2021年，隨著企業(yè)組織都需要過渡到一種新常態(tài)，F(xiàn)orrester預(yù)測數(shù)據(jù)隱私問題將變得更加緊迫，而潛在的預(yù)算問題和不斷變化的國際關(guān)系也將影響網(wǎng)絡(luò)安全專業(yè)人員。

Forrester公司高級分析師Enza Iannopollo確定了三種與隱私相關(guān)的趨勢，這些趨勢將支持企業(yè)組織完成向新常態(tài)的過渡：

· 企業(yè)組織越來越需要從消費者和員工處收集、處理和共享敏感的個人數(shù)據(jù);

· 盡管經(jīng)濟(jì)不景氣，但基于價值的消費者將越來越傾向于和有道德的企業(yè)接觸，并將其個人數(shù)據(jù)委托給這些道德企業(yè);

· 與數(shù)據(jù)隱私相關(guān)的監(jiān)管和合規(guī)復(fù)雜性將進(jìn)一步增加;

Forrester公司首席分析師Heidi Shey表示，

因為必須要面對經(jīng)濟(jì)不確定性、社會動蕩以及不斷變化的地緣政治格局，各企業(yè)組織將需要不斷適應(yīng)新的業(yè)務(wù)模式以及不斷變化的客戶期望。這將對全球的信息和IT安全專業(yè)人員產(chǎn)生重大影響。

隱私預(yù)測

隱私問題的緊迫程度或許從美國大選中兩項重要法案相繼出臺便可見端倪。據(jù)悉，選舉日（11月3日）當(dāng)天，加利福尼亞州選民投票通過了第24號提案，即《加州隱私權(quán)法案》（CPRA）;密歇根州的選民則投票通過了第2號提案，這是一項州憲法修正案，該修正案禁止執(zhí)法人員在沒有搜查令的情況下搜查電子數(shù)據(jù)。

而有關(guān)2021年的隱私發(fā)展預(yù)測具體如下：

與隱私相關(guān)的法規(guī)及監(jiān)管行動將會增加

由于企業(yè)組織希望利用消費者和員工的個人數(shù)據(jù)，所以，預(yù)計未來與員工隱私相關(guān)的法律和監(jiān)管行動將增加100%。

其中，像是巴西、印度和泰國等國家/地區(qū)將遵循歐洲監(jiān)管機構(gòu)提出的員工數(shù)據(jù)監(jiān)管和保護(hù)條例。因此，企業(yè)組織在處理員工的個人數(shù)據(jù)時，需要采取“隱私設(shè)計”（Privacy by design，PbD）的新方法，這是目前國際隱私保護(hù)實踐中所推崇的理念，該理念可理解為“透明度”、“用戶控制力”和“數(shù)據(jù)安全”三個方面，具體包括：

1）確定要求;

2）評估特定的隱私和道德風(fēng)險;

3）與員工進(jìn)行透明地溝通

零方數(shù)據(jù)收集將迎來發(fā)展機遇

我們都很清楚，第一方數(shù)據(jù)是那些品牌自己從客戶關(guān)系中或者與品牌發(fā)生過接觸的TA處收集來的信息;第二方數(shù)據(jù)是品牌從其他機構(gòu)或者合作伙伴處購買、整合來的數(shù)據(jù);第三方數(shù)據(jù)是那些不屬于本品牌的，但是品牌在營銷活動中可以對其加以利用的數(shù)據(jù);

那么，零方數(shù)據(jù)又是什么呢？

“零方數(shù)據(jù)”（Zero-party Data）一詞最早見于Forrester2018年發(fā)布的一份報告之中，指客戶/消費者為了獲取個性化服務(wù)/廣告主動分享給品牌的數(shù)據(jù)。例如，某人明確表示在日韓娛樂頻道中屏蔽韓劇只看日劇，或者只喜歡吸貓而不希望自己的寵物頻道推薦中出現(xiàn)狗或豬等等。

如今，隨著第三方Cookies的逐漸失寵，到2021年，將有25%的首席營銷官（CMO）希望投資于授權(quán)與偏好管理。這將有利于上下文相關(guān)的零方數(shù)據(jù)收集，并允許營銷團(tuán)隊管理客戶的同意條款，包括選擇退出和不出售客戶偏好數(shù)據(jù)。

此外，這種技術(shù)還可以改善企業(yè)組織的數(shù)據(jù)洞察力，并有助于增強客戶體驗（CX）。

更多隱私安全主管將直接向CEO匯報

隨著隱私問題對企業(yè)收入的影響越來越大，直接向CEO匯報的隱私領(lǐng)導(dǎo)者的比例預(yù)計將從2019年的23%增加到2021年的40%。

隨著組織希望將隱私保護(hù)嵌入客戶體驗之中，這將促使數(shù)據(jù)隱私的主要負(fù)責(zé)人員可以從企業(yè)高管團(tuán)隊獲得更多支持。

