和

25%（隱私技術(shù)職位求職者）。招聘到一名合格的隱私技術(shù)人員平均需要多長時間？2%11%23%圖4列出了受訪者心目中隱私專業(yè)人員的五大技術(shù)短板。20%在今年的調(diào)查結(jié)果中，前兩項差距與去年的調(diào)查結(jié)果一致，但“技術(shù)專長”位列第三。49%的受訪者認為“技術(shù)專長”是隱私專業(yè)人員的一大技術(shù)差距，該數(shù)據(jù)與去年相比增加了

4%?！傲私馄髽I(yè)應(yīng)遵守的法律法規(guī)”在今年的排名中位列第四，與去年相比下降了一個排名。44%

的受訪者將其列為重大技術(shù)差距，該數(shù)據(jù)與去年相比下降了

2%。25%3%16%<2周>6個月招不到人不清楚1–3個月3–6個月上述調(diào)查結(jié)果可能預(yù)示著招聘經(jīng)理對隱私專業(yè)人員的期望發(fā)生了變化。他們可能明白，只有極少數(shù)求職者能夠在擁有技術(shù)專長的同時精通法律知識。他們可能不再致力于招聘全能型人才。此外，技術(shù)領(lǐng)域的快速發(fā)展也可能使“技術(shù)專長”成為更有價值的求職資質(zhì)。不適用圖4：受訪者指出的技術(shù)短板您認為當今的隱私專業(yè)人員在哪些方面的技術(shù)差距最大？不同類型技術(shù)和/或應(yīng)用程序的經(jīng)驗63%63%49%54%框架和/或控制經(jīng)驗技術(shù)專長49%45%44%46%了解組織應(yīng)遵守的法律法規(guī)41%38%IT運營知識和技能20242023?

2024

ISACA。版權(quán)所有。8

/

2024

年隱私實踐研究報告圖5展示了用于評估求職者資質(zhì)的各個要素的重要性（今年與去年的對比數(shù)據(jù)）。圖中數(shù)值為認為相關(guān)因素非?；虮容^重要的受訪者的百分比。盡管受訪者表示求職者最好有隱私工作經(jīng)驗，但現(xiàn)實情況是，許多從業(yè)人員是從其他領(lǐng)域轉(zhuǎn)入隱私行業(yè)的。44%

的受訪者表示，其所在企業(yè)半數(shù)以上的隱私人員最初是在完全不相干的領(lǐng)域工作，之后才過渡到隱私領(lǐng)域的。事實上，只有

18%的受訪者表示，其所在企業(yè)半數(shù)以上的隱私人員最初就在隱私領(lǐng)域工作。圖6列出了企業(yè)為縮小隱私技能差距而采取的解決方案，這與圖5所示的調(diào)查結(jié)果一致。圖5：評估求職者資格的各個要素的重要性在確定隱私職位求職者是否合格時，以下各項因素的重要性如何？95%96%合規(guī)/法律經(jīng)驗隱私工作的實踐經(jīng)驗94%96%93%92%所持證書技術(shù)經(jīng)驗93%93%82%81%完成隱私相關(guān)的實訓課程大學學位69%72%68%68%前雇主推薦20242023圖6：縮小隱私技能差距的措施貴司采取了以下哪些措施（如有）來幫助縮小隱私技能差距？開展培訓，讓有意于隱私工作的非隱私工作人員轉(zhuǎn)而擔任隱私職位50%聘用更多合同員工或外部顧問39%多采用基于績效的培訓來確保實際技能的掌握情況25%24%多利用證書來確保掌握特定領(lǐng)域的專業(yè)知識更加依賴人工智能或自動化18%17%學徒/實習制未采取任何措施不清楚13%10%3%組織不存在隱私技能差距問題其他

1%?

2024

ISACA。版權(quán)所有。9

/

2024

年隱私實踐研究報告訪者表示對法律/合規(guī)職位的需求預(yù)計將增加，而今年的受訪者則表示對法律/合規(guī)職位的需求預(yù)計將減少。69%

的受訪者表示，未來一年對隱私技術(shù)專業(yè)人員的需求將增加。對隱私專業(yè)人員的需求76%

的受訪者認為，隱私專家的招聘難度最高，其次是隱私從業(yè)人員（48%）和初級/基礎(chǔ)隱私專業(yè)人員（14%）。行業(yè)對隱私專業(yè)人員的需求不斷增長，留住人才也很困難，這些因素可能會在未來加劇企業(yè)隱私人員不足的問題。41%

