摘要
以下报告中的结论是IAPP和EY合作研究项目的成果,该项目研究了COVID-19大流行对世界各地隐私合规团队的挑战。
为了得出正确的结论,研究组对隐私专业人士进行了两次调查:第一次是在4月份,第二次是在2020 年10月中旬-11月初。这些调查评估了隐私专业人士和组织对一系列问题的应对,包括远程工作、员工健康监测和新技术的采用。它还研究了COVID-19如何重塑组织的优先权、隐私专业人员的日常任务以及隐私团队的人员和预算。公私数据共享安排、加快隐私和安全审查的步骤,以及与第三方供应商签订的处理与COVID-19相关的敏感员工健康信息的合同等,都在研究范围内。
本报告包含了2020年秋季进行的第二轮调查结果,该报告将这些结果与第一次报告中提出的结果进行了比较,目的是揭示一段时间以来的隐私合规趋势,并为各组织如何处理这一流行病带来的新问题提供一个基准。
*
2020年,隐私一直是大多数组织的首要考虑
疫情暴发之初,许多人都有一种不祥的预感,即新冠肺炎大流行将显著重塑世界各国的经济、政治和文化格局。距离世界卫生组织首次宣布新冠肺炎疫情为国际关注的突发公共卫生事件已经过去近一年,我们更加充分认识到疫情对全球社会的影响。
而隐私和数据保护领域也未能免受COVID-19的影响。事实上,许 多组织已经改变了其战略思维和优先事项,以应对这一流行病, 并适应它们自己所处的新现实。有趣的是,如果不出意料,会注意到大多数(53 %)报告说,自从流感大流行开始,隐私在他们的组织中的重要性增加了。从广泛收集员工健康数据到采用一系列新技术来实现远程工作和教育,这种流行病要求大多数组织在保护个人数据方面要付出更大的努力。
隐私专业人士也一直站在帮助组织应对COVID-19流感大流行带来的新现实的*前沿。对于那些被要求收集和处理新类型健康数据(即COVID-19症状和员工诊断的形式)的组织而言,隐私专业人士在确保这些数据得到保护和处理方面发挥了关键作用,符合不断发展的法律环境与COVID-19数据相关的法规和指南。他们机构的隐私团队或显著(33%)或在一定程度上(26%)参与了收集和处理与COVID-19有关的员工数据的程序的设计。
另有17%的人表示至少有一点点参与,而只有14%的组织根本不让他们的隐私团队参与这一过程。
*
远程工作的挑战仍然占主导地位
从长远来看,流感大流行已经产生了影响,并将继续影响组织的战略重点,尤其是隐私项目。加强网络安全,顺应时代潮流,满足商业伙伴和客户不断变化的期望,关注品牌价值的核心价值,这些都对组织具有重要意义。
事实上,近几个月来,当被问及隐私专业人士必须优先承担哪些责任时,超过半数(55%)的受访者表示,防范网络安全风险变得越来越重要。另有40%的受访者表示,满足客户和业务伙伴的期望已成为他们的首要任务,而超过三分之一的受访者表示,维护公司的品牌声誉(38%)、维护或提升公司持有的信息资产(35%) 以及增加收入(35%)已成为他们的首要任务。
有趣的是,有7%或更少的人表示,任何特定的责任都变得不那么 重要。事实上,许多责任变得更加优先,而几乎没有任何责任被优先,这一事实表明,COVID-19在本质上给已经满负荷的新模式带来了新的问题。
此外,隐私专业人员必须执行的日常任务也在流感大流行之后发生了变化。考虑到大规模的远程工作转移,WFH问题已经成为隐私专业人士面临的新挑战的主要来源。在与隐私相关的挑战列表中,理解与员工远程工作相关的隐私需求是第一位的。同样,在过去六个月里,与远程或减少隐私团队合作开展隐私合规工作已成为一项更大的挑战,并被列为这一波调查中第二大*重要的挑战。
事实上,虽然30%的隐私专家在流感大流行之初将此列为首要挑战;但到2020年年底,40%的人认为这是首要挑战。此外,在4月至10月-11月期间,了解与共享COVID-19数据请求相关的隐私要求的重要性有所下降。38%的人以前认为这是一个*大的挑战,现在有30%的人这么认为。总的来说,这一年来的这些变化表明,一些隐私工作在团队必须做的事情方面正在回归“一切如常”,但与WFH相关的挑战仍然更多叠加于大多数任务和责任之上。
*
许多重新开放计划的核心内容:COVID-19患病员工和访客信息的筛选已经增加
除了由于远程工作的大量增加而带来的额外隐私挑战之外,COVID
-19还带来了一系列组织必须处理的关于新形式的健康相关信息收集的问题。这些措施中有很多是为了让员工回到公共的办公空间工作而采取的预防措施。
虽然90%的组织仍然拥有大部分或全部员工,但自4 月份以来, 一些员工进入工作场所的组织比例有所上升。只有36%的组织报告说,他们在第二季度初有一些员工到工作场所报到,而将近一半(46%)的组织表示,他们预计到第三季度末至少会有一些员工回到办公室。
许多工作场所分阶段重新开放计划的一个核心组成部分是,个人在获准进入公共办公空间之前,要接受COVID-19检测。鉴于此类计划禁止携带COVID-19的个人进入公共工作区,并遵循公共卫生当局发布的隔离指南,令人惊讶的是,在4月至10月/11月期间,要求员工在确诊后通知经理或人力资源部的组织数量从76%增至83%。
同样,询问员工是否有任何COVID-19症状的做法在过去一年中也变得越来越普遍。今年4月,58 %的组织报告称这样做。然而,到10月/11月,75%的组织报告说已经这样做了。此外, 更多的组织也开始对来访者进行COVID-19症状筛查。如今,61%的人报告说他们这样做了,而六个月前只有38%的人报告说他们这样做了 。
