安永联合IAPP发布2021年度隐私治理报告

前言

近日，国际隐私专业协会（International Association of Privacy Professionals，简称IAPP）联合安永（IAPP-EY）发布了《2021年度隐私治理报告》。本报告采用在线问卷调查的方式对473名来自世界各地的受访者进行访问和调研，深度剖析了隐私治理相关话题，包括隐私团队的组织架构和核心责任、法律合规性、新冠肺炎疫情对隐私行业的持续影响、各机构应对新出台法律的进展，以及围绕数据主体和数据处理供应商的工作流程。

当GDPR（General Data Protection Regulation，简称GDPR）的消息占据了各大新闻的头条时，各国也相继开始出台相关的法律法规。

今年8月，中国通过了《中华人民共和国个人信息保护法》（简称“个保法”）并在11月1日正式生效，针对在中国经营的公司提出更严格的监管要求。南非颁布并于7月1日开始生效的《个人信息保护法》（简称POPIA）也对全球商业活动有着重大的影响。在美国，即使没有联邦政府出台综合性的隐私法律，企业开始“自行制定隐私策略”来规范新技术的发展，并解决消费者对隐私的顾虑。

在隐私的世界里，伴随着诸多的变化和发展，本年度的隐私治理报告主要从以下八个维度为企业的隐私工作的运营提供一个具有全球视角、强有力的基准，以及关于隐私行业如何发展的独特见解。

1. 领导隐私工作的部门

在大多数组织（57%）内，隐私职能由法律团队负责，而对于其他组织而言，隐私工作职能由信息安全、信息技术、法务部，或是单独的隐私和数据保护部门负责。

首席隐私官（DPO）是最常见的隐私工作管理层，占据了32%的受访组织。近半数的隐私工作管理层是向法律顾问（30%）或首席执行官（18%）汇报工作的。小型机构的隐私工作管理层比大型机构的隐私工作管理层更有可能直接向首席执行官汇报。此外，欧盟的隐私工作管理层更有可能向首席执行官或董事会汇报，而美国的隐私领导层则更有可能向法律顾问汇报工作。

今年的调查显示，74%的企业设有DPO职位，其中41%的企业只设立一个DPO职位，18%的企业有且不止一个，而15%的企业中DPO角色由外包员工担任。

2. 隐私工作人员和预算投入

调查显示，企业整体隐私支出与去年相比有显著增加，受访企业隐私预算投入的中位数为35万美元，这与过去几年的上升趋势保持一致。当被问及他们认为其隐私预算是否足够满足其需求时，约六成的隐私专家认为他们的隐私预算仍不足以满足其团队的需求，这表明组织在监管合规成本方面仍面对较大的挑战。

截至2021年中期，受访企业平均有18名全职或兼职员工从事隐私工作，在欧盟的隐私工作员工数量比（平均：9名全职，12名兼职）在美国的（平均：6名全职，11名兼职）要多。隐私雇员数量的差异在于公司规模的大小，大型企业对兼职雇员的依赖程度远远高于小型企业，拥有最多隐私员工数量的公司通常为受监管影响最大的公司，或消费者行业及其他服务类型的企业。

3. 隐私团队的职责

90%以上隐私团队的职责包括但不限于以下内容：隐私政策制定和流程及治理（99%）、公司范围内的隐私相关意识培训（97%）、事件响应（96%）、追踪隐私和数据保护的立法发展（96%）、现有产品和服务的隐私问题（96%）、隐私影响或数据保护评估（95%）、隐私相关的沟通（95%）、隐私控制的设计和实施（95%）、数据主体访问请求的处理（93%）等。

调查结果表明，在隐私工作运营逐渐成熟的过程中，任职于小型公司的隐私专家在隐私方面投入的时间比大型公司的隐私专家所投入的更多。此外，六成的公司已经制定了3至9年的隐私规划，而2020年只有一半。

4. 法律合规性

随着隐私和数据保护法规在世界各地的快速普及，法律合规性仍然是隐私专家面对的首要问题。虽然近一半的企业（48%）采用的是单一的、全球性的隐私策略，但也有相当数量的企业（32%）将其数据主体按司法管辖区进行分类并根据当地法律要求处理其数据。