的受訪者表示，其所在的企業(yè)在留住合格的隱私專業(yè)人員方面遇到了困難。預(yù)計未來一年對各類隱私專業(yè)人員的需求都將增加。圖

7

和圖

8

分別展示了未來一年對法律/合規(guī)隱私專業(yè)人員以及對隱私技術(shù)專業(yè)人員的預(yù)期需求。有別于去年的調(diào)查結(jié)果，今年的受訪者并不認為對隱私專業(yè)人員的需求會大幅增長。去年，62%

的受圖7：對法律/合規(guī)隱私職位的需求您認為未來一年對法律/合規(guī)隱私職位的需求是增加、減少還是保持不變？增加55%保持不變30%減少2%不清楚11%不適用

1%圖8：對隱私技術(shù)職位的需求您認為未來一年對隱私技術(shù)職位的需求是增加、減少還是保持不變？62%增加保持不變減少25%2%1%不清楚不適用10%預(yù)計未來一年對各類隱私專業(yè)人員的需求都將增加。?

2024

ISACA。版權(quán)所有。10

/

2024

年隱私實踐研究報告隱私運營令人擔憂的是，只有

34%的受訪者經(jīng)常與采購部門密切合作；同樣比例（34%）的受訪者經(jīng)常與產(chǎn)品/業(yè)務(wù)開發(fā)部門合作；而只有

23%的受訪者經(jīng)常與銷售、市場營銷和客戶關(guān)系部門合作。購買內(nèi)置強大隱私控制功能的技術(shù)對于保護數(shù)據(jù)主體來說至關(guān)重要。為企業(yè)產(chǎn)品和服務(wù)提供基本支持的技術(shù)必須能夠保護隱私。在不參與采購過程的前提下，隱私專業(yè)人員幾乎不可能推動隱私設(shè)計實踐。產(chǎn)品開發(fā)團隊可能會應(yīng)用欺騙性隱私實踐，但如果隱私專業(yè)人員與該部門密切合作，就能夠引導(dǎo)該部門，避免制造出與隱私目標不符的產(chǎn)品。與營銷團隊通常非常依賴數(shù)據(jù)來為營銷工作提供信息，隱私專業(yè)人員也可以引導(dǎo)營銷團隊，避免營銷團隊應(yīng)用欺騙性隱私實踐并防止他們過度追蹤消費者信息。隱私計劃只有在整個企業(yè)的支持下才能取得成功。隱私專業(yè)人員需要與企業(yè)幾乎所有的部門協(xié)作。企業(yè)高層定下的基調(diào)會影響企業(yè)的態(tài)度和隱私文化。如果企業(yè)的董事會并未充分重視隱私工作，也沒有為隱私工作提供所需的資源和資金，那么這些企業(yè)將很難實現(xiàn)其隱私目標并滿足合規(guī)要求。協(xié)作隱私專業(yè)人員必須定期與企業(yè)其他職能部門協(xié)作。圖9列出了必須與隱私專業(yè)人員協(xié)作的職能領(lǐng)域，同時還列出了表示經(jīng)?；蝾l繁與這些部門協(xié)作的受訪者的百分比。圖9：跨部門協(xié)作的隱私專業(yè)人員貴司的隱私團隊/隱私專業(yè)人員與以下領(lǐng)域的互動頻率如何？78%77%信息安全71%法律與合規(guī)68%64%63%風險管理62%61%IT運營和開發(fā)51%50%內(nèi)部審計36%人力資源37%34%采購34%產(chǎn)品/業(yè)務(wù)開發(fā)34%32%23%25%銷售、營銷和客戶關(guān)系23%23%財務(wù)22%23%公共和媒體關(guān)系20242023?

2024

ISACA。版權(quán)所有。11

/

2024

年隱私實踐研究報告隱私問責有

10%的受訪者表示首席隱私官承擔此責任。與首席隱私官相比，首席執(zhí)行官對隱私意義及其重要性的了解可能不夠深入，因此那些向首席執(zhí)行官匯報工作的隱私專業(yè)人員在爭取高層對隱私倡議的支持時可能面臨更多挑戰(zhàn)。根據(jù)企業(yè)的企業(yè)架構(gòu)以及高管的能力，統(tǒng)領(lǐng)企業(yè)隱私工作和隱私專業(yè)人員的負責人可能各不相同。圖10

列出了企業(yè)隱私工作的主要負責人。這些調(diào)查結(jié)果與

2023

年的調(diào)查結(jié)果一致。隱私專業(yè)人員要能夠依據(jù)隱私職能在企業(yè)中所處的位置判斷潛在的利益沖突。安全與隱私有時可能會發(fā)生沖突。例如，不可否認性的安全概念(即確保當事方無法事后否認原始數(shù)據(jù)，以及提供可由第三方驗證的數(shù)據(jù)完整性和數(shù)據(jù)來源的證明)可能與個人的私密通信權(quán)利(例如，通過匿名道德熱線進行溝通)相沖突。此外，隱私專業(yè)人員向法律部門報告工作本身就可能導(dǎo)致利益沖突，因為隱私部門側(cè)重于個人的權(quán)利，而法律部門側(cè)重于維護企業(yè)利益。企業(yè)規(guī)?？赡軙绊懫髽I(yè)隱私工作最終負責人的設(shè)立。在員工規(guī)模不超過

