11PRIVPRIVACYACYININPRACPRACTICETICE22002243 ©©20242023ISACA.ISACA.AllAll RightsRightsReserReserved.ved. 2024年隐私实践研究报告 ©2024ISACA。版权所有。 隐私 目录 3摘要 4执行摘要 4/主要发现 4调查方法 6人员配置趋势 6/空缺隐私岗位 7/资质 9/对隐私专业人员的需求 10隐私运营 10/协作 11/隐私问责 12/董事会与隐私 13/资金 14/人工智能 15合规 17隐私设计 18隐私意识培训 20隐私泄露 21结论 22致谢 摘要 《2024年隐私实践研究报告》报告了ISACA2023年第四季度“全球隐私状况调查”的结果,探讨了隐私人员配置、隐私运营、合规性、意识培训、隐私设计和隐私泄露等问题。虽然部分调查结果与去年的调查结果一致,但也有部分调查结果表明,隐私团队在接下来一年的工作中要面对隐私预算缩减的挑战。 执行摘要 《2024年隐私实践研究报告》基于2023年第四季度ISACA第四次全球“隐私状况调查”的调查结果,探讨了隐私人员配置、运营、合规、意识培训、数据泄露和隐私设计等问题。 尊重数据主体并保护其隐私是数字信任的要点之一。此外,违反隐私法律法规可能会损害企业声誉并带来巨额罚款。隐私专业人员如果能优化资源,将隐私与企业产品和服务紧密结合,就能获得竞争优势并保护消费者。本报告探讨了企业隐私相关问题的现状。 主要发现 今年的调查结果为企业提供了重要启示: •与法律/合规职位相比,隐私技术职位的需求在未来一年更有可能增长。 •关于隐私在企业董事会和资金预算中的优先级问题,受访者的看法与去年相当。 隐私专业人员如果能优化资源,将隐私与企业产品和服务紧密结合,就能获得竞争优势并保护消费者。 •专家级隐私专业人员的招聘难度最高,这与去年的调查结果一致。 •贯彻隐私计划最普遍的阻碍是缺乏有能力的隐私团队和隐私专业人员;计划分配的任务、角色和责任不明确;缺乏行政或业务支持;以及在企业内部缺乏可见度和影响力。 •最常见的隐私失败问题是培训不力或根本没有培训。 •与去年相比,今年的受访者更倾向于认为在未来一年内企业的隐私预算可能会减少。 •受访者认为首席隐私官最有可能对隐私运营负责。 •超过三分之一的受访者表示,尽管人手不足且缺乏资金,但他们并不打算使用人工智能 (AI)来处理隐私事务。 •根据调查反馈,推行隐私设计的企业更有可能: •在组织不同的职能部门中开展更多互动 •确保组织隐私战略与其他组织目标一致 •对组织保护敏感数据隐私的能力充满信心 •认为他们的隐私预算资金充足 •分别进行隐私培训与安全培训 调查方法 2023年第四季度,ISACA向全球约15500名注册数据隐私安全专家(CDPSE™)认证、网络安全从业人员认证(CSX-P™)或注册信息安全经理 (CISM)认证的证书持有人或职务名称中带有“隐私”的ISACA成员发出了调查邀请。共有1300多名受访者完成了调查。 主要行业工作经验年限 总收入 30% 7% 18% 26% 19% 19% 17% 21% 13% 12% 18% 1-5 16-20 21-25 少于5000500万-1亿-4.995亿-9.99 11-15 25+ 万美元 9900万亿美元 美元 亿美元 大于10亿美元 政府/军队&国家/州/地方 6-10 金融/银行 技术服务/咨询 22% 20% 46% 4% 4% 4% 非洲 拉丁美洲 大洋洲 北美 亚洲 欧洲 地区 图1:受访者信息 20% 18% 23% 17% 22% 5000-24999 名员工 1000-4999 名员工 250-999名 员工 1-249名 员工 25000名 员工或更多 组织的员工人数 其中部分受访者还持有多个ISACA证书。