IAPP 2021年关键行业隐私风险披露研究

美国证券交易委员会(SEC)要求大多数上市公司每年在提交的有关其财务表现与公司运营的综合性文件10-K中向投资者披露潜在风险因素。IAPP从2017年开始研究这些信息披露，是为了评估公司是否将个人数据处理实践和隐私法规作为一种风险，以及企业在隐私问题上的失误造成的商业损害。

2021年12月，IAPP发布了《2021年隐私风险研究》报告，总结了六个特定行业部门的隐私风险披露现状，表达了对入侵/网络攻击、行业隐私法律合规性、各国隐私法律合规性、支付卡行业标准合规性以及与隐私相关的消费者行为对企业影响的关切。据分析显示，半数被调查的上市公司在财务公告、披露文件、股东通讯或年度报告中披露了与隐私相关的风险。在这些披露中，63%的受访者同时披露了隐私法律合规和数据泄露风险，13%的受访者只披露了隐私风险。

摘译 | 李文君/赛博研究院咨询助理

来源 | IAPP

各个行业都是通过特定的视角来感知隐私和安全风险的，但这些行业总体呈现以下趋势:

（1）疫情下，远程工作为企业带来了新的、额外的信息安全风险。

（2）虽然网络安全问题一直是与隐私有关的首要披露风险，但大量的10-K披露强调了当今网络威胁的复杂性和不可预测性。

（3）企业现在完全意识到信息系统与其商业伙伴和技术供应商的信息系统是如何相互关联的，这导致了安全和隐私风险的增强。

（4）包括美国在内的世界各国相继出台隐私法规（新的和拟议的）带来了不确定性，从而产生了合规成本和风险。

（5）当前的隐私法规具有动态性和复杂性，尤其是针对个人数据转移问题，因此合规仍是一个不断变化的过程。

报告重点关注B2C领域、B2B领域、银行与金融服务业、实体零售业、医药与卫生服务业以及健康保险业六大关键行业领域，并审查各行业代表性公司发布的隐私风险披露状况，据此概述各行业隐私风险披露现状。

企业-消费者（B2C）领域

2021年发布的风险披露文件是在大家对COVID-19非常关注的情况下撰写的，许多B2C科技公司蓬勃发展，然而远程工作也有其自身风险：员工处于不安全环境、新技术的使用且无法对安全事件作出快速反应

2021年，B2C科技公司蓬勃发展，但疫情背景下的远程工作场景导致员工处于不安全的环境中、无法迅速应对安全事故，加上大量新技术的使用，从而引发诸多安全风险。随着隐私法在越来越多的司法管辖区施行，B2C技术公司面临合规不确定性，因此在风险披露中经常提到美国已经通过或提议的州级隐私法的数量，并关注这些法律的严格执行。科技公司表示，基本商业模式已经发生变化——主要依赖于个人数据的收集和使用的模式为公司带来了很大的收入。因此，这一商业模式与隐私法之间具有直接关系，而数据存储、删除和本地化相关限制会直接影响其业务。

监管环境不断变化，导致合规具有不确定性从而带来内在风险。为了避免监管行动和私人诉讼，企业需要在合规方面分配大量资源。B2C科技公司意识到，网络安全风险、数据泄露越发频繁，攻击方法日益复杂，并表示声誉受损这一个核心问题与管理违规回应、私人诉讼或监管执行的风险一样损害其财务状况。

UBER

UBER公司指出，GDPR规定欧盟成员国可以制定额外的针对个人数据处理的法律法规，这些法律法规可能会限制其使用和共享个人或其他数据，从而增加成本、损害业务和财务状况。此外，公司还需遵守数据跨境传输相关法律法规和规章。若公司无法依靠现有机制从欧洲经济区、英国或其他司法管辖区转移司机、消费者或员工的个人数据，可能对其业务、财务状况和经营业绩产生不利影响。

企业-企业（B2B）领域

2021年发布的风险披露文件是在大家对COVID-19非常关注的情况下撰写的，许多B2C科技公司蓬勃发展，然而远程工作也有其自身风险：员工处于不安全环境、新技术的使用且无法对安全事件作出快速反应