250

人的企業(yè)中，27%的受訪者表示首席執(zhí)行官（CEO）統(tǒng)領(lǐng)負責隱私事務(wù)。但在員工人數(shù)超過

2.5萬人的大型企業(yè)中，僅有

8%的受訪者表示首席執(zhí)行官承擔隱私事務(wù)的主要責任。在員工人數(shù)超過

2.5

萬人的大型企業(yè)中，32%的受訪者表示首席隱私官統(tǒng)領(lǐng)負責企業(yè)的隱私事務(wù)。相較之下，在員工規(guī)模不足

250

人的小型企業(yè)中，僅圖10：隱私問責誰是貴司隱私事務(wù)的主要負責人？21%首席隱私官首席信息官17%高管級別的安全主管（如CISO、CSO等）15%首席執(zhí)行官法務(wù)總監(jiān)/首席法務(wù)官首席合規(guī)官14%10%9%其他

5%不清楚4%董事會4%沒有專員負責隱私事務(wù)2%?

2024

ISACA。版權(quán)所有。12

/

2024

年隱私實踐研究報告董事會與隱私去年，只有

33%的受訪者表示其所在企業(yè)的董事會基于合規(guī)驅(qū)動的視角來看待隱私，今年該比例上升到了

44%。近期的執(zhí)法行動和新出臺的隱私法律法規(guī)可能導(dǎo)致企業(yè)優(yōu)先考慮合規(guī)問題。歐洲受訪者在調(diào)查中選擇“合規(guī)驅(qū)動”的比例較高，49%的受訪者表示其所在企業(yè)的董事會認為隱私事務(wù)是合規(guī)驅(qū)動的。考慮到《歐洲通用數(shù)據(jù)保護條例》（GDPR）的深遠影響，這一結(jié)果不足為奇。董事會對企業(yè)的隱私計劃影響重大。57%

的受訪者表示其所在企業(yè)的董事會充分重視隱私。與去年的調(diào)查結(jié)果（去年該比例為

55%）相比，這一比例略有上升。圖

11

展示了隱私事務(wù)對于董事會來說的優(yōu)先級。董事會可以通過多種方式來確定隱私計劃的優(yōu)先級。合規(guī)驅(qū)動型方法認為隱私是一項法規(guī)要求，而道德驅(qū)動型方法則不考慮適用的法律法規(guī)，優(yōu)先考慮隱私事務(wù)。一些企業(yè)可能會將隱私保護視為一種競爭優(yōu)勢，許多企業(yè)會結(jié)合多種方法來確定隱私事務(wù)的優(yōu)先級。圖

12

展示了董事會對隱私計劃的不同看法。74%

的受訪者表示其企業(yè)的隱私戰(zhàn)略與企業(yè)目標一致，11%的受訪者持相反意見，15%的受訪者表示不清楚。該比例與去年的調(diào)查結(jié)果相比略有上升，去年有

73%的受訪者表示其企業(yè)的隱私戰(zhàn)略與企業(yè)目標一致。圖11：隱私事務(wù)對董事會來說的優(yōu)先級圖12：董事會對隱私計劃的不同看法您認為貴司的董事會是否充分重視隱私問題？您認為貴司董事會將企業(yè)的隱私計劃視為：3%17%29%44%57%4%23%22%合規(guī)驅(qū)動道德驅(qū)動競爭優(yōu)勢是否不清楚不適用合規(guī)、道德和競爭優(yōu)勢的結(jié)合?

2024

ISACA。版權(quán)所有。13

/

2024

年隱私實踐研究報告資金圖13：隱私資金您認為貴司的隱私預(yù)算目前：董事會對隱私的重視程度以及企業(yè)對隱私的看法非常重要，因為這可能會影響企業(yè)員工對隱私計劃的認同以及隱私團隊可用的資源。圖

13

展示了受訪者對其所在企業(yè)隱私資金的看法。6%15%今年的調(diào)查結(jié)果顯示，43%的受訪者認為其所在企業(yè)的隱私預(yù)算不足，這與去年的調(diào)查結(jié)果基本一致，去年該比例為

