2019压力下释放GDPR的转型力量报告.pptx

2019压力下释放 GDPR 的转型力量报告,1,变革催化剂常言道，有压力才有动力 GDPR 合规挑战便能给企业带来这种机会，通过创新和创造能力开创新的局面。虽然大多数企业仍处于准备阶段，但是，随着 GDPR 正式生效日期的到来，一个新阶段已拉开序幕。在此时刻，我们提出一个关键问题：企业能否将合规挑战转变为推进数字化工作的大好良机？在调研中，我们发现了一小部分领先企业，他们在 GDPR 生效之日已做好充分准备，将其视为变革的催化剂。本报告旨在探讨这些领先企业的信息安全、隐私、分析和客户互动方法，以及他们如何推动未来成功。,下一篇章在有关数据的安全、隐私、选择和控制的全球性对话不断升温之际，欧盟的通用数据保护条例(GDPR) 正式进入实施阶段（请参阅侧边栏“何为 GDPR？”）。多年来，隐私和安全问题已逐渐从幕后转到台前，成为董事会的正式议题以及世界各地平民百姓茶余饭后的谈资。数据泄密的威胁、数据保护的责任及其对企业和社会的潜在影响正变得越来越明显。GDPR 正对企业和个人产生越来越重大的影响 赋予数据主体新的权利，同时给企业带来了新的监管挑战。最近几年，为了备战 GDPR 合规，企业投入了大量人力物力财力。据估算，一些企业在 GDPR 合规方面的开销已超过 100 万美元。1 然而，考虑到合规工作通常分散在多个部门，并且有些活动可以使用现有工具和流程，因此，实际成本很难估算。但有一点可以肯定，企业一直都在忙于转变旧流程，开发新流程，创建新角色，建立新关系，培训员工以及部署新工具和新技术。GDPR 已成现实，将隐私问题、数据权利和安全漏洞的管理转变为标准业务实践。这不禁令人思考：企业能否将合规压力转变成动力，推动实现更广泛的转型？,2,只有 36%的受访高管表示，他们在GDPR 正式实施之日已具备完全合规能力59%的受访高管表示，GDPR是推动其转型的一个契机，或者说是点燃数据引领的新业务模式的火花我们发现了一组将 GDPR 视为长期转型催化剂的领先企业。在企业内部建立强大协作关系的 GDPR 领先企业的数量是其他调研样本的6 倍。96%的 GDPR 领 先 企 业 认为，GDPR 合规证明是企业获得公众认可的积极差异化优势,序幕的终结何为 GDPR？2欧盟 (EU) 的通用数据保护条例(GDPR) 于 2016 年 4 月获得批准，旨在取代数据保护指令中的最低标准。对于欧盟主体的信息，企业现在面临全新而统一的数据保护要求。3 违规企业将被处以最高 2,000 万欧元或上一财政年度全球总营业额/总收入 4% 的行政罚款，以较高者为准。该法规提出的最低要求包括： 数据保护责任。 数据主体的同意；数据访问权；数据的纠正、擦除和可移植性。 数据泄密通知机制。,3GDPR 是福是祸？为了找到这个问题的答案，我们于 2018 年 2 月至 4 月间在全球范围对 15 个行业中负责企业 GDPR 准备工作的 1,500 位高管进行了访谈（有关更多信息，请参阅“受访者构成与调研方法”部分）。纵观整体样本，我们在企业采取的常规方法及其整体准备程度方面，发现了一些有趣的洞察。对许多企业而言，GDPR 准备工作仍在进行之中 只有 36% 的受访者告诉我们，他们在该法规正式实施之日已能做到完全合规（见图 1）。图 1GDPR 的合规准备情况已开始合规工作,尚未开始合规,18%,47%,合规准备的预计时间安排,36%,将 于 2018年 5 月做到完全合规,工作，但计划在 2018 年 5月之前开始未合规,已合规,4,序幕的终结为何许多企业等到最后一刻才开始行动？也就是说，万不得已才开始“抱佛脚”？个中原因也许很多，可能是企业领导缺乏远见，或是采取观望的态度。也可能是资源问题，或者他们认为准备工作会给业务运营带来过多干扰。好消息是，本次调研的受访者对 GDPR 普遍持积极看法。