对于严重依赖数据推动业务战略的B2B科技公司，数据安全是产品差异化的核心因素。由于隐私设计已从利基理念转为监管要求，支持商业客户的隐私合规义务成为顶级B2B技术公司平台的一大特征。在被审查行业中，这些公司最有可能提及国内和国际隐私和数据保护法律的合规风险。远程工作迫使许多公司迅速将工作流程数字化，从而提高了对B2B技术服务的需求。然而随着对B2B服务的更大依赖，出现了更多安全事件及越来越严重的服务宕机后果（尤其当平台供应商和客户都缺乏备援系统时）。

政府监管可能会迫使公司改变数据处理的做法，并使其在数据分析（尤其是人工智能）方面的投资受挫。多个司法管辖区实施的数据本地化实践可能会使业务进一步复杂化。2020年的“SchremsII”决定使欧盟和美国之间现有的隐私保护框架无效，其不确定性受到了企业极大的关注。英国脱欧带来了隐私法合规的不确定性，使得企业在其风险披露中指出监管的不明确导致高合规成本。

ZOOM

ZOOM公司指出，其共建数据中心的服务中断、延迟或断电以及各种其他因素，包括新冠疫情引起的使用量增加，将损害公司的服务交付及其业务。若客户、合作伙伴或供应商不遵守隐私、数据保护和信息安全法律法规、标准、政策和合同义务，将损害公司的声誉和业务、使之承担巨额罚款和责任。

银行与金融服务业

2021年发布的风险披露文件是在大家对COVID-19非常关注的情况下撰写的，许多B2C科技公司蓬勃发展，然而远程工作也有其自身风险：员工处于不安全环境、新技术的使用且无法对安全事件作出快速反应

金融服务业的顶级上市公司仍然是大银行。加密货币、点对点支付、先买后付机制、人工智能、机器人、移动应用和数据聚合等方面的创新是推动快速变化的众多力量之一，客户和投资者也提出了更高的隐私和安全要求。多年来，银行在州和联邦层面以及包括隐私在内的许多业务功能方面受到了严格的监管，而新兴的金融技术大多避免了成本高昂的合规义务。然而随着银行越来越多地与各种第三方整合，所有参与者的数据隐私和安全风险都在增加，隐私法的陆续出台使得合规义务也影响到整个供应链。

除了自身或其合作伙伴遭受网络攻击的脆弱性外，金融机构还报告了未遵守《加州隐私权法》修订的GDPR和CCPA的风险。来自欧盟的个人数据传输问题被列为银行面临的监管合规重点之一。

US BANCORP

US BANCORP公司指出，不遵守CCPA、CPRA或类似法律法规可能导致大量的监管罚款或声誉损害。欧盟法院2020年7月关于将个人数据转移到欧盟以外的裁决(“Schrems II”)可能会影响公司运营及限制公司跨境传输个人数据。公司需要制定额外的合规计划，这也提高了公司的合规成本。

实体零售业

2021年发布的风险披露文件是在大家对COVID-19非常关注的情况下撰写的，许多B2C科技公司蓬勃发展，然而远程工作也有其自身风险：员工处于不安全环境、新技术的使用且无法对安全事件作出快速反应

疫情促使人们热衷于网上购物和家庭装修，这有利于该行业领域的零售商。远程工作基础设施的使用增加给业务运营带来风险。零售商系统和第三方服务供应商系统在疫情期间出现了安全漏洞，零售业的风险披露对全面隐私立法的关注相对更少，尤其是在美国以外的地区，但该行业非常关注是否符合PCI安全标准以及系统和数据遭受网络攻击的风险。