42%。但與去年相比，受訪者對今年隱私預(yù)算前景所持的看法不太樂觀（見圖14）。36%近年來，隱私預(yù)算似乎一直在大幅縮減。兩年前，只有

8%的受訪者認為其所在企業(yè)的隱私預(yù)算會在未來一年內(nèi)縮減。出人意料的是，近年來監(jiān)管環(huán)境飛速變化，即便是在這種局勢下，隱私專業(yè)人員今年仍然認為其所在企業(yè)未來一年的隱私預(yù)算會縮減。這種現(xiàn)象尤其令人擔憂，因為在認為其所在企業(yè)隱私預(yù)算不足的受訪者中，有

63%的受訪者認為未來一年內(nèi)企業(yè)的隱私預(yù)算將進一步縮減。這代表著在未來一年，部分資源緊缺的隱私團隊將面臨更嚴峻的挑戰(zhàn)。43%資金過多資金充足資金不足不清楚圖14：未來一年內(nèi)的隱私預(yù)算貴司的隱私預(yù)算將在未來一年內(nèi)發(fā)生何種變化？202424%1%51%25%202334%35%27%28%12%2022202127%29%8%29%31%14%26%保持不變增加減少不清楚?

2024

ISACA。版權(quán)所有。14

/

2024

年隱私實踐研究報告本次調(diào)查結(jié)果顯示，只有

5%

的受訪者預(yù)計隱私預(yù)算會大幅縮減，46%的受訪者表示其所在企業(yè)的隱私預(yù)算可能會略有縮減，這在一定程度上緩解了對預(yù)算縮減的擔憂。企業(yè)隱私預(yù)算可能不會大幅縮減，但隱私專業(yè)人員應(yīng)準備好應(yīng)對隱私預(yù)算略有縮減的發(fā)展態(tài)勢。這一現(xiàn)象與全球經(jīng)濟發(fā)展趨勢一致。與2023

年相比，

2024

年全球經(jīng)濟增速預(yù)計將進一步放緩1。“2023

年網(wǎng)絡(luò)安全狀況”調(diào)查的結(jié)果表明，只有11%的受訪者預(yù)計其所在企業(yè)的網(wǎng)絡(luò)安全預(yù)算會減少

2。企業(yè)可能出于對大型泄密事件（如

LastPass泄密事件3）和勒索軟件的擔憂而不敢輕易縮減網(wǎng)絡(luò)安全預(yù)算。更糟的是，企業(yè)可能會將網(wǎng)絡(luò)安全和隱私視為一體，認為網(wǎng)絡(luò)安全專業(yè)人員會保護隱私，反之亦然。但經(jīng)濟衰退可能會對隱私造成嚴重影響：

ISACA人工智能圖15：使用人工智能的計劃盡管面臨人員不足和資金不足的挑戰(zhàn)，但大多數(shù)受訪者表示并未利用人工智能（AI）開展隱私工作。圖

15

展示了受訪者在隱私相關(guān)任務(wù)中使用人工智能的詳情。貴司計劃如何使用人工智能（機器人或機器學習）來執(zhí)行隱私相關(guān)事務(wù)？只有

8%的受訪者在隱私工作中使用人工智能，而去年該比例為

11%。在去年的調(diào)查中，20%

的受訪者表示，他們計劃在未來一年內(nèi)將人工智能引入企業(yè)隱私事務(wù)，但今年的調(diào)查結(jié)果表明這種情況并未發(fā)生。8%28%28%這種情況有些出乎意料，因為在

ISACA

最近的一項調(diào)查中，41%的受訪者表示其所在企業(yè)的員工正在使用生成式人工智能。4

據(jù)此分析，可能隱私專業(yè)人員沒有使用人工智能，但其所在企業(yè)的其他員工使用人工智能來輔助工作，且不涉及任何隱私相關(guān)的事務(wù)。36%我們目前正在使用人工智能來處理隱私事務(wù)我們不打算使用人工智能來處理隱私事務(wù)我們計劃在未來一年內(nèi)使用人工智能來處理隱私事務(wù)不清楚1

經(jīng)濟合作與發(fā)展組織（經(jīng)合組織），“應(yīng)對通貨膨脹和低增長”，《經(jīng)合組織經(jīng)濟展望：2023

年9

月中期報告》，/economic-outlook/september-2023/23ISACA，《2023年網(wǎng)絡(luò)安全狀況：勞動力、資源和網(wǎng)絡(luò)運營的全球最新發(fā)展態(tài)勢》，美國，2023

年，/resources/reports/state-of-cybersecurity-2023Winder，D.；“在黑客攻擊方法升級后，您應(yīng)該停止使用LastPass的原因”，《福布斯》，2023

年3

月3

日，/sites/daveywinder/2023/03/03/why-you-should-stop-using-lastpass-after-new-hack-method-update/?sh=4c06e06928fc4ISACA,“生成式人工智能：風險、機遇與前景”，2023

年10

月25

日，/resources/infographics/genera-tive-ai-2023-an-isaca-pulse-poll-infographic?

