【编者按】2019年9月,国际隐私专业协会联合安永(IAPP-EY)发布了年度隐私治理报告,报告采用在线问卷调查的方式对370名受访者进行访问,分别从组织内部隐私治理结构、《欧盟一般数据保护条例》(GDPR)合规度、英国脱欧在隐私治理方面的影响以及隐私治理职业人日常工作的最新趋势四个方面深度剖析了近年来隐私治理的挑战与发展现状。基于隐私治理的法律法规合规性调查,报告发现只有不到一半的受访者表示“非常”或“完全”符合GDPR要求。

自2015年首版IAPP-EY隐私治理报告发行以来,IAPP-EY隐私治理报告以及隐私职业培养都获得了持续发展。今年,接受调查的370名受访者中,来自欧盟的受访者与来自美国的受访者人数基本持平。这表明欧盟基于《一般数据保护条例》(GDPR)的隐私和数据保护行业的发展已初见成效,同时GDPR也推动了美国的隐私治理行业的发展。

组织内部隐私治理结构

1、 数据保护官(DPO)

GDPR实施一周年以来,IAPP约有500,000名会员已经在欧盟的数据保护机构中注册了DPO。这一惊人的数字远远超过了GDPR之前的预期,并证明了GDPR巨大的经济影响力,以及作为重要专业角色的隐私和数据保护行业从业人员的爆炸性增长。

在今年调查的370位受访者中,有72%表示他们的公司拥有DPO。在这类公司中,有75%只有一个DPO,有25%有一个以上的DPO。

三分之一受访者同时担任DPO,其中一部分公司(28%)因受GDPR第37条规定的约束而任命DPO,也有一部分不受GDPR约束的公司(5%)主动任命DPO。在拥有DPO的组织中,62%的DPO同时也是该组织的隐私负责人。排除欧盟受访者,剩下的DPO中有69%是组织的隐私负责人。在美国受访者中,只有43%的隐私负责人是DPO,31%的隐私负责人是DPO的上级领导。

与大公司(按员工和按预算划分)相比,DPO在小公司中担任隐私负责人角色的比例更高,并且在其日常的隐私治理工作中,对GDPR合规性遵守的职责相较于CCPA要大得多。

图1:组织任命DPO人数/DPO与隐私负责人的关系

2、 隐私负责人

作为一种职业,隐私行业的工作为许多人的职业生涯提供了上升空间。在受访者中,有45%受访者预期在他们的职业生涯中能获得向上发展。

图2:隐私治理专业人士对其工作的满意度/升职期望

“如果您已担任公司的隐私负责人,那么您很有可能也是公司的首席隐私官(CPO)。”在担任隐私负责人的受访者中,CPO占比35%,“其他”占比35%,DPO占比25%。假设组织中只有一个隐私负责人(42%的组织不止一个),那么他/她也可能是组织的首席隐私法律顾问(31%的隐私领导者扮演此角色)。但是,他们不太可能同时担任组织的首席信息安全官(CISO),只有十分之一的受访者同时承担这两种职责。隐私负责人与首席信息安全官横向分布于组织结构中(39%的情况下他们是同等水平的职位)。相比之下,隐私负责人几乎从来没有兼任首席技术官(CTO)的角色(只有4%),通常只承担CTO的初级职责(51%),四分之一隐私负责人与CTO属于同一职级。

综上,相比于纯技术功能,信息安全与隐私治理工作相结合的可能性更大。目前隐私治理这项工作尚未与传统职位独立开来。也就是说,隐私负责人往往不直接向CISO或者CTO汇报,他们通常拥有不同的头衔:总法律顾问(25%),首席执行官(23%),首席合规官(22%)或董事(22%),其他(21%)。

图3:组织中隐私负责人的职位(若不是CPO)

值得注意的是,隐私专家在美国的最高管理层将获得更多职业晋升的可能性,担任首席法律顾问将给他们提供最低的晋升成本。

3、 董事会角色

董事会在隐私治理中扮演着重要角色。联邦贸易委员会(FTC)在其最近与Facebook就Cambridge Analytica问题达成的和解令中,进一步提高了董事会的在隐私治理中的作用。在和解令中,联邦贸易委员会不仅向Facebook处以50亿美元的罚款,还要求该公司董事会成立一个独立的隐私委员会,以监督该公司的隐私计划并对其负责。同时,美国证券交易委员会(SEC)谴责Facebook没有向其投资者披露其客户可能遭受隐私泄露的风险,并下令处以1亿美元的罚款。尽管这些罚款对于年收入超过500亿美元的公司而言并不重要,但是却能引起人们足够的重视,因此公司层面应该给予隐私治理最高的关注。