39%的受访者担任管理职务,28%为企业高层领导,20% 为普通员工,其余13%的受访者担任高管职务。图 1展示了受访者的其他信息。 人员配置趋势 隐私专业人员主要分为两类:法律/合规专业人员和隐私技术专业人员。法律/合规专业人员拥有法律方面的专业知识,能够理解企业的监管义务。隐私技术专业人员拥有评估和应用技术控制的技能和经验,能够帮助企业实现隐私目标。在一些企业中,这两种专业人员在同一个团队中并肩工作,但在另一些企业中,这两种专业人员担任不同的职位并向不同的高管汇报工作。 与法律/合规职位相比,隐私技术职位的人员配置似乎更加不足。54%的受访者表示隐私技术团队的人员配置稍显或明显不足,而44%的受访者表示法律/合规部门的人员配置稍显或明显不足。与法律/合规职位相比,隐私技术团队的人员不足情况更为严重。在今年的调查中,企业隐私人员数量统计结果的中位数为9人,去年该数据为10人,因此今年人员不足的趋势与去年的调查结果相同也就不足为奇了。 空缺隐私岗位 许多受访者表示其企业正在招聘隐私职位。25%的受访者表示他们的企业正在招聘法律/合规隐私职位,31%的受访者表示其企业正在招聘隐私技术职位。该数据与去年相比略有下降,去年有27%的受访者表示所在企业正在招聘法律/合规职位,34% 的受访者表示所在企业正在招聘隐私技术职位这一调查结果与预期的隐私预算缩减一致;在隐私预算预计会缩减的条件下,放缓招聘速度也是合情合理的。 图2显示了法律/合规隐私职位的招聘周期;图3显示了空缺隐私技术职位的招聘周期。相关数据与去年的调查结果相当。 图2:法律/合规隐私职位的招聘周期 招聘到一名合格的法律/合规隐私人员平均需要多长时间? 2% 11% 20% 23% 25% 3% 16% <2周 >6个月 1–3个月 招不到人 3–6个月 不清楚 不适用 18%的受访者表示,法律/合规职位的招聘周期略有或显著增加,这与去年的调查结果相同。19%的受访者表示,空缺隐私技术职位的招聘周期有所增加。与去年的调查结果相比,这一比例有所下降,去年有23%的受访者表示空缺隐私技术职位的招聘周期略有或显著增加。 图3:空缺隐私技术职位的招聘周期 招聘到一名合格的隐私技术人员平均需要多长时间? 2% 11% 23% 20% 3% 25% 16% <2周 >6个月 1–3个月 招不到人 3–6个月 不清楚 不适用 资质 填补空缺职位的一大挑战是缺乏资质合格的求职者。只有21%的受访者表示,在他们的企业中,半数以上的隐私职位求职者完全符合所申请职位(法律/合规职位和隐私技术职位)的要求。去年这一比例分别为24%(法律/合规职位求职者)和25%(隐私技术职位求职者)。 图4列出了受访者心目中隐私专业人员的五大技术短板。 在今年的调查结果中,前两项差距与去年的调查结果一致,但“技术专长”位列第三。49%的受访者认为“技术专长”是隐私专业人员的一大技术差距,该数据与去年相比增加了4%。“了解企业应遵守的法律法规”在今年的排名中位列第四,与去年相比下降了一个排名。44%的受访者将其列为重大技术差距,该数据与去年相比下降了2%。 上述调查结果可能预示着招聘经理对隐私专业人员的期望发生了变化。他们可能明白,只有极少数求职者能够在拥有技术专长的同时精通法律知识。他们可能不再致力于招聘全能型人才。此外,技术领域的快速发展也可能使“技术专长”成为更有价值的求职资质。 图4:受访者指出的技术短板 您认为当今的隐私专业人员在哪些方面的技术差距最大? 不同类型技术 和/或应用程序的经验 63% 63% 49% 54% 49% 45% 44% 46% IT运营知识和技能 41% 38% 2024 2023 了解组织应遵守的法律法规 技术专长 框架和/或控制经验 图5展示了用于评估求职者资质的各个要素的重要性(今年与去年的对比数据)。图中数值为认为相关因素非常或比较重要的受访者的百分比。尽管受访者表示求职者最好有隐私工作经验,但现实情况是,许多从业人员是从其他领域转入隐私行业的。