事实上，近六成的隐私专家表示，遵守数据跨境传输的法规是最艰巨的任务。GDPR的裁决影响了大多数企业，因为超过七成的隐私专家所处的企业都涉及将数据从欧盟传输至第三国家的情况。

5. 新冠疫情影响下的员工隐私

2021年以来，新冠肺炎疫情呈现反复态势。与去年相比，今年收集员工新冠肺炎相关的健康数据的雇主数量已有所下降，但仍有70%的雇主在继续收集此类数据。在2021年中期，其中有44%的雇主仍在向员工收集其健康状况数据，30%的雇主收集体温信息或新冠肺炎检测结果，以及27%的雇主收集接触者追踪信息。

其次，一些企业正在鼓励或要求其员工接种疫苗以作为返回办公的先决条件。从2021年的调查中发现，尽管有大约四分之一的隐私专家（27%）投票表明其雇主至少会采用某种疫苗护照体系作为其员工返回办公的证明，但是约半数的隐私专家（48%）表示这类情况是不可能发生或是不符合情理的。

最后，受访者们表示商务旅行似乎要在2022年初至中期才会大幅回升。调查报告显示，在未来的6到12个月内，预计至少进行一次与工作有关的旅行比例将增加到三分之二。

6. 隐私工作的参考基准和汇报主题

为衡量隐私项目的有效性和其能够达到目的的能力，隐私团队依靠一系列的安全基准作为参考。大于四分之一的机构采用NIST隐私框架（28%）或是ISO27701（26%）作为基准点。另外，17%的团队采用由第三方搭建的框架，10%的团队表示他们使用的是IAPP的《隐私治理报告》。

与往年一样，最常汇报给董事会的主题是数据泄漏。有76%的隐私团队会将数据泄露事件报告给董事会层面，56%的隐私团队向董事会报告数据保护或隐私法律的合规情况。另外，隐私合规发展、隐私诉讼、未来趋势或威胁也是经常向董事会汇报的主题。

7. 数据主体的请求

随着公司拥有的个人信息逐渐增多，法律义务的逐步扩大，消费者要求访问、纠正或删除他们个人信息的请求在企业的隐私业务中占据了越来越多的时间。每10个组织中就有6个表示他们现在有一个专门处理数据主体请求的团队。

访问请求和删除请求是各公司最常见的数据主体权利请求类型。调查显示，至少有三分之二的公司有接收过此类请求。然而，有11%的企业表示在过去的一年中没有收到任何数据主体权利请求。此外，大部分的公司（58%）表示他们通常需要至少一周的时间来对数据主体权利的请求进行响应。

当被问及数据主体权利响应过程最具挑战性的问题是什么时，近一半（47%）的受访者表示，在组织系统内定位个人信息是最困难的事情。

8. 处理隐私数据的供应商

供应商管理正在成为隐私工作的核心，绝大多数的公司（87%）使用外部公司来处理个人数据，与其打交道的行业生态已变得至关重要。为确保供应商履行其承诺，大多数组织都依靠合同条款（90%）、问卷填调查（67%）、或是第三方审计文件（48%）使供应商的责任及义务得到保证。

总结

《2021年度隐私治理报告》的结果表明，持续增长的隐私行业规模和逐步受到关注的隐私职能，不仅仅体现在隐私工作人员的数量和预算投入方面，更体现在隐私保护的运营工作，同时，开展隐私保护项目也已成为组织内部的核心工作之一。近年来，隐私保护相关的立法在世界范围内如火如荼地发展，中国也相继出台具备系统性、针对性和可操作性的个人信息保护法律法规、部门规章和国家标准。《个保法》的出台体现了中国在个人信息保护领域的积极态度和未来的监管趋势，为中国国民的个人信息安全和隐私保护发展奠定了基础，同时也为全球隐私治理做出了“中国贡献”。

尽管在过去的一年半中全球由于疫情的反复出现了许多不确定性、波动性和破坏性，然而在隐私治理的领域，对于消费者、监管机构和企业来说，隐私比以往任何适合都更加重要。我们坚信，随着国内外隐私法规的强有力发展、用户隐私权益保护意识的逐步觉醒，以及企业对隐私工作的重视与资源投入，全球的隐私治理能力与水平将得到不断提升！