CCPA 2.0將推動美國的聯(lián)邦隱私立法

雖然《加利福尼亞州消費者隱私法案（CCPA）》制定了美國最強有力的數(shù)據(jù)隱私法規(guī)，但其薄弱之處卻始終是行業(yè)和隱私權(quán)倡導(dǎo)者們爭論不休的焦點。就目前情況而言，CCPA確實存在一些對大型科技公司有利的實質(zhì)性漏洞。其一是將其簡單地重新歸類為“服務(wù)提供商”而不是“廣告商”的能力，這使得一些公司能夠避開許多有關(guān)個人數(shù)據(jù)銷售的規(guī)定。此外，有關(guān)“個人信息”的概念也有一些模糊的定義，以至于在銷售條件和數(shù)據(jù)泄露后果方面可以排除在某個時刻公開的信息。

而《加州隱私權(quán)法案》（CPRA）意在填補現(xiàn)行《加州消費者隱私法》（CCPA）的諸多漏洞，CPRA結(jié)合了共享、出售和貨幣化數(shù)據(jù)的概念。它要求公司披露他們從用戶處收集的信息，以及他們銷售或共享數(shù)據(jù)的第三方，除此之外，它還賦予加州居民一些新的權(quán)利，比如更正“不準(zhǔn)確的”個人信息以及限制敏感個人信息的使用和披露的權(quán)利。

CPRA創(chuàng)建了一個新的敏感個人信息（SPI）類別，包括廣泛的數(shù)據(jù)元素，例如駕駛執(zhí)照、護(hù)照和社會安全號碼、金融賬戶信息、地理位置、種族、民族、宗教、個人通訊、遺傳和生物識別數(shù)據(jù)、健康數(shù)據(jù)以及有關(guān)性生活或性取向方面的信息。如果企業(yè)組織計劃收集、共享或出售這些SPI信息，他們必須要提前向用戶披露。一旦被告知，用戶則有權(quán)利阻止公司共享其SPI。

此外，CPRA還將成立一個新的機構(gòu)——加州隱私保護(hù)機構(gòu)（California Privacy Protection agency，CPPA），并向其撥款1000萬美元，賦予其充分的行政權(quán)力、特權(quán)和管轄權(quán)來執(zhí)行這項法律。該機構(gòu)將調(diào)查并舉行聽證會，以確定企業(yè)、服務(wù)提供商或承包商是否符合CPRA的要求，并對違規(guī)行為進(jìn)行處罰。

對于企業(yè)如何“分享”個人數(shù)據(jù)，CPRA同樣給出了嚴(yán)格限制。CPRA規(guī)定了一項新的跨語境行為廣告選擇退出機制，其定位為“基于消費者的個人信息而針對特定消費者的廣告，該個人信息是通過消費者的各項商業(yè)活動、個性化網(wǎng)站、應(yīng)用或服務(wù)而獲得的，不同于消費者通過其他商業(yè)、個性化網(wǎng)站、應(yīng)用或服務(wù)而有意進(jìn)行的交互行為”。從事這些活動的企業(yè)需要在網(wǎng)站上設(shè)置“限制使用個人敏感信息”按鈕，以確保用戶有權(quán)從披露和廣告過程中退出。

而如果企業(yè)向第三方出售或共享個人信息，或僅僅出于商業(yè)目的向服務(wù)提供商或承包商披露此類信息，雙方必須簽署一份包含特定數(shù)據(jù)處理條款的協(xié)議，例如，限制使用條款、違約通知和補救權(quán)利等。

根據(jù)Forrester的說法，作為當(dāng)前《加利福尼亞州消費者隱私法案（CCPA）》的演進(jìn)版本，《加利福尼亞州隱私權(quán)法案（CPRA）》將增加聯(lián)邦政府對用戶隱私的保護(hù)力度。

由此一來，企業(yè)組織需要熟悉適用于他們的新法規(guī)的各個方面，并確定它們是否比州立法者通過的法規(guī)更加積極有效

英國將成為數(shù)據(jù)保護(hù)事務(wù)的“第三國”

Forrester預(yù)測，自2021年1月開始，就數(shù)據(jù)保護(hù)角度而言，英國將正式成為“第三國”。

鑒于此，那些在英國境內(nèi)存儲企業(yè)或員工數(shù)據(jù)的企業(yè)組織，將需要把這些數(shù)據(jù)遷移到可以提供充分保護(hù)的其他地方，或者遵守標(biāo)準(zhǔn)合同條款（SCC，是歐盟個人數(shù)據(jù)出境的常規(guī)路徑之一）。

除此之外，企業(yè)組織還需要關(guān)注以下三個關(guān)鍵行動：

1）評估自身是否符合英國數(shù)據(jù)保護(hù)要求，包括英國GDPR;

2）明確在決策缺失的情況下，整個生態(tài)系統(tǒng)中的數(shù)據(jù)傳輸將會發(fā)生何種影響;