44%的受访者表示,其所在企业半数以上的隐私人员最初是在完全不相干的领域工作,之后才过渡到 隐私领域的。事实上,只有18%的受访者表示,其所在企业半数以上的隐私人员最初就在隐私领域工作。 图6列出了企业为缩小隐私技能差距而采取的解决 方案,这与图5所示的调查结果一致。 图5:评估求职者资格的各个要素的重要性 95% 96% 94% 96% 所持证书 93% 92% 93% 93% 82% 81% 69% 72% 68% 68% 2024 2023 隐私工作的实践经验 合规/法律经验 在确定隐私职位求职者是否合格时,以下各项因素的重要性如何? 技术经验完成隐私相关的实训课程大学学位前雇主推荐 图6:缩小隐私技能差距的措施 贵司采取了以下哪些措施(如有)来帮助缩小隐私技能差距? 开展培训,让有意于隐私工作的非隐私工 作人员转而担任隐私职位 50% 聘用更多合同员工或外部顾问 39% 多采用基于绩效的培训来确保实际技能的 掌握情况 25% 多利用证书来确保掌握特定领域的专业知识 24% 更加依赖人工智能或自动化 18% 学徒/实习制 17% 未采取任何措施 13% 不清楚10% 组织不存在隐私技能差距问题3% 其他1% 对隐私专业人员的需求 76%的受访者认为,隐私专家的招聘难度最高,其次是隐私从业人员(48%)和初级/基础隐私专业人员(14%)。 预计未来一年对各类隐私专业人员的需求都将增加。图7和图8分别展示了未来一年对法律/合规隐私专业人员以及对隐私技术专业人员的预期需求。 有别于去年的调查结果,今年的受访者并不认为对隐私专业人员的需求会大幅增长。去年,62%的受 访者表示对法律/合规职位的需求预计将增加,而今年的受访者则表示对法律/合规职位的需求预计将减少。69%的受访者表示,未来一年对隐私技术专业人员的需求将增加。 行业对隐私专业人员的需求不断增长,留住人才也很困难,这些因素可能会在未来加剧企业隐私人员不足的问题。41%的受访者表示,其所在的企业在留住合格的隐私专业人员方面遇到了困难。 图7:对法律/合规隐私职位的需求 您认为未来一年对法律/合规隐私职位的需求是增加、减少还是保持不变? 增加 55% 保持不变 30% 减少2% 不清楚 11% 不适用1% 图8:对隐私技术职位的需求 您认为未来一年对隐私技术职位的需求是增加、减少还是保持不变? 增加 62% 保持不变 25% 减少2% 不清楚 10% 不适用1% 预计未来一年对各类隐私专业人员的需求都将增加。 隐私运营 隐私计划只有在整个企业的支持下才能取得成功。隐私专业人员需要与企业几乎所有的部门协作。企业高层定下的基调会影响企业的态度和隐私文化。如果企业的董事会并未充分重视隐私工作,也没有为隐私工作提供所需的资源和资金,那么这些企业将很难实现其隐私目标并满足合规要求。 协作 隐私专业人员必须定期与企业其他职能部门协作。图9列出了必须与隐私专业人员协作的职能领域,同时还列出了表示经常或频繁与这些部门协作的受访者的百分比。 令人担忧的是,只有34%的受访者经常与采购部门 密切合作;同样比例(34%)的受访者经常与产品 /业务开发部门合作;而只有23%的受访者经常与销售、市场营销和客户关系部门合作。购买内置强大隐私控制功能的技术对于保护数据主体来说至关重要。为企业产品和服务提供基本支持的技术必须能够保护隐私。在不参与采购过程的前提下,隐私专业人员几乎不可能推动隐私设计实践。产品开发团队可能会应用欺骗性隐私实践,但如果隐私专业人员与该部门密切合作,就能够引导该部门,避免制造出与隐私目标不符的产品。与营销团队通常非常依赖数据来为营销工作提供信息,隐私专业人员也可以引导营销团队,避免营销团队应用欺骗性隐私实践并防止他们过度追踪消费者信息。 图9:跨部门协作的隐私专业人员 贵司的隐私团队/隐私专业人员与以下领域的互动频率如何?