TrustArc于近期发布《2022全球隐私基准报告》(2022 Global Privacy Benchmarks Report),其内容涵盖全球隐私指数、值得注意的隐私趋势、隐私保护面临的挑战等,并介绍了提升隐私能力的关键因素、重要的隐私指标和对全球新兴隐私法规的认识

摘译 | 李秋娟/赛博研究院实习研究员

来源 | TrustArc

新冠疫情的打击、严酷的市场现实,使人们对隐私的信心在2022年受到动摇——TrustArc的全球发现见证了这一点。同时,在供应链和网络安全攻击等威胁未能减弱的局面下,更需要加强企业的隐私保护。

值得注意的隐私趋势

1、随着全球范围内越来越多的法规和有增无减的隐私威胁,企业的隐私需求从未如此清晰。虽然90%的大中型企业都有隐私部门,但其在不同企业内部的地位差异较大。这表明将隐私保护作为一个独立部门的认识已经巩固,但还没有完全成熟。

2、在隐私方面,大多数公司尝试保护隐私,但很难找到最佳实践。超过80%的企业尝试各种隐私保护方法,但差异较大,目前还没有最佳实践或明确共识,因此报告统计的全球整体隐私指数得分也有所下降。

3、不断变化的全球监管格局是一项巨大挑战。隐私团队和企业管理层将应对新法规、维护本地合规要求以及实施新的跨境数据机制视为其最大的隐私挑战。

隐私保护面临的挑战

2022年,报告分析了公司在隐私方面经常面临的九个关键挑战。

首要挑战:遵守最新法规

数据显示,企业面临的前三大挑战都是为了跟上不断发展变化的规则和法规(包括遵守已生效或将于2022年生效的最新法规、维护本地隐私合规要求、实施新的跨境数据传输机制)。其后依次是应对监管和处罚带来的合规风险,社交媒体的声誉风险,供应链中的第三方风险和弹性管理,技术转变,员工内部威胁和维护各种拼凑而成、难以融合自洽的合规要求——可以说企业的合规难题占据半壁江山。

图1-在许多企业面临的挑战中,公司在2022年可能遇到何种隐私风险?

头号问题:仍是数据泄露

就公司在过去三年中遭受的威胁而言,数据泄露仍然是头号问题。大规模网络安全攻击再次占据第二位。其后分别是监管机构的调查、行动或罚款,消费者的数据隐私诉讼,对企业不利的媒体监督等。

2-过去3年中企业遭受过的威胁种类

另外,报告发现,高管比隐私主管或隐私团队对隐私和监管领域表现出更多的重视。因为这些问题不仅会带来技术合规风险,而且会对企业的整体竞争力带来更大的挑战。

合规之外,保持品牌信任度同样重要

在谈及“以下内容对贵公司的隐私保护工作有多重要?”这个问题时,报告发现,虽然遵守隐私法规占据重要位置,但保持品牌信任度还是企业认为在收集客户数据方面最重要的事项。其后依次是了解客户数据所在、个性化用户体验和尽可能降低选择退出率。

图3-隐私保护工作内容的重要性排序

提升隐私能力的7个关键

为了通过隐私领导力维护品牌信任,报告总结了7个展现企业内部隐私能力和信心的关键项目:

1、确保隐私渗透到重要的日常业务决策中

2、董事会定期审查和讨论隐私问题

3、将隐私作为业务战略的核心部分

4、将隐私实践作为关键关键差异化因素

5、对隐私业务保持谨慎

6、就隐私问题对员工进行充分培训

7、确保每位员工都可以正式提出隐私问题,并确信不会遭到报复

通过对这七个关键要素的测量,报告发现企业的隐私能力呈逐年下降趋势。对于第一个关键要素(企业在日常决策中对隐私的重视程度),报告发现:规模越小的公司,日常业务决策中保护隐私的意识越弱,而只有收入超过50亿美元的大型企业能在近年来保持对隐私的重视程度。

