2023年度隐私实践研究报告【英译中】

隐私在实践中2023NTENTS3摘要4执行概要/重要发现4调查方法6隐私的人员10隐私的预算10隐私程序趋势16隐私框架、法律法规16侵犯隐私和失败8隐私设计未来的隐私20结论21致谢隐私在实践中2023摘要隐私在实践中2023A•与法律/合规隐私角色相比，技术隐私角色可能出现或严重不足角色在明年的需求增加的可职位候选人是否合格的最重要因素。律/合规隐私专业人员的需•隐私团队最常与信息安全、法律/合规和风险管理团队互•团队有充分配备隐私•相信他们的董事会适当地优先考虑企业隐私•要求记录在案的隐私政策、程序和标准•总体上使用比法律要求更多的隐私控制•感觉自己的隐私预算适当资助安全从业者认证(CSX-P™)的ISACA成员发送了调查邀请，他们SM决方案工程师™(CDPSE™)称号，有“隐私”。调查数据是通过SurveyMonkey有。00美元-500美元%亚洲大洋洲地区1–249风险专业人士隐私在实践中2023风险专业人士，与隐私相关的全职员工的平均人数企业内部的责任为26，略高于去年的平均水平(25)。知识可能不具备广泛技术专长的隐私法律和法规;技拥有您的员工中担任以下角色的百分比是多少？法律/合规从业人员10%技术IT人员(不包括安8%全专业人员)%1%-20%-21%--61%-80%-40%-41%60%81%-100%隐私在实践中2023CA访者表示技术隐私团队人手不足或严重不足。与法律/合规团队，技术隐私团队的人员不足程度与前几年的调查结果一致。尽管人手不足仍然令人担忧，但与去年相比有所改善(图3).企业优先考虑隐私拥有开放的技术隐私职位。通常，填补隐私职位可能非常耗时(图4和5).隐私的角色 46% 44% 55% 53%:时间来填补开放法律/合规隐私职位2%2%15%<<1道3-6个月2%9%2%25%3%1%3%1%报告说，填补空缺隐私职位的时间在过去一年中有多数人报告说，填补职位的时间增加或保持不变。对表示显着或个挑战是缺乏合格的申请人。对于大约五分之一的受到四分之一的隐私职位申请人完全有资格胜任他们申请的职位(法律/合规和技术隐私职位)。经验是确定申请人资格的主要因素性在确定隐私候选人是否合格时，以下每个因素有多重要？4%%%%%隐私在实践中2023次是从业者知识水平(51%)和入门级/基础知识水平(12%)。缺乏不同类型技术和/或应用程序的经验是当前隐私专业人员最大的技能差距(63%的受访者表示);这与以下发现一致，即在评估隐私职位候选人时，经验是最重要的因素(图6).54%距。的技能差距是理解企业所遵守的法律法规(46%)，紧随其后的是缺乏技术专长(45%)。其他技能差距包括：•业务洞察力(39%)•IT操作知识和技能(38%)•软技能，如沟通、灵活性和领导力(34%)•网络和/或其他基础设施知识和技能(33%)•商业道德(18%)您的组织采取了以下哪些措施(如果有)来帮助缩小这种隐私技能差距？选择所有适用项。49%38%49%38%25%25%20%4%问距个挑战是缺乏合格的申请人。经验是确定申请人资格的践中2023的隐私预算得到适当资助的受访者从去年的33%增能表明企业开始认识到隐私的重要取措施改善资金。虽然受访者的百分比业隐私预算会略有增加，从35%略有下降至34%级安全官-例如首席信息安全官(CISO)或首席安全官(CSO)-负对隐私负责至关重要，因为这个人可以提供帮助为时指导工作，并为隐私团队辩护，包括倡导资金和其过ISOISO隐私的人员38%以下哪些(如果有的话)是组织在制定隐私计划的能力方面面临的障碍？选择所有适用项。442%440%39%39%38%38%32%32%31%31%77%9%9%践中2023人员与法律/合规隐私专业人员会面的频率访者表示，他们的技术隐私专业人员和法律/合规隐私专律和法规出台时，他们与信息安全(32%的受访者)、法律和合规(29%的受访者)以及风险管理(22%的受访者)户关系、财务、产品/业务开发和公众互动人员之间的会议频率技术隐私专业人员多久与法律/合规专业人员会面一次，以了解法律和法规要求？