只有 36% 的受访者认为 GDPR 只是一项强制性的法规。大多数受访者对该法规的潜力及其对企业的影响持积极态度。39% 的受访者将 GDPR 视为促使他们改变安全、隐私和数据管理工作实践的契机，20% 的受访者表示该法规可以成为以数据为主导的全新业务模式的催化剂。这可能意味着许多企业已经接受了这个既成事实，正在努力寻找从中受益的方法。坏消息是，尽管企业给予了 GDPR 足够的重视并付出了极大的努力，但整体准备情况仍然不尽人意。为了弄清受访者重点关注哪些方面以及遇到了哪些挑战，我们请求他们思考与 GDPR 相关的 11 个不同的组成部分，然后告诉我们主要关注哪些方面、遇到哪些困难以及做好了怎样的准备（请参阅侧边栏“检验的 GDPR 组成部分”）。作为 GDPR 准备工作的主要任务之一，开展数据发现工作并确保数据准确性成为大多数受访者的头号关注领域。此外，大多数受访者还将其列为最难攻克的头号挑战（与遵守数据处理原则相关）。事实上，受访者重点关注的前五个领域亦是他们认为最棘手的前五大难题（见图 2）。我们将其分为两种情况。一种是他们难以解决的主要问题正是他们投入大量精力的方面。另一种是他们投入大量精力的方面也是他们难以解决的问题。无论哪种情况，他们的努力都没有足够迅速地获得回报。受访者合规准备工作最主要的两项工作包括：开展数据发现工作并确保数据准确性（60% 的受访者表示已做好了准备）；实施数据主体权利（58% 的受访,5,图 2合规准备的优先工作和主要挑战头号关注焦点领域开展数据发现工作，确保数据准确性遵循数据处理原则制定/更新隐私政策和通知机制设立数据保护官 (DPO) 职位获得数据主体的同意,头号挑战开展数据发现工作，确保数据准确性遵循数据处理原则制定/更新隐私政策和通知机制获得数据主体的同意设立数据保护官 (DPO) 职位,者表示已准备就绪）。准备程度最低的两项工作分别为获得数据主体的同意 (48%) 和处理跨境数据传输 (47%)。在应对挑战的过程中，受访者还会遇到与 GDPR 相关的一些不确定性和担忧。最大的不确定性既有理论上的，也有实践上的 44% 的受访者担心 GDPR 可能会在不久的将来被修改或取代， 43% 的受访者担心GDPR 合规工作会耗费他们太多的人力和财力。此外，他们还可能操心数据处理者选择怎样的安全控制措施，以及企业如何满足越来越多的数据访问请求。,“GDPR 要求” 检验的组成部分数据 遵循数据处理原则 开展数据发现工作，确保数据准确性 管理数据控制者与数据处理者之间的关系 处理跨境数据传输安全 增强安全能力 改进数据事故/安全违规通知和响应实践数据主体 获得数据主体的同意, 制定/更新隐私政策和通知机制 实施数据主体的权利程序和控制机制组织 设立数据保护官 (DPO) 职位 促进问责措施,序幕的终结蓄势待发由于 GDPR 合规准备工作需要投入大量人力财力，因此企业必须证明获得的回报不仅仅是合规。我们在调研中发现了一组领先的企业，他们采用成熟的方法开展安全与隐私、数据与分析以及客户互动实践，推动企业不断进步。采用全面的整体方法开展 GDPR 合规准备工作，可能会给许多方面带来长期改善，包括增强跨组织协作，简化运营和数据管理流程，提高安全性以及加深客户关系等（见图 3）。为了了解哪些企业最有效地把握这些机遇，我们根据一系列标准，从整,个调研样本中选出了一组领先企业。符合这些标准的 GDPR 领先企业占到样本总数的 22% 我们称之为“燃动型企业”，表示这些企业在GDPR 合规准备工作的推动下锐意进取，不断创新。我们将其余的样本称为“被动型企业”，这些企业受到的限制更多，付出的努力不够，因此无法充分挖掘自身的潜力。