GDPR第37条规定,DPO需要直接向最高管理层汇报。即使在DPO不担任隐私负责人的组织内部,仍有20%的DPO直接向董事会汇报。欧盟公司董事会比美国公司董事会更有可能直接监管隐私问题(35%vs10%)。

《欧盟一般数据保护条例》合规度

GDPR实施一周年以来已经处罚了许多违规公司,例如对英国航空、万豪、谷歌的巨额罚款。然而,只有不到一半的受访者表示他们的公司“非常合规”或“完全合规”。超过三分之一的受访者表示仅“中等合规”。鉴于我们的受访者均为隐私治理方面的专业人士。因此可以得出结论:即使在这些专业隐私治理人员中,GDPR合规仍然是一个难题。

当我们将美国和欧盟的受访者独立分析时,发现有四分之一的美国受访者表示GDPR不适用于他们的公司。在欧盟受访者中,有43%的人表示,即使遵守GDPR是他们的主要职责,但是他们也只是“适度遵守”GDPR。十分之一的人承认他们只是“某种程度上”遵守GDPR。

这些统计数据并不能说明受访者在工作上比较松懈,而仅表明在现实的商业环境中研究和实施GDPR的人越多,就越能意识到完全合规是一项崇高的目标。随着数据处理活动的不断创新与增加,所有工作达到完全合规就更不可能。

图4:GDPR合规度

令人欣慰的是,现在GDPR合规性方面面临的挑战较一年前有所减少。在所有GDPR合规性任务类中,与2018年相比,受访者对难度的评分有所下降。在“困难度”量表中,“被遗忘权”的合规性仍然排名第一,但与去年相比下降了0.5分,为总5.3分(总难度评分为10分)。“数据可携带权”排名第二,也从5.3降至4.8。

英国脱欧的潜在影响

超过一半(56%)的受访者表示,他们的工作将受到英国脱欧的影响。在欧盟受访者中,认为会受影响的受访者人数就高达68%。面对英国脱欧的不确定性,将近四分之一(23%)的受访者认为他们对此事件“已作了充分准备”,而有43%的受访者表示“至少已作了充分准备”。这可能是因为,认为英国脱欧将影响其组织的受访者中有44%并不认为这会影响其隐私团队;另有26%的受访者正在“观望”,即目前未制定任何计划。

“主要机构”设于欧盟境内的公司中,有24%设在英国。在这些组织中,超过一半(55%)的机构不打算在英国脱欧后搬迁。尽管如此,仍有部分受访者(12%)会将总部迁至爱尔兰,另有18%的受访者计划迁至其他欧盟地区。16%的受访者表示暂时不知道相关搬迁计划。他们的搬迁选择很大程度上取决于公司总部所在地(55%),其次取决于监管机构的官方语言是否为英语(33%)。

图5:英国脱欧后数据传输的主要方式

隐私治理职业人员投入情况

在2018年5月25日GDPR执行之前,各组织对隐私治理人员和外部法律顾问做了大量投入。2019年的人员和预算没有下降,并逐渐趋于稳定,隐私治理人员编制也已趋于稳定。2019年的调查中,受访者表示2020年的员工水平将与2018年保持不变,并且他们也不太可能期望员工增加。

隐私治理总体预算低于2018年(GDPR执行的起始年)。2018年,企业隐私治理总支出的中位数为40万美元;2019年的中位数是这个数字的一半。大多数受访者并不希望明年的预算会减少,有55%的人希望他们的预算能够增加。和以往调查结果一样,隐私专业人员感到预算不足(62%的人报告资源不足),这与IAPP最近的其他研究一致,该研究表明预算不足阻碍了合规工作。随着公司董事会将隐私治理作为主要业务的可能性及其风险越来越大,也许隐私团队将在未来几个月或者几年中从额外的财务支持中受益。

隐私专业人员的薪酬历来是最大的成本中心。今年也不例外。但是,当我们将小规模公司(雇员人数少于75,000)与大规模公司(雇员人数超过75,000)进行比较时,我们发现隐私预算的分配方式存在很大差异。大公司为合规技术分配的资金占其总体隐私支出的百分比更大。

从地域来看,美国的隐私治理预算仍然高于欧盟。美国受访者表示隐私治理平均支出为952,000美元,而欧盟仅为387,000美元。当我们根据受访者雇主的总部所在位置重新调查时,结果也是如此,美国公司隐私治理支出高出欧盟公司的四分之一。当我们按每个受访者所在区域进行比较时,得出的结果几乎相同,这表明总部位于美国的大型科技公司正在将美国隐私治理的平均水平拉高。

编译 | 李顾元/上海社会科学院信息所研究生

本报告为赛博研究院编译出品,仅用于公益交流,非商业目的。文中观点不代表本机构立场,内容和图片如有知识产权问题,请及时联系我们修改删除,如需转载请获得授权。联系方式:public@sicsi.org.cn

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。