2024

ISACA。版權(quán)所有。15

/

2024

年隱私實踐研究報告企業(yè)不愿使用人工智能具有一定的積極意義：受訪者可能明白，人工智能不是應(yīng)對隱私挑戰(zhàn)的萬能鑰匙。收入較低、員工規(guī)模較小的企業(yè)使用人工智能的可能性要小得多。在營收低于

5000

萬美元的企業(yè)中，有

48%的受訪者表示不打算應(yīng)用人工智能來處理隱私相關(guān)事務(wù)。而在營收超過

10

億美元的大型企業(yè)中，這一比例僅為

24%。在員工規(guī)模少于250

人的企業(yè)中，有

49%的受訪者表示不打算應(yīng)用人工智能來處理隱私相關(guān)事務(wù)，而在員工規(guī)模超過25000

人的企業(yè)中，這一比例僅為

23%。這些調(diào)查結(jié)果表明，小型企業(yè)明白，實現(xiàn)對人工智能的有效管理需要耗費額外的治理和資源，將人工智能用于隱私相關(guān)事務(wù)可能會進一步加重員工的工作負擔。隱私專業(yè)人員似乎大都明白，人工智能可能會帶來與隱私相關(guān)的風險。例如，如果人工智能平臺需要輸入信息才能完成訓練并產(chǎn)出成果，那么輸入的個人信息可能會影響未來的結(jié)果，從而會侵犯隱私。在對企業(yè)的數(shù)據(jù)隱私能力完全沒有信心的受訪者中，有

45%表示不打算應(yīng)用人工智能來處理隱私事務(wù)。而在對企業(yè)的數(shù)據(jù)隱私能力不太有信心的受訪者中，有

53%表示不打算應(yīng)用人工智能來處理隱私事務(wù)。這表明，隱私專業(yè)人員了解人工智能的相關(guān)風險，在擁有成熟的隱私計劃之前，使用人工智能來處理隱私事務(wù)的相關(guān)風險大于收益。合規(guī)圖16列出了最常用的五大隱私管理框架和法規(guī)。迄今為止，國際上已頒布了

160

多部隱私法。5

由于現(xiàn)行的隱私法律法規(guī)眾多，隱私團隊常常為了履行合規(guī)相關(guān)義務(wù)而殫精竭慮。使用框架或法律法規(guī)來管理隱私可以幫助企業(yè)確立明確的目標。78%的受訪者表示其所在企業(yè)使用框架或法律/法規(guī)來管理企業(yè)隱私。用于管理隱私的框架和法規(guī)存在地區(qū)差異。例如，78%的歐洲受訪者使用

GDPR，61%的北美受訪者使用NIST

隱私框架。圖16：用于管理隱私的框架和法規(guī)貴司使用哪些框架/法規(guī)來管理隱私？《通用數(shù)據(jù)保護條例》（GDPR）2016/67953%美國國家標準與技術(shù)研究院（NIST）隱私框架44%ISO/IEC27002:2013

《信息技術(shù)--安全技術(shù)—信息安全控制實用規(guī)則》35%30%ISO/IEC27701COBIT27%5Greenleaf,G.；《2023年全球數(shù)據(jù)隱私法：162項國家法律和20項法案》，《181隱私法和商業(yè)國際報告》（PLBIR），1，2-4，2023

年5

月3

日，/sol3/papers.cfm?abstract_id=4426146#:~:text=The%20Tables%20which%20document%20the-se,the%20total%20to%20162%20globally。?

2024

ISACA。版權(quán)所有。16

/

2024

年隱私實踐研究報告隱私技術(shù)專業(yè)人員必須與法律/合規(guī)團隊密切合作以了解其監(jiān)管義務(wù)。圖

17

展示了隱私技術(shù)專業(yè)人員與法律/合規(guī)專業(yè)人員會面的頻率。??數(shù)據(jù)丟失防護（67%）事件響應(yīng)計劃（63%）鑒于企業(yè)需要遵守的隱私法律法規(guī)眾多，一些隱私專業(yè)人員往往在遵守新的隱私法律法規(guī)方面舉步維艱，甚至懷疑自身保護數(shù)據(jù)隱私的能力。圖

18

顯示了受訪者對自身合規(guī)能力的信心。部分隱私專業(yè)人員只在新的隱私法律法規(guī)出臺時才與法律/合規(guī)團隊會面，這部分專業(yè)人員應(yīng)當考慮定期與法律/合規(guī)團隊會面，否則執(zhí)法行動或與數(shù)據(jù)傳輸相關(guān)的資源（如歐盟-美國數(shù)據(jù)隱私框架）會喪失一定的時效性，這會嚴重影響企業(yè)的日常運營。此外，定期會面能夠促進隱私技術(shù)專業(yè)人員與法律從業(yè)人員之間的溝通，有利于評估現(xiàn)有的隱私控制措施是否與企業(yè)隱私義務(wù)一致。圖