燃动型企业：,表示他们将在 2018 年 5 月 GDPR 正式生效之日做到完全合规；将 GDPR 视为改变其隐私、安全和数据管理工作的契机，或将其视为创建以数据为主导的全新业务模式的催化剂；将 GDPR 视为重新审视并改进自身安全实践和运营模式的机遇；指出 GDPR 合规准备工作有助于制定合理的数据战略，提高各职能部门的运营效率；预计 GDPR 有助于增进与客户的关系。,6图 3GDPR 合规准备工作不仅仅是为了合规安全和隐私,数据和分析,客户互动,GDPR,准备- 制定强大的整体数字化战略，提高跨组织协作的水平- 通过升级事件响应机制，提高安全性- 建立强大的安全和隐私保护机制以及更密切的客户关系，获得差异化的竞争优势- 为建立以数据为主导的新型业务模式找到新途径- 采用全新的运营方法，简化数据管理工作,7值得注意的是，燃动型企业的年收入普遍高于被动型企业 41% 的燃动型企业年收入超过了 50 亿美元，而被动型企业的这个比例仅为 13%。燃动型企业群体缘何与众不同？从他们借助 GDPR 合规工作创造光明未来的实践之中，我们能学到哪些什么?首先，燃动型企业在流程方面付出了更多的努力（见图 4）。声称全身心致力于完全遵从 GDPR 规定的燃动型企业数量是被动型企业的三倍多。事实上，89% 的燃动型企业在合规准备工作方面付出了巨大的努力。图 4企业在提供所需资源和关注度以确保 GDPR 合规方面付出的努力程度,3 倍还多,10%,10%,燃动型企业,被动型企业,全力以赴非常努力,36%适度努力44%,不太努力,8,序幕的终结相比之下，那些不太努力的企业表示自己之所以选择这样做，主要是因为遇到了几个严重障碍，包括缺乏资金、仅将 GDPR 视为合规问题，甚至认为该法规影响到业务模式，等等。燃动型企业还开展更高水平的组织协作，激励企业中的各组织积极参与准备工作（见图 5）。94% 的燃动型企业指出企业内部具有良好的合作关系（被动型企业的这个比例仅为 49%）。此外，燃动型企业的安全部门、董事会、法务部门、业务部门等职能组织的合规工作参与程度要远高于被动型企业。图 5组织协作和参与,组织协作水平,谁该参与？,70%,67%,63%,31%,35%,15%,27%,21%,燃动型企业被动型企业,非常高,高,一般,较低,安全部门,董事会,法务部门,业务部门,9受访者认为 GDPR 合规准备工作的关键是什么？燃动型企业将全面的战略方法视为关键；而其他受访企业则更关注于战术性措施（见图 6）。燃动型企业认为，首先明确责任，制定强有力的总体数字化战略以及确定整体方法能给他们带来最大裨益。相比之下，被动型企业则持完全不同的观点，他们认为最主要的成功要素包括获得适当的财务和人力资源、获得最高管理层和董事会的支持以及利用成熟度模型或路线图。图 6成功完成 GDPR 合规准备的要素,燃动型企业,被动型企业,在开始实施合规流程之前，首先明确责任制定强有力的总体数字化战略在隐私、流程和安全方面采取整体方法获得最高层主管和/或董事会的支持以推动合规流程使用成熟度模型，帮助开发 GDPR 合规之旅获得适当的财务和人力资源，为合规做好准备,46%42%41%32%30%23%,44%39%38%34%34%32%,确保获得适当的财务和人力资源，为合规做好准备获得最高层主管和/或董事会的支持以推动合规流程使用成熟度模型，帮助开发GDPR 合规之旅在开始实施合规流程之前，首先明确责任在隐私、流程和安全方面采取整体方法制定强有力的总体数字化战略,10,序幕的终结如前所述，总体调研样本在 GDPR 合规准备工作的 11 个组成要素方面的准备程度只能说一般。在所有三个主要领域 数据准备、安全准备和数据主体准备方面，燃动型企业的准备程度都比被动型企业更加充分。例如， 79% 的燃动型企业表示他们做好了开展数据发现工作以及确保数据准确性的准备，相比之下，作出同样表示的被动型企业的比例为 55%。燃动型企业群体在管理数据控制者与数据处理者之间关系方面，以及处理跨境数据传输和遵守数据处理原则方面，表现也远远领先于其他受访者。