数据合规与隐私保护职能所属部门呈多元化 。
今年有更多的被调查企业具备了数据合规和隐 私保护职能,基本与去年的数值(98%)持平。《数 据安全法》第四章明确了企业应遵循的数据安全保 护义务,《个人信息保护法》第五章规定了企业作 为个人信息处理者的义务,基于此越来越多企业在 内部设立数据合规与隐私保护职能,推动企业内部 履行合规义务。 信息安全部门、法务部门和合规部门仍然是数 据合规与隐私保护工作的主要责任部门。调查结果 显示,33% 的被调查企业信息安全部门需要担任部 分数据合规与隐私保护职能,33% 的被调查企业合 规部门和 44% 的被调查企业法务部门也需要担任部 分职能。企业在考虑将数据合规与隐私保护职能安 置到哪个部门时,可结合自身业务和组织架构进行 设定,以更加符合和适应企业的需求。考虑到数据 合规与隐私保护工作的复杂性和学科交互性,大部 分被调查企业数据合规与隐私保护工作由多部门共 同负责。
与去年相比,信息安全部门和合规部门的占比 有所下降,而法务部门、单独部门占比轻微上升。 这些转变的出现可能是因为数据合规与隐私保护的 合规条线的增加。除了常见的信息安全风险和合规 风险,一些企业法务部门担任确保企业的数据处理 活动符合国家的数据安全标准和要求的责任,法务 部门需要通过专业的分析和评估,识别潜在的数据 安全风险,并制定相应的应对措施。这有助于企业 在面对数据安全挑战时,能够及时作出反应,减少 潜在的法律风险和企业损失。法务部门还应进行适 时地合规评估,确保企业的数据安全管理和保护措 施符合国家和行业的标准。这包括对企业的数据安 全政策、流程和技术的评估,以确保它们能够有效 应对数据泄露、非法访问等安全事件,保护企业和 个人的利益。
法律事务部门主管成为当前数据合规与隐私保 护工作的主要汇报对象,其次是首席信息官、首席 运营官以及合规部门主管。 约 17% 的被调查企业的数据合规与隐私保护工 作主要汇报对象为首席运营官、首席信息官及合规 部门主管,而约 28% 的被调查企业的数据合规与隐 私保护工作主要汇报对象为法务事务部门主管,与 去年相比有明显的上升趋势。 这种变化说明,随着《个人信息保护法》和《数 据安全法》施行以及监管部门的一系列执法行动, 越来越多企业将数据合规与隐私保护工作视为企业 应重点关注的事项。法务部门在保障数据安全方面 扮演着至关重要的角色。首先,他们负责确保数据 处理活动的合规性,这意味着他们需要密切关注相 关的法律法规,确保企业的数据处理活动符合国家 的数据安全标准和要求。这包括但不限于数据的收 集、存储、使用、加工、传输、提供和公开等各个 环节,确保这些活动都在法律允许的范围内进行。 个保法第六十六条明确“严重违法行为可处五千万元 人民币以下或者上一年度营业额百分之五以下罚款, 并可以责令暂停相关业务或者停业整顿、通报有关 主管部门吊销相关业务许可或者吊销营业执照”,违 法违规事项不仅可能影响企业经营,也会影响消费 者对企业的信任。
根据《数据安全法》第二十七条“重要数据的处 理者应当明确数据安全负责人和管理机构”及《个人 信息保护法》第五十二条“处理个人信息达到国家网 信部门规定数量的个人信息处理者应当指定个人信 息保护负责人”,满足法律规定情形的企业应设立数 据安全负责人和个人信息保护负责人。本次调研发 现,所有被调查企业已委任数据安全负责人和个人 信息保护负责人。 然而具体如何设置数据安全负责人和个人信息 保护负责人在法律法规中并未明确规定。通过调研 发现,被调查企业更多地选择 CISO(56%)、CIO/ IT 总监(22%)、DPO(16%)担任数据安全负责人。 而对于个人信息保护负责人,被调查企业更多地选 择由 DPO(61%)、CISO(11%)、法务主管(11%) 担任。 同时,没有企业选择由 CEO 担任数据安全负 责人和个人信息保护负责人。可见,目前数据安全 负责人和个人信息保护负责人的任命基本已成定式, 在信息安全管理体系中,职责分离的过程已被识别 为一种信息安全控制措施。企业可根据自身组织架 构以及业务与产品设立相应岗位,落实保护和监督 责任。
去年企业负责数据合规与隐私保护工作的人员 数量 “11-20 人” “6-10 人” “2-5 人” 的占比仅为 6%、 12%、46%,而今年企业对应的负责数据合规与隐 私保护工作的人员数量占比为 6%、22%、56%, 说明企业需要更多的数据合规与隐私保护人员以满 足监管和消费者对数据合规与隐私保护日趋强烈的 需求。 仅约 6% 的企业没有全职人员负责数据合规与 隐私保护工作,虽然这个数字比去年的 13% 有显著 的下降,这表明尽管企业对数据合规与隐私保护的 需求日益增加,尤其是当前要面对日益严格的数据 安全和隐私保护法规,但仍有部分企业无法满足这 些需求。这些企业可能面临专业人员的缺乏,尤其 是对于中小型企业来说,数据合规与隐私保护的专 5. 数据合规与隐私保护的投入日趋满足实际需求 数据合规与隐私保护的投入一直是数据合规与隐私保护工作者关注的重点,通过对比,了解自身数据合规 与隐私保护的投入是否与同等规模企业一致。调查发现,56% 的被调查企业过去 12 个月在数据合规与隐私保 护的投入大于 200 万元人民币。39% 的被调查企业过去 12 个月在数据合规与隐私保护的投入大于 200 万元小 于 500 万元人民币。17% 的被调查企业过去 12 个月在数据合规与隐私保护的投入大于 2000 万元人民币。 业人员存在较大的缺口,这成为部分企业无法满足 实际的数据合规和隐私保护工作需求的原因之一。