17：隱私技術(shù)專業(yè)人員與法律/合規(guī)專業(yè)人員之間的會面頻率隱私技術(shù)專業(yè)人員多久與法律/合規(guī)專業(yè)人員會面一次以了解法律和監(jiān)管要求？許多企業(yè)的目標不僅僅是實現(xiàn)合規(guī)，他們還在法律法規(guī)要求之外采取額外的隱私控制措施，例如對所有數(shù)據(jù)主體（無論其身處何地）都采用GDPR

要求。據(jù)調(diào)查結(jié)果顯示，受訪者所在企業(yè)最常用的五大控制措施為：6%17%23%8%?身份和訪問管理（74%）19%?

加密（73%）27%?數(shù)據(jù)安全（72%）從不每月每周每年1-2次新的隱私法律/法規(guī)出臺時每季度圖18：實現(xiàn)合規(guī)的信心您對貴司隱私團隊確保數(shù)據(jù)隱私和遵守新隱私法律法規(guī)的能力有多大信心？完全有信心非常有信心一般有信心不太有信心11%32%37%10%3%6%1%完全沒有信心不清楚拒絕回答?

2024

ISACA。版權(quán)所有。17

/

2024

年隱私實踐研究報告根據(jù)某些隱私法律法規(guī)，數(shù)據(jù)主體有權(quán)對個人數(shù)據(jù)進行訪問、刪除或轉(zhuǎn)移。31%的受訪者表示，數(shù)據(jù)主體請求處理個人數(shù)據(jù)的次數(shù)在去年有所增加，另有

31%的受訪者表示該數(shù)據(jù)保持不變，6%的受訪者表示有所減少，33%的受訪者表示不清楚。盡管不清楚數(shù)據(jù)主體請求的受訪者比例很高，但許多從事隱私技術(shù)工作的專業(yè)人員通常不會直接應(yīng)對數(shù)據(jù)主體請求或直接與客戶打交道，他們常在后端工作，確保部署必要的技術(shù)來滿足數(shù)據(jù)主體的請求。隱私設(shè)計隱私設(shè)計需要將隱私保護要求嵌入企業(yè)系統(tǒng)工程的全流程。該方法要求將隱私作為一種基礎(chǔ)性功能，而非一種事后手段。企業(yè)需要定期進行隱私設(shè)計實踐，這能夠為合規(guī)工作提供支持。如果企業(yè)進行了隱私設(shè)計實踐，在發(fā)生隱私泄露事件時，數(shù)據(jù)主體受到的傷害可能會更小。69%的受訪者表示，其所在企業(yè)在開發(fā)新的應(yīng)用程序和服務(wù)時有采取隱私設(shè)計實踐，17%的受訪者持相反意見，，14%的受訪者表示不清楚。圖

19

顯示了受訪者所在企業(yè)實踐隱私設(shè)計的頻率。???更傾向于認為其隱私技術(shù)部門的人員配置得當（42%：34%）更傾向于認為其董事會充分重視隱私問題（77%：57%）董事會將隱私計劃視為純粹合規(guī)驅(qū)動的可能性較低（35%：44%）圖19：實踐隱私設(shè)計的頻率貴司實踐隱私設(shè)計的頻率？與前幾年的調(diào)查結(jié)果一致，那些經(jīng)常實踐隱私設(shè)計的企業(yè)往往擁有更多的可用資源。例如，在經(jīng)常實踐隱私設(shè)計的企業(yè)中，隱私員工人數(shù)的中位數(shù)為15，而在所有受訪企業(yè)中隱私員工人數(shù)的中位數(shù)為9。但去年在經(jīng)常實踐隱私設(shè)計的企業(yè)中，隱私員工人數(shù)的中位數(shù)為

19，明顯高于今年的調(diào)查結(jié)果。4%10%29%23%相較于受訪企業(yè)的整體情況，那些經(jīng)常實踐隱私設(shè)計的受訪企業(yè)還表現(xiàn)出一些其他趨勢：34%一直經(jīng)常有時很少從不?