如今收集健康信息的组织不仅比大流行开始时更多,而且越来越多的组织正在进行尽职调查,具体针对在COVID-19中收集的员工健康数据进行数据保护影响评估。
四月份,在大流行开始的时候,只有15%的组织对他们收集的员工健康数据进行了调查收集。到10月/11月,这个数字翻了一番多, 达到35%。
*
更多数据共享以缓解COVID-19
从数据治理的角度来看,这一流行病的一个有趣结果是,越来越多的公私数据共享安排如雨后春笋般涌现,作为向当局及时获取相关数据的一种方式,关于大流行的传播范围和“热点”的出现。为了有助于大流行的跟踪和缓解,越来越多的组织报告与政府当局分享被诊断为COVID-19的工作人员的名单。虽然只有9%的组织在流感大流行 之初就报告过这样做,超过两倍(19%)的受访者表示,到2020年底,他们已经实现了这一目标。
报告分享程度*高的部门是教育/ 学术界,超过半数(54%)的人表示,他们已经与政府当局分享了被诊断为COVID-19的患者的名字。这种高度的数据共享与许多教育机构率先开展的更广泛的测试和联系追踪相一致。事实上,在秋季至少部分重新召开的当面授课中,学校、学院和大学对学生、教师和教职员工进行了随机和有针对性的测试。此外, 许多公司还创建了面向公众的COVID-19仪表盘,上面有关于检测和感染率的统计数据,这些数据定期更新,以便向利益相关者通报情 况。其他报告称,感染COVID-19的员工名字共享率高于平均水平的行业是银行业(36%)和医疗保健业(33%)。
虽然在本次调查的第一波和第二波之间,报告与第三方共享匿名/ 聚合的COVID-19数据的组织比例大致相同(21-22%),但报告共享个人可识别数据以对抗COVID-19的组织略多。4月份,约有1/7 的组织报告说与第三方共享个人识别信息,而到10月/11月,这一比例已增至约1/5。
*
隐私保护和预算人员的前景
尽管仍存在挑战,而且每个人何时都能获得疫苗仍存在不确定性, 但就人员和预算而言,隐私职业的前景还是光明的。也就是说,对 于大多数组织来说,COVID-19没有也不会对他们的隐私预算规模产生影响。
4月份,62%的隐私专家预测COVID-19不会影响他们的雇佣规模,而近6个月后,65%的人报告COVID-19确实没有改变他们雇员的数量。同样,48%的受访者预计,由于4月份的COVID-19,他们的隐私预算不会发生变化,而10月/11月,53%的受访者表示,他们的预算保持不变。这些都是令人鼓舞的迹象,作为职业总体而言,大多数人已经能够经受住COVID-19风暴,而没去任何隐私或预算。(COVID-19的风暴而不需要去减低隐私预算)
甚至还有更多的乐观理由,因为第二波调查让我们梳理出了那些隐私团队受到负面影响的组织与那些在COVID-19事件后实际扩张的组织之间的差异。
人们对裁员的预期基本上是一目了然的。虽然约18%的人预计4月将裁员,但实际上到10月/11月将裁减20%的员工。然而,大量受访者(21%)在4月份表示,他们不确定COVID-19在未来几个月将如何影响隐私保护水平。然而,到了10月/11月,大部分不确定因素都消失了,只有2%的受访者表示,他们不确定在那个时间点之前,隐私部门员工的变动。除了这种不确定性,约13%的受访者表示, 自流感爆发以来,他们的组织实际上增加了隐私员工的数量。尽管 各行业的隐私员工增长基本一致,但总部设在德国的组织今年*有可能聘用更多的隐私员工。
从好的方面来看,并非所有关于隐私预算减少的负面预测似乎都实现了。虽然4月份52%的隐私专家预计未来几个月隐私预算至少会有所削减,但在10月/11月,只有约一半(28%)的人表示,他们的隐私预算到那时已经缩减。此外,有13%的人表示,他们组织的隐私预算在流感大流行后实际上有所增加。尤其是那些在政府和科技硬件设备部门工作的人,*有可能在2020年下半年看到隐私预算的增长。总部设在美国和英国的组织也比其他地方更可能看到COVID-19之后的隐私预算增加。
*
结论
约74%的受访者在私营部门工作,15%在政府部门工作,另有11%在非营利组织或教育机构工作。
受访者分布在小型和大型组织中的比例相对平均——只有不到一半(43%)的人在雇员人数在5000人或以上的组织工作,其余的人(57%)在雇员人数少于5000人的组织工作,总人数的34%在雇员人数少于1000人的组织工作。
关于地理分布,样本是多样的,广泛反映了IAPP成员的分布。受访者表示,在超过30个国家的组织,超过一半(53%) 的受访者位于美国以外的约12%是基于加拿大,9%在英国,2%在澳大利亚/新西兰,巴西和比利时。大约8%的样本来自北美和欧洲以外的地区。
受访者也来自不同的就业领域,总共超过20人。*大的群体来自于软件和服务业(13%),其次是政府(12%)和医疗保健业(8%)。保险业(7%)、教育和学术界(6%)、银行业(6%)和技术硬件/设备(5%)是样本中人口*多的行业,反映了隐私专业人员工作的广泛经济领域。
在第一波和第二波调查之间,在角色、公司规模、地理分布 或行业方面,样本组成没有显著变化。因此,在第一波和第二波之间观察到的变化不太可能是由于样品成分中的作用引起的。