图4-企业规模和企业对隐私的重视程度

在其他六项隐私属性的测量中,下降的趋势同样一直存在。这可能是此前调研中发现的隐私团队成员认为部门资源不足的结果。

5个重要的隐私指标

报告还确定了5个重要的隐私指标:

1、公司对确保员工和客户相关数据的安全性和受保护程度的信心

2、客户对企业管理数据隐私能力的信心

3、员工对企业管理数据隐私的信心

4、企业的合作伙伴/第三方对企业管理数据隐私的信心

5、公众对企业数据隐私管理的信心

图5-各群体对公司数据隐私能力的信心指数

报告显示,高管对隐私保护工作的信心明显高于下属。同时,各利益相关者群体对公司数据隐私能力的信心却逐年下降。这很可能是由于破坏企业信任的外部市场力量有所放大所导致——错误信息、新冠疫情、网络安全威胁、技术快速进步以及公众对机构的普遍不稳定信任等消极力量的介入,使得部分人群对公司数据隐私能力持怀疑态度。因此,公司利益相关者建立各群体对数据隐私的高度信任是建立品牌信任的关键因素

TrustArc全球隐私指数

报告的所有调研数据都汇总为一个指标,即TrustArc全球隐私指数。它代表受委托的各利益相关者对公司在数据隐私方面表现的评估。

调查结果显示,2020年和2021年全球隐私指数的平均值分别为62%和70%;2022年下降到50%。2020年到2021年,全球隐私指数的中位数从62%增长到70%,但在2022年又回落到62%。

另外,各企业对隐私保护能力的自我认知存在显著差异。2022年,33%的企业认为其得分应为75分或更高,而与之形成鲜明对比的是,约有14%的企业认为其得分低于0分。

图6-企业对其隐私保护能力的自我认知分数

采取更多措施促进隐私保护

在过去一年中,许多人对隐私的信心受到动摇,71%的人认为他们的公司在加强隐私方面可以做得更多,持此观点的高管尤其占多数。虽然大多数隐私团队人员都认同这一点,但这一信念的热情显然存在群体差异。

其中高管(首席执行官、执行副总裁、高级副总裁、董事总经理)中有41%的人认为企业应该采取更多措施促进隐私保护,占比最高;其次是隐私团队之外的管理层(副总裁、主管、经理、组长)、隐私职能部门之外的全职员工、隐私团队成员(隐私顾问、隐私计划经理、隐私工程师),热情最低的是隐私执行官(CPO、DPO、首席合规官、一般法律顾问)。

图7-谈到隐私时,我们应该做更多吗?

隐私预算

鉴于全球隐私法规的增长,企业不得不在隐私领域投入大量预算。显然,不投资的成本要高得多,一些人计算出数据监管不合规的成本是合规成本的2.71倍。考虑到这一点,今年报告发现42%的公司打算在隐私计划上花费超过100万美元。事实上,在年收入超过50亿美元的大型企业中,已经有39%的企业声称其隐私计划支出已经超过500万美元。

图8-公司计划在2022年用于整体隐私保护工作的支出

结论

世界逐渐从全球新冠疫情中走出来,同时新的隐私法规层出不穷,现有立法被重新审查,新法规正在起草中……考虑到这一背景,“隐私合规”一词本身并不足以涵盖一些公司将隐私保护视为其品牌的亮点和信任的建设因素的难度。

另外,在隐私方面,挑战企业的不仅仅是新的立法,还有数字技术的进步。科技日益复杂,企业必须跟上隐私解决方案自动化的步伐,将正确的技术与有能力的隐私团队相结合。

正如全球隐私指数所表明的那样,保护隐私必须通过高层、董事会和一线员工做出的每一项决策来实现。每个员工都必须接受培训,并为隐私实践做出贡献,而不必担心被报复。当隐私成为商业战略的核心部分时,这就转化为一种专注于保护所有成员隐私的文化,隐私也将会成为这些品牌脱颖而出的关键。

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。