2024

ISACA。版權(quán)所有。18

/

2024

年隱私實踐研究報告?更傾向于認為其隱私預(yù)算充足（50%：36%）訪企業(yè)一樣，都有可能遭遇重大隱私泄露事件（兩者均為

11%）。當務(wù)之急是讓那些堅持隱私設(shè)計實踐的企業(yè)明白，實踐隱私設(shè)計并不能完全規(guī)避隱私泄露的風險。在經(jīng)常實踐隱私設(shè)計的企業(yè)中，受訪者更有可能對其企業(yè)的隱私團隊在確保數(shù)據(jù)隱私和遵守新隱私法律法規(guī)方面的能力完全或非常有信心

（71%：43%），但這也可能是一種虛假的信心。在過去一年中，那些堅持隱私設(shè)計實踐的企業(yè)與所有其他受（71%）表示隱私意識培訓對其所在企業(yè)的隱私意隱私意識培訓識有積極影響。每個員工都可能會造成隱私泄露，因此全體員工都必須完成隱私意識培訓。調(diào)查結(jié)果與該觀點一致，大多數(shù)受訪者表示其所在企業(yè)為員工提供了隱私意識培訓（86%）。圖

20

顯示了受訪者所在企業(yè)進行隱私意識培訓的頻率，相關(guān)數(shù)據(jù)與去年的調(diào)查結(jié)果相當。對于早已完成培訓的員工來說，每年都進行同樣的培訓沒有任何價值。企業(yè)需要定期審查并修改隱私培訓內(nèi)容，確保培訓內(nèi)容緊跟行業(yè)發(fā)展態(tài)勢，為員工提供有意義的信息。圖

21

顯示了企業(yè)審查并修改隱私培訓內(nèi)容的頻率。有

9%的受訪者表示沒有進行過隱私意識培訓，這讓人稍感擔憂，但這些受訪者可能是獨立顧問，也可能是小型隱私咨詢公司的經(jīng)營者，團隊中每個員工都是隱私專家。盡管如此，即使是微型企業(yè)也應(yīng)確保所有員工定期接受隱私培訓。大多數(shù)受訪者近一半的受訪者（49%）指出，缺乏培訓或培訓效果不佳是常見的隱私失誤。在審查隱私意識培訓時應(yīng)當評估其有效性。隱私團隊應(yīng)合理選擇用于評估培訓效果的指標并緊跟行業(yè)發(fā)展態(tài)勢。圖20：隱私意識培訓的頻率貴司會在什么時候提供隱私培訓？每年66%在新員工培訓時52%每季度18%重大事件發(fā)生后無隱私培訓17%6%3%不清楚

5%其他?

2024

ISACA。版權(quán)所有。19

/

2024

年隱私實踐研究報告圖21：審查并修改隱私意識培訓內(nèi)容貴司審查并修改隱私意識培訓內(nèi)容的頻率？60%每年新法律/法規(guī)出臺后23%每2-5年9%無隱私培訓

5%3%不對隱私培訓內(nèi)容進行修改受訪者用于評估其所在企業(yè)隱私培訓計劃的指標、包括：?

完成隱私培訓的員工人數(shù)：65%僅僅依靠隱私事件數(shù)量和/或客戶投訴數(shù)量來評估隱私培訓質(zhì)量是一種被動方法，這種方法意味著已經(jīng)發(fā)生了隱私事件或客戶隱私已經(jīng)受到了傷害，因此企業(yè)應(yīng)當對這種方法保持警惕。?隱私事件數(shù)量：56%?

客戶隱私投訴數(shù)量：37%培訓前后評估比較：23%?僅僅依靠隱私事件數(shù)量和/或客戶投訴數(shù)量來評估隱私培訓質(zhì)量是一種被動方法，這種方法意味著已經(jīng)發(fā)生了隱私事件或客戶隱私已經(jīng)受到了傷害，因此企業(yè)應(yīng)當對這種方法保持警惕。在損害造成后再修改隱私培訓內(nèi)容很可能已無法挽回消費者的信任。追蹤已完成隱私意識培訓的員工數(shù)量是一種有效的方法，但這種方法并不能讓我們深入了解員工是否學到了什么、是否覺得培訓有用，以及能否更好地貫徹隱私目標。培訓前和培訓后評估（哪怕只是在培訓前后問幾道選擇判斷題）能幫助企業(yè)更好地了解隱私培訓的質(zhì)量。一些企業(yè)并未將隱私意識培訓和安全意識培訓分開進行。雖然這也是可行的，但有些企業(yè)會將隱私和安全混為一談。重要的是，如果將隱私意識培訓和安全意識培訓結(jié)合起來，那么隱私和安全的相關(guān)信息都要涵蓋在內(nèi)。60%的受訪者表示其所在企業(yè)分別進行隱私意識培訓和安全培訓；29%的受訪者表示其所在企業(yè)沒有將兩者分開；6%的受訪者表示不清楚。（5%的受訪企業(yè)不提供隱私意識培訓）。?

