2023年,新的隐私立法带来了动态的全球隐私格局, 加强执法行动, 有新闻价值的罚款, 大规模数据泄露和新技术进步, 特别是在生成人工智能方面. 这些趋势预计将持续下去,因为2024年对隐私专业人士来说将是又一个多事的一年, 在资源有限的情况下,谁将面临应对合规性挑战和降低隐私风险的挑战.
在这篇博文中, 我们将在2023年回顾隐私方面的重大发展, 重点介绍ISACA最新隐私研究的关键见解,并讨论隐私专业人士在制定2024年数据保护路线图时关注的主要领域.
从2023年开始的关键隐私要点
2023年,多个司法管辖区颁布了多项数据隐私立法. 仅在美国, 各州颁布的综合性隐私法增多 从5岁到12岁(可能是13岁) 如果包括佛罗里达的话). 虽然这些新的州法律中存在着重大的重叠, 隐私专业人员必须评估合规要求和消费者权利的细微差别,以构建2024合规战略. 因为在联邦层面通过一项综合性的美国隐私法没有取得突破, 这个国家可能会看到更多的州法律被颁布,组织将需要继续投资于监管拼凑的合规计划.
隐私问题在全球其他地方也占据了中心位置, 2023年,一些国家将颁布新的隐私法,并修订现有法律. 值得注意的例子包括印度的《澳门赌场官方下载》, 越南的《澳门赌场官方下载》和沙特阿拉伯王国的《澳门赌场官方下载》. In 2024, 其他司法管辖区, 印尼, 巴西, 预计加拿大和澳大利亚将最终确定规则/开始执行, 隐私专业人员将需要监控范围内司法管辖区的发展,并相应地调整他们的组织合规路线图.
谈到个人数据传输 欧盟-美国数据隐私框架的第三次迭代 该计划于2023年宣布,但业界反应冷淡. 许多组织正在采取观望的方法,以防充分性决定在法庭上受到质疑和推翻. 然而, 决定使用该框架进行自我认证的组织的隐私专业人员将需要遵守修订后的隐私义务,并在2024年更新其程序.
除了像数据抓取这样的热门话题, 跟踪技术, 到场, 儿童隐私和生物识别/健康数据, 人工智能的发展主导了隐私讨论. 人工智能在技术进步、行业采用和政策发展方面取得了迅速进展.g., 美国人工智能行政命令 和 欧盟的人工智能法案). In 2024, 隐私专家可能会看到他们的角色扩大到包括负责任的人工智能管理. 他们需要跨职能合作,建立可持续的人工智能治理计划,并扩大对人工智能用例的保障.
实践中的隐私2024:关键见解
在这个不断变化的隐私环境中, ISACA调查了超过1家,300名全球隐私专家收集隐私人员的见解, 组织结构, 框架, 政策, 预算, 培训, 数据泄露和其新发布的隐私研究的优先事项, 私隐实务. The following three main themes emerged: 隐私 teams are understaffed across the board but technical skills are in highest demand; practicing privacy by design is a top-down initiative that requires strategy alignment; and 培训 and awareness are vital aspects of successful privacy programs.
- 缩小隐私技能差距
虽然存在一些专门的隐私角色,其范围根据组织/行业的不同而不同, 隐私专业人员通常分为技术或法律/合规职能. 法律/合规角色在隐私法律和法规方面具有专业知识, 而技术角色则专注于实现保护隐私的控制. 各个领域对隐私技能的需求仍然很高, 到2024年,技术团队(62%)的人手不足将超过法律/合规团队(55%). 这种技术隐私技能短缺的趋势在过去几年中一直存在,并且比去年的调查结果更糟(增长了约10%)。.
根据报告, 最大的技能差距存在于技术领域,比如隐私合规技术实施方面的经验, 增强私隐技术, 技术评论, 等. 希望提高技能的隐私从业人员将受益于包括 隐私认证, 技术课程, 作为2024年专业发展目标的一部分,轮岗项目或交叉培训旨在获得技术隐私技能.
我在我的文章“招聘:不断发展的隐私角色和不断扩大的隐私技能差距”中详细讨论了这个主题,发表于 ISACA期刊第1卷,2024年. - 通过设计引导创新与隐私
设计隐私已被业界公认为是一种经过验证的主动隐私风险管理模式, 但它在实践中需要什么呢? ISACA的报告概述了积极实践隐私设计的组织的关键特征, 比如拥有适当技术隐私角色的大型隐私团队, 隐私优先在董事会级别, 隐私策略与组织目标保持一致,并超越复选框遵从性, 从道德和竞争优势的角度来看待隐私. 这些趋势可以作为隐私专业人士的宝贵工具,他们希望在2024年通过设计程序来基准和成熟他们的隐私. - 通过培训和意识项目建立隐私文化
根据ISACA的调查,最常见的隐私问题是由于培训不足造成的. 我相信隐私培训和意识项目在降低泄露风险方面具有最佳的投资回报率. 然而, 大多数组织(65%)将接受培训的员工数量作为唯一的隐私培训项目指标, 哪一个不衡量项目的有效性. 隐私从业者应该修改现有的培训计划,以应对当前的风险, 例如将客户个人数据用于GenAI工具, 开发可能包含游戏化的引人入胜的内容, 进行持续监测, 建立反馈回路, 并确保该项目融入公司文化.
访问ISACA隐私实践2024报告,获取完整研究报告和见解的免费副本 nm2pu.apartments-florence.net/privacy -实践- 2024.
