【编者按】国际隐私专家协会(International Association of Privacy Professionals,简称IAPP)是成立于2000年,旨在持续帮助定义、支持、改善隐私行业发展的非盈利性组织。随着欧盟《通用数据保护条例》(General Data Protection Regulation)和《加州消费者隐私法》(California Consumer Privacy Act)等隐私法的出台,购买及部署隐私技术的需求正在日益增长。本报告通过调查全球300多位隐私专业人士,揭示了当前隐私技术市场的情况以及组织采用隐私技术的障碍和动机。
关键摘要
IAPP连续两年与TrustArc一起调查了全球345名隐私专业人士,从而了解隐私技术产品在组织内是如何被购买和部署的。自2017年以来,IAPP通过《IAPP隐私技术供应商报告》描述了隐私技术市场,并将相关产品划分为10个类型。同2018年的调查一样,2019年的调查结果展示了哪些产品正在被使用,哪些隐私技术被纳入了购买预算,以及其他的采购决策洞察。本次调查有一些值得注意的地方。一是帮助企业发现和映射数据流的产品正蓄势待发。二是尽管预算有限,隐私和数据保护的专业人士正越来越多地购买这些隐私技术。
● 根据2018年的调查结果,提高安全性或影响组织信息技术架构的企业级技术在市场上的地位更加稳固。绝大多数受访者已经购买、测试并部署了网络活动监控和企业安全通信工具,因此不打算在近期购买此类产品。
● 值得注意的是,受访者计划最有可能在未来12个月内购买的产品是数据映射和数据流工具,其次是个人数据发现产品以及隐私程序评估和管理解决方案。另外,数据主体访问请求(DSAR)/个人权利管理工具——今年调查中的一个新类别——也在增加;近五分之一的受访者计划购买DSAR工具。这些都属于隐私程序管理领域,而不是企业领域,这是隐私行业发展的积极趋势。
● 缺乏预算和资源是采用隐私技术的最大障碍。其次是获得批准和隐私技术解决方案尚不成熟。隐私团队不愿从供应商那里购买工具的另一个显著原因是,他们已经开发了自己的内部解决方案。
● 采用隐私技术的最大动力是需要证明自己符合法律规定的要求。随着欧盟《通用数据保护条例》和《加州消费者隐私法》的出台,这种法律合规的要求正变得越来越重要。
● 越来越多的隐私义务和新的隐私技术解决方案的普及,正使得隐私产品被纳入购买决策当中。最常被纳入购买决策的是隐私程序评估和管理解决方案。其次是隐私法律更新和信息管理工具、DSAR/个人权利管理和数据主体同意工具。
● 至少有四分之一的受访者表示,隐私/数据保护部门参与了11个产品类别中的8个产品类别的购买决策过程。这包括更多的企业级的解决方案或涉及信息安全和信息技术的解决方案,包括网站扫描和cookie合规、事件响应和去身份标识。
● 在这份调查列出的类别中,受访者表示他们在未来12个月内最不可能购买去身份标识工具。这与2018年的情况有所不同,当时数据主体同意工具是最不可能被购买的。这可能是由于去识别工具太小众而无法被广泛采用。
● 对于技术供应商来说,销售对象不仅包括隐私团队,如果可能的话,还应该包括法律和IT团队。当涉及到数据映射和项目管理工具时,隐私和数据保护团队可能会参与隐私技术购买决策,而法律团队通常会参与个人数据发现方面的采购决策。尽管如此,由于这些工具需要集成到现有的IT系统中,控制预算的往往是IT部门。
● 调查结果未显示在受监管的行业(如金融和健康行业)和不受监管的行业或公司规模之间,存在显著的隐私技术购买习惯的差异。
● 总的来说,2019年的调查表明,隐私技术市场还远未饱和。因为很多受访者表示,他们将在未来12个月购买某种形式的隐私技术。
隐私技术市场
遵守隐私和数据保护法规并不是什么新鲜事,它们可以追溯到几十年前。但近年来法律义务的广泛连结和行业垂直领域的快速技术进步,极大地增加了企业风险,并产生了更复杂的合规义务。这其中大部分都属于隐私保护的范畴。GDPR和CCPA的出现意味着几乎所有类型的公司都必须知道他们拥有哪些个人信息、存储在何处、如何处理这些信息以及与谁共享这些信息。个人对其数据将拥有更多的权利,尤其是在欧盟(EU)地区,但很快就会扩大到加州,甚至美国各地。组织需要灵活和准确地响应数据主体访问请求、同意更改、数据可移植性等。为了保持敏捷、高效和可扩展,相关部门需要技术解决方案。