2024

ISACA。版權(quán)所有。20

/

2024

年隱私實踐研究報告隱私泄露受訪者關(guān)于隱私泄露的看法與去年的調(diào)查結(jié)果一致。根據(jù)今年的調(diào)查結(jié)果，11%的受訪者表示其所在企業(yè)在過去

12

個月中遭遇了重大隱私泄露事件，該比例與去年的調(diào)查結(jié)果持平。63%的受訪者表示其所在企業(yè)并未發(fā)生過重大隱私泄露事件，8%的受訪者拒絕回答，18%的受訪者表示不清楚。不清楚企業(yè)是否發(fā)生過隱私泄露事件的受訪者比例很高，這一點揭示了泄露應(yīng)對和數(shù)據(jù)分類相關(guān)的更廣泛的問題。一些企業(yè)可能知道發(fā)生了信息泄露事件，但并不清楚個人信息是否泄露，這意味著數(shù)據(jù)分類工作需要改進。圖

22

顯示了受訪者對今年與去年隱私泄露事件的看法。盡管受訪者所在企業(yè)發(fā)生泄露事件的百分比與去年相同，今年只有

18%的受訪者認為其所在企業(yè)發(fā)生數(shù)據(jù)泄露事件的頻率與去年相同。如圖

23

所示，針對未來一年發(fā)生重大隱私泄露事件的可能性，受訪者們持有不同的看法。令人擔憂的是，近四分之一的受訪者表示不清楚發(fā)生隱私泄露事件的可能性。這可能意味著許多企業(yè)的隱私風險管理尚未成熟，也可能代表著隱私專業(yè)人員需要進一步深入了解隱私泄露的構(gòu)成。圖22：隱私泄露趨勢比較與去年相比，貴司重大隱私泄露事件發(fā)生的頻次是否增加或減少？6%增加5%20%減少16%18%不變21%23%拒絕回答26%33%不清楚33%20242023圖23：未來一年發(fā)生隱私泄露事件的可能性貴司未來一年發(fā)生重大隱私泄露事件的可能性有多大？有可能16%一定概率22%28%不太可能不清楚23%拒U絕nli回k

e答ly11%?

2024

ISACA。版權(quán)所有。21

/

2024

年隱私實踐研究報告結(jié)論盡管許多隱私保護團隊的資源有限，但

ISACA

在調(diào)查中發(fā)現(xiàn)了一些好消息：與過去相比，企業(yè)發(fā)生隱私泄露事件的次數(shù)并未增加。但與去年相比，今年企業(yè)的隱私團隊規(guī)模有所縮小。預(yù)計在未來企業(yè)隱私預(yù)算會進一步縮減，因此目前團隊已存在預(yù)算不足問題的隱私專業(yè)人員在

2024

年可能會遇到更多的預(yù)算問題。盡管隱私預(yù)算預(yù)期將進一步縮減，但如果隱私專業(yè)人員能最大限度地發(fā)揮隱私計劃的作用，就能夠?qū)崿F(xiàn)企業(yè)的隱私目標。隱私法律法規(guī)已迫使許多企業(yè)將隱私保護置于優(yōu)先地位，并擴大了與隱私相關(guān)的職能部門。消費者對隱私問題的關(guān)注度日益提高，許多企業(yè)認為，如果不能妥善保護客戶數(shù)據(jù)，將會失去客戶的青睞和支持。6

侵犯隱私會損害企業(yè)聲譽并帶來巨額罰款，如果不保護數(shù)據(jù)隱私，企業(yè)就可能會失去消費者的信任。6CISCO，《隱私日漸增長的重要性及影響》，2023，/c/dam/en_us/about/doing_business/trust-center/docs/cisco-priva-cy-benchmark-study-2023.pdf?CCID=cc000160&DTID=esootr000515&OID=rptsc030828?

2024

ISACA。版權(quán)所有。22

/

2024

年隱私實踐研究報告致謝ISACA

在此致謝：董事會JohnDeSantis,ChairPamelaNigroFormer

Chairman

and

Chief

Executive

Officer,HyTrust,Inc.,USAISACA

BoardChair2022-2023CISA,CGEIT,

CRISC,CDPSE,CRMAVice

President,Security,Medecision,USAGregoryTouhillBrennanP.

Baybeck,

Vice-ChairCISA,CISM,CRISC,CISSPSenior

Vice

President

and

Chief

Information

SecurityOfficer

for

Customer

Services,

Oracle

Corporation,USAISACA

BoardChair2021-2022CISM,CISSPDirector,

CERT

Center,

Carnegie

Mellon

University,USAStephenGilfusManaging

Director,

Oversight

Ventures

LLC,Chairman,

Gilfus

Education

Group

and

Founder,BlackboardInc.,USATracey

DedrickISACA

BoardChair,

2020-2021