3）開始制定過渡策略。

網(wǎng)絡(luò)安全預(yù)

由內(nèi)部人員引起的數(shù)據(jù)泄露事件將增加

根據(jù)Forrester的預(yù)測，到2021年，內(nèi)部人員事件（無論是偶然的還是惡意的）將占所有數(shù)據(jù)泄露事件的三分之一，而現(xiàn)如今這一比例為25%。

造成這一現(xiàn)象的原因包括，新冠疫情（Covid-19）大流行期間，各企業(yè)組織開始迅速過渡到遠(yuǎn)程辦公模式，相應(yīng)的安全措施尚未到位;員工擔(dān)心失業(yè)，動了其他心思，以及數(shù)據(jù)傳輸?shù)拈T檻降低，導(dǎo)致攻擊面激增等等。

因此，企業(yè)組織應(yīng)該優(yōu)先考慮威脅防御和員工敬業(yè)度等相關(guān)問題，同時牢記信任并不是控制。

對非美國網(wǎng)絡(luò)安全企業(yè)的風(fēng)險投資將增加

2020 年 7 月，歐洲對外關(guān)系委員會（ECFR）發(fā)布《歐洲的數(shù)字主權(quán)：中美對抗背景下從規(guī)則制定者到超級大國》報告，表示歐盟不能繼續(xù)依賴其監(jiān)管力量，而必須憑借自身實力成為科技超級大國。此外，歐委會還在考慮出臺新規(guī)，要求蘋果公司向?qū)κ珠_放iPhone支付技術(shù)，并將在新規(guī)中闡明何為支付領(lǐng)域的基礎(chǔ)設(shè)施，及如何授予訪問基礎(chǔ)設(shè)施的權(quán)限。

今年，在東盟峰會及相關(guān)會議期間，區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定（RCEP）正式簽署。15個國家（東盟十國和中國、日本、韓國、澳大利亞及新西蘭）簽署了史上最大規(guī)模的貿(mào)易協(xié)定，其中承諾在新冠疫情下提高全球約三分之一人口的收入并給予全球化支持者希望，使其振興世界貿(mào)易與合作并對抗特朗普的保護(hù)主義成為可能。

在上述種種因素的綜合作用下，F(xiàn)orrester預(yù)計，2021年，面向美國以外市場的風(fēng)險投資（VC）金額將增加20%。

與此同時，跨國公司的安全與風(fēng)險（S&R）專業(yè)人員將需要考慮基于區(qū)域的點解決方案，首席信息安全官（CISO）應(yīng)通過關(guān)注初創(chuàng)企業(yè)來尋求區(qū)域性安全技術(shù)的機會。

致命的安全文化將成為終止首席信息安全官（CISO）的理由

Forrester預(yù)計，到2021年，CISO的角色將面臨巨變，由于更多監(jiān)管行動的展開，一種“致命的”安全文化將變得更加公開，這將導(dǎo)致全球500強企業(yè)中擔(dān)任首席信息安全官的人員被迫終止合同。

在Forrester列出的網(wǎng)絡(luò)安全“十大坑”中 ，有八項與領(lǐng)導(dǎo)層的失誤有關(guān)。這就意味著，在該領(lǐng)域建立積極健康的安全文化比以往任何時候都更加重要。

由于直接面向消費者，零售和制造行業(yè)將出現(xiàn)更多安全違規(guī)行為

到2021年，更多品牌將需要直接面向消費者，而不再通過零售商和分銷商構(gòu)成的傳統(tǒng)供應(yīng)鏈。這就意味著企業(yè)將需要使用更多的應(yīng)用程序來改進(jìn)其業(yè)務(wù)參與模式，而此舉將導(dǎo)致攻擊面急劇增加，隨之而來的就是更多的數(shù)據(jù)泄露事件。

正因如此，面臨這種業(yè)務(wù)轉(zhuǎn)型需求的品牌將需要優(yōu)先考慮其產(chǎn)品安全性，并建立起開發(fā)者激勵計劃以及尋求更強大的漏洞和攻擊模擬工具。

審計工作和預(yù)算壓力將迫使企業(yè)采用風(fēng)險量化技術(shù)

由于經(jīng)濟(jì)發(fā)展的不確定性，許多組織開始大幅削減了人員和技術(shù)投資，由此也導(dǎo)致合規(guī)性問題變得越發(fā)困難。

到2021年，審計和預(yù)算壓力的持續(xù)增加將意味著CISO們必須努力尋求可以解決潛在的審計問題和風(fēng)險的方式，風(fēng)險量化技術(shù)或?qū)⒂瓉戆l(fā)展機遇。

參考及來源：

https://www.wired.com/story/one-clear-message-voters-election-more-privacy/

https://www.information-age.com/forrester-releases-privacy-cyber-security-predictions-2021-123492371/

如若轉(zhuǎn)載，請注明原文地址：https://www.4hou.com/posts/Vl1X。
責(zé)編AJX