近年来,市场回应了组织在隐私合规方面日益增长的需求。隐私技术初创公司们正在建立一个全新的市场,而这个市场大约五年前还不存在。2017年,IAPP在其首份隐私技术供应商报告中介绍了这个市场。首份报告包括50多家供应商,涉及9个产品类别。截至2018年第四季度,隐私技术供应商报告中记录了近200家隐私技术供应商,涉及10个产品类别,并且市场还没有放缓。
IAPP对这些隐私技术供应商提供的产品进行了分类。下表列出了隐私技术供应商报告中定义的产品类别描述,并在本调查中用于评估其在市场中的参与度。
根据调查,受访者计划在未来12个月内购买的前四类产品属于隐私程序管理的范畴。位居榜首的是数据映射和数据流,占24%。随着GDPR等法规的全面生效,这个解决方案在隐私部门优先购买的首位也就不足为奇了。个人数据发现是计划购买中第二高的类别,占23%。了解组织拥有什么数据、数据位于何处、数据如何流动以及数据与谁相关,是在企业中创建隐私合规框架并帮助组织遵守法规(如GDPR)的基础。
此外,隐私程序评估和管理在未来12个月的购买计划中名列前茅。五分之一的受访者认为,这类商品是最有可能购买的。这些解决方案对隐私部门很重要,例如通过更精简的仪表盘进行隐私影响评估。过去的电子表格和Word文档无法满足现代数字生态系统的需求。
DSAR/个人权利管理是本次调查新增的类别。近五分之一的受访者(18%)计划在2020年购买DSAR技术。这符合企业隐私遵从性的自然发展。首先定位个人数据,然后映射数据流,创建一个管理框架,评估隐私遵从性并响应用户需求。其他的全球隐私法规也开始采用GDPR的一些DSAR条款,这些条款可能会在未来赋予DSAR解决方案更多的价值。与同意管理一样,数据主体访问请求很难实现,但随着更多的供应商进入这一领域,可能会有更多的应用。
调查从软件和服务行业获得的反馈最多,为17%,其次是咨询服务(13%)和法律服务(10%)。医疗保健和制药(8%)以及金融服务(6%)位居前五。因此,超过一半的受访者在这五个行业工作。随后是保险(5%)、政府(5%)、教育和学术界(5%)。
采用隐私技术的障碍和动机
缺乏预算和资源一直是世界各地隐私部门面临的一个长期问题。尽管像GDPR这样的法规已经引起了CEO和高管们的注意,但受访者表示,缺乏预算和资源是采用隐私技术的头号障碍。
隐私技术市场仍处于新生阶段。很多新兴公司在快速构建技术解决方案。但隐私和数据保护并非易事,要实现自动化或通过技术解决这些问题并不容易。同时,由于缺乏预算,隐私部门不得不创造性地解决问题。例如,在2018年IAPP与TrustArc联合发布的一份报告中,我们发现45%的受访者所在的组织仍在使用手工/非正式流程进行数据存储和映射,而只有20%的受访者使用商业映射工具。组织内部自建的解决方案仍然是第三方技术被采用的障碍,这可能也与整体预算不足有关。
另一方面,92%的受访者表示,采用隐私技术的动机来自于证明组织隐私合规的需要。毫无疑问,在欧盟开展业务的公司需要通过处理记录和其他手段证明其符合隐私合规。加州消费者隐私法案还将促使更多的美国公司采取合规行动。
隐私技术供应商的第二大卖点是易用性。大约90%的受访者持有此观点。组织涉及不同的业务,通常存在不同程度的遗留系统。实施新技术往往很困难。如果一项技术很难使用,那么成功使用该技术的可能性就会降低。
第三个驱动因素是希望在公司内部实现程序自动化。至少87%的受访者持有此观点。自动化通常有助于提高可扩展性,从而提高效率,可能还会促使组织增加预算。
综上,本次调查表明企业级的工具(例如网络安全监控或企业安全通信)在许多组织中都早已应用。受访者表示,他们在未来12个月最有可能购买的产品是数据映射和数据流、个人数据发现以及隐私程序评估和管理,这表明对隐私管理工具的需求正在增长。这三个类别在隐私和数据保护部门中应用较多,不过,通常是由IT或法律部门进行购买。同样值得注意的是,尽管DSAR/个人权利管理是一个新类别,但在该榜单中排名第四。随着欧盟执法活动的增加,以及CCPA等法律于2020年生效,此类解决方案的需求将继续增长。
编译 | 冷炎/赛博研究院高级研究员
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。