践中2023的隐私方法相关的问题有很多。全球隐私格局。主要关注实现合规性的组织可能会发现自己难以迎由合规性驱动的隐私计划视图可能表明隐私计划是被至关重要。定期监控有助于企业识别和评估他们和需要改进的领域。随着企业增加隐私计划监控，他们业将隐私事件的数量作为衡量其隐私计划有效性;仅关注隐私事件数件发生之前不会知道其隐私计划的弱点，此时声誉任可能是不可逆转的。隐私事件也可能导致巨额罚款，因此标来评估隐私计划的有效性，以避免这些高效性您的组织如何监控其隐私计划的有效性？选择所有适用项。%%律法规的生效，9%的人每两到五年审查一次，4%的人不从隐私意识培训中受益，企业应监控其培训计划事件的数量和/或从客户那里收到的隐私投诉的数量是它是被动的;企业不会知道培训是无效的，直到的评估是一个更有力的指标，因为它们表明员工是取了教训。如果培训前和培训后评估之间没有差训和意识私，但安全并不访企业中，隐私意识培训与安全意识培训是分开的，而31%培训可以以教授这两个主题的方式结合起来，但令合培训中并未彻底涵盖特定于隐私的主题。没有指标有适用项。践中2023使用框架或法律/法规来管理其企业的隐私。对于73%隐私政策、标准和程序来解决•美国国家标准与技术研究院(NIST)隐私框架：46%律和法规繁多，一些企业难以识别和理解其隐私十三ISACA以识别和理解他们的隐私调了它的重要性定期与法律/合规隐私专业人员会面，因为许多访者认为很难或很难识别显示，今年的隐私预算似乎比去年更充足，人手不造成这种情况的部分原因可能是企业感受到了隐受隐私法律法规可能具有挑战性，但45%的受访者完心队确保数据隐私的能力法规。其中一些信心可能来自对常见隐私故障的践中2023企业在过去12个月中经历了重大隐私泄露，略高于去年(10%)。64%的受访者表示他们的企业没有知道的受访者比例似乎很高，但有可能了安全事件，但不确定个人信息是否遭到泄露。停留时间(从违规到企业发现违规之间的时间)也可能影响了为什么这私是否违约发生。图16显示与去年相比，违规行为更多或更少的企在您看来，以下哪项是组织中最常见的隐私故障？选择所有适用项。%%%%30%26%4%30%践中202330%26%4%30%鉴于不通过设计实践隐私被视为常见的隐私失败(图15)，令人惊的企业并不总是实践它。原因可能是始终践行隐私的企业根据设计，更有可能拥有使他们能够这样做的资源(图18).始终实私员工规模的中位数设计实施隐私的企业与受访企业总数进行比较时，会出•更有可能将隐私培训与安全培训分开(65%对57%))•更有可能依赖人工智能(AI)或自动化(25%对20%)业的趋势%strategiestohelporganizationsimplement-privacy-by-design-and-default践中2023实施隐私的受访企业中，有44%的人认为他们的隐私总数的这一比例为34%。似乎始终通过的企业的董事会更优先考虑隐私;这些企业中有76%的受访者。来自始终通过设计实践隐私的企业的受访者更有可能对团队完心的隐私法律和法规。这些受访者中有76%到完全或有些信心，而总受访者的这一比例为35%。设计实践隐私的人不太可能让董事会将隐私计划视为纯粹的合规驱动(24%对33%)。鉴于隐私设计的一个关键原是主动的而不是被动的，而纯粹的合规驱动的程序，因此始终通过设计实践隐私的企业不会被动地运律和法规以及数据主体对隐私的日益关注表明隐满足的各种要求以及越来越多的国际隐私法律和。能性I个人健康、宗教、取向、政治信仰等的信息。保私对于建立和维护数字信任至关重要，因此企业必虑隐私。未来几年，隐私法律法规的数量只会增加的隐私侵犯私在实践中2023董事会C斯干Asaf