随着不良行为者使用越来越复杂的战术和技术，网络安全问题变得越来越复杂。零售业中大量顾客忠诚卡和相关个人数据被使用，在客户对公司的信息安全失去信心的情况下容易被低度采用或放弃。行业内竞争激烈，中断业务运营会将善变的客户推向其他零售商。依靠数字平台来接触客户和交易是生存的首要条件，但也会增加数据泄露和系统故障的风险。隐私法在不断发展，合规涉及高额成本；隐私法的合规尚未广泛涵盖于零售业中。

HOME DEPOT

HOME DEPOT公司指出，其业务取决于客户是否愿意将其个人信息委托给公司。对该信任产生不利影响的事件包括未向客户披露对其信息的使用、未能确保信息技术系统和客户敏感信息免受重大攻击、盗窃、损坏、丢失或未经授权的披露或访问，企业是否作为和服务提供商或其他第三方的行为都可能对公司的品牌和声誉造成不利影响。

遵守数据隐私和网络安全相关的监管环境变化对公司业务提出的要求可能需要付出巨大的努力和成本、改变公司的业务惯例、限制获取用于提供个性化客户体验的数据的能力；若不遵守适用要求，公司很可能会受到罚款、制裁、政府调查、诉讼或声誉损害。

医药与卫生服务业

2021年发布的风险披露文件是在大家对COVID-19非常关注的情况下撰写的，许多B2C科技公司蓬勃发展，然而远程工作也有其自身风险：员工处于不安全环境、新技术的使用且无法对安全事件作出快速反应

制药公司拥有与人体临床试验相关的极其敏感的个人数据，必须时刻警惕知识产权被盗，因此高度重视网络攻击的风险（入侵会泄露专有数据）。对云平台和新技术的依赖日益增加、疫情迫使更多员工居家办公，信息系统变得脆弱也是信息安全风险增加的原因。公司为应对这些风险购买了网络责任保险，并投资数字基础设施，然而随着网络攻击的复杂性不断提高，仍然不能确定能否有效防止事故或减轻损害。除了与系统修复和诉讼风险相关的成本问题外，在由安全事件引起的潜在系统停机后，声誉损失仍是一个主要问题。

每家公司披露与数据保护法相关风险的复杂程度各不相同。当提及与政府隐私监管相关的风险时，多数公司指出越来越多的司法管辖区采用全面隐私法及潜在有力的执法环境所造成的相关不确定性都会带来风险。制药公司都担心与第三方数据传输（如今在依赖数字基础设施的行业中无处不在）相关的风险。欧盟数据共享法规的复杂性和要求日益增加，这对专有研究数据有潜在影响。

MERCK

MERCK公司指出，全球大量隐私和数据保护法律法规对其在业务范围内传输、访问和使用个人数据进行限制，相关立法和监管环境也在不断演变。隐私和数据保护问题在发达和新兴市场备受关注，这些问题可能直接影响公司的业务。欧盟要求公开披露临床试验数据的趋势日益明显，这增加了与处理来自临床试验的健康数据相关的义务的复杂性。若不遵守这些义务，政府可能会对公司采取执法行动和重大处罚，这会损害其声誉并对其业务和经营结果产生不利影响。

健康保险业

2021年发布的风险披露文件是在大家对COVID-19非常关注的情况下撰写的，许多B2C科技公司蓬勃发展，然而远程工作也有其自身风险：员工处于不安全环境、新技术的使用且无法对安全事件作出快速反应

健康保险行业多年来一直受HIPAA监管，该行业也是数据驱动型行业，一些个人数据的来源是客户，另一些是通过分析生成。制药商、数据聚合商和分析师之间共享聚合数据。数据在流程的每个步骤中都容易受到意外或恶意行为的攻击，这些行为可能导致未经授权的访问或披露。随着该行业对第三方的依赖程度和系统数字化程度的提高，风险也被放大。

UNITED HEALTH GROUP

UNITED HEALTH GROUP公司指出，公司对个人信息的收集、维护、保护、使用、传输、披露和处置受到联邦、州、国际和行业层面的监管，与客户签订的合同也对公司提出要求。遵守新的隐私和安全法律法规和要求会增加运营成本，并限制或改变公司业务模式或运营。

声明：本文来自赛博研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。