此外,尽管有报告显示信息安全部门和法务部 门是数据合规与隐私保护工作的主要责任部门,但 当前数据合规与隐私保护的专业人员仍然存在较大 的市场缺口。这导致部分企业无法有效实施数据合 规与隐私保护措施,尤其是在面对复杂的合规要求 和隐私保护挑战时。 因此,对于那些没有全职人员负责数据合规与 隐私保护工作的企业来说,解决人才短缺问题、加 强内部培训和提高员工的数据安全和隐私保护意识 成为当务之急。同时,企业也需要积极探索外部人 才引进策略,以填补这一关键领域的专业人员缺口, 确保企业能够有效地遵守相关法律法规,保护个人 和组织的数据隐私和安全。
数据合规与隐私保护的投入一直是数据合规与隐私保护工作者关注的重点,通过对比,了解自身数据合规 与隐私保护的投入是否与同等规模企业一致。调查发现,56% 的被调查企业过去 12 个月在数据合规与隐私保 护的投入大于 200 万元人民币。39% 的被调查企业过去 12 个月在数据合规与隐私保护的投入大于 200 万元小 于 500 万元人民币。17% 的被调查企业过去 12 个月在数据合规与隐私保护的投入大于 2000 万元人民币。
数据合规与隐私保护的投入日趋满足实际需求。89% 的被调查企业认为公司在过去 12 个月内数据合规与 隐私保护方面的投入基本满足需求或超出需求。可见随着国内数据安全和隐私保护压力增大,企业在数据安全 和隐私保护方面的投入逐步增加,更加积极主动地应对合规风险。
制度与流程是数据合规与隐私保护体系的重要 组成部分,也是基础性工作。大部分企业在启动数 据合规与隐私保护工作时,会从制度与流程建设着 手,对内部管理进行标准化、规范化,设立运营流 程以保证数据处理活动符合相关法律法规要求。 在制度建设方面,已有 94% 的被调查企业定 义了相关方针政策以及管理制度与操作规程,并且有 11% 的被调查企业认为公司已制定了完善的管理 制度和操作规程。 在制度执行情况和效果方面,大部分被调查企 业对制度要求进行了落实执行,相比去年有所提升。 今年,33% 的被调查企业认为执行效果有待提升。 这些转变表明随着企业数据合规与隐私保护工作的 深化,企业对于制度和流程落地的需求越来越强烈, 企业数据合规与隐私保护成熟度不断提升。
2022 年 9 月 1 日《数据安全评估管理办法》正 式施行,以支持企业履行《数据安全法》第三十一 条重要数据出境和《个人信息保护法》第三十八条 个人信息出境相关义务。《数据安全评估管理办法》 明确指出,办法施行前已经开展的数据出境活动, 有 11% 的被调查企业认为公司已制定了完善的管理 制度和操作规程。 在制度执行情况和效果方面,大部分被调查企 业对制度要求进行了落实执行,相比去年有所提升。 今年,33% 的被调查企业认为执行效果有待提升。 这些转变表明随着企业数据合规与隐私保护工作的 深化,企业对于制度和流程落地的需求越来越强烈, 企业数据合规与隐私保护成熟度不断提升。 不符合办法规定的,应当本办法施行之日起 6 个月 内完成整改。对此,适用该办法的企业,大部分(78%) 被调查企业进行了积极响应,其中 28% 的被调查企 业处于数据出境安全评估工作前期,即正在开展数 据出境自评估,44% 的被调查企业已完成自评估。
由于国内数据出境安全评估工作刚开始启动, 企业在评估过程中存在许多挑战。在已经启动数据出 境安全评估工作的被调查企业,44% 的被调查企业 认为监管要求复杂且有待进一步明确。另外,39%的被调查企业认为公司数据出境场景复杂,17% 的 被调查企业认为公司缺乏隐私技术开展数据出境安 全评估,6% 的被调查企业认为公司人员缺乏数据出 境评估技能和知识,难以支持评估工作的开展;
针对这些挑战,短期可以借助内外部资源,对 公司现有数据出境场景和风险进行梳理和评估。长 期来说,可以从流程、技术和人员三方面入手,逐 步完善企业在数据出境安全管理能力。流程方面, 建立数据出境安全评估机制,在开展业务时若涉及 数据出境应进行内部申请和自评估,必要时还需进 行外部申报。技术方面,一是借助“数据自动化发现、 分级分类与标识”和“数据流动监控”隐私科技解决方 的被调查企业认为公司数据出境场景复杂,17% 的 被调查企业认为公司缺乏隐私技术开展数据出境安 全评估,6% 的被调查企业认为公司人员缺乏数据出 境评估技能和知识,难以支持评估工作的开展; 案掌握公司个人信息和重要数据的分布、流动、出 境等情况,这与目前企业对数据合规与隐私技术解 决方案迫切需求一致;二是通过“数据合规与隐私风 险评估平台”将数据出境安排评估流程线上化,并将 其嵌入业务活动设计阶段,形成关键控制卡点。人 员方面,通过开展数据合规与隐私保护职能人员的 技能培训和全员意识培训,增强人员数据出境安全。