此外，超过 2/3 的燃动型企业增强了安全能力，改进了数据事件/安全违规通知和响应方面的做法。该群体在获得数据主体的同意以及实施数据主体的权利程序和控制机制方面，也遥遥领先于其他受访者。值得注意的是，即使是燃动型企业，也有一些亟待解决的问题。只有 57%的燃动型企业表示，他们已准备好制定并更新隐私政策和通知机制。那么，他们今天在安全与隐私、数据与分析以及客户互动方面所付出的辛勤工作，能否为将来创造新的价值？,11,不断完善安全方法,GDPR 在违规通知、数据保护和问责机制方面提出了大量特定于安全性,的要求。理想情况下，在网络安全意识和准备工作方面，这些措施能够,起到“水涨船高”的效果。我们的分析表明，83% 的燃动型企业将安全,和隐私视为关键业务差异化因素和竞争优势来源，而其他受访者中持此,观点的比例为 65%。随着 GDPR 的颁布，大多数受访者都修改了事件响应方式（93% 的燃动型企业以及 70% 的被动型企业）。,大多数燃动型企业都将安全与隐私视为长期成功和业务差异化优势的关,键所在。最后，大约 3/4 的燃动型企业表示，他们在新产品和新服务的,设计中充分实施了隐私与安全机制。相比之下，只有不到一半的被动型,企业有此举措。通过要求强制实施领先的实践，理想情况下 GDPR 有,助于全方位提高安全性。,为了了解企业如何改进事件响应和违规通知机制方面的做法（GDPR 第33 条之规定），我们对受访企业提出了几个问题。4 结果发现，大多数燃动型企业的高层领导都会积极参与，实践响应能力并加强沟通 即,便是领导也会努力在这些方面持续改进。相对被动型企业而言，更多的燃动型企业表示他们为高管建立了事件响应方面的新职责（燃动型企业：,63%，被动型企业：37%），与高管一同开展事件响应模拟活动（燃动型企业：58%，被动型企业：38%），并针对数据主体通知事宜制定了新的流程和政策（燃动型企业：53%，被动型企业：49%）。随着网络,安全威胁形势变得越来越复杂，越来越有挑战性，改进这些实践至关重要。当发生安全危机时，企业需要充满信心地发挥领导作用，快速想出,解决办法，以防事件响应机制失控。5,12,序幕的终结改进数据战略数据是 GDPR 的核心所在 该法规就是规定如何请求、提供、共享、处理和利用数据的。几乎所有受访者都表示，为了准备 GDPR 合规工作，他们正在改进数据战略，燃动型企业在这方面的表现稍微出色一些。绝大多数受访者都为了提高绩效和效率而统一了数据战略（燃动型企业的比例为 97%，被动型企业为 84%）。大多数受访者还表示他们统一对待所有数据，无论是否来自欧盟数据主体（燃动型企业的比例为79%，被动型企业为 66%）。很大一部分受访者将 GDPR 视为简化数据管理方法的契机。 80% 的受访者因该法规而逐渐减少保留的个人数据量，78% 的受访者减少了允许访问个人数据的人数，70% 的受访者正在处置不再需要的数据。这种“清理”过程有助于企业提高长期效率。我们还希望了解 GDPR 如何影响依赖于数据的业务模式、产品和服务。结果发现，燃动型企业更相信 GDPR 能够提供长期帮助 打造以数据为主导的新格局。近 30% 的燃动型企业表示， GDPR 能够在以数据为主导的业务模式和实现数据经济效益方面创造新机会，而有此观点的被动型企业的比例仅有 10%。通过认可并遵循 GDPR 原则，企业将有机会创建更具个性化的产品和服务 推动他们深化客户关系。,13,数据控制者和数据处理者必须保持紧密同步,数据控制者和数据处理者之间的关系是合规的关键，对于这种关系的管理不能打任何折扣。它不仅对合规至关重要，也是企业数据保护工作的关键所在。数据控制者负责确定个人数据的处理方式，而数据处理者则负责代表控制者处理个人数据。出,于许多原因，这种关系非常重要，其中一个主要原因是 GDPR 要求控制者和处理,者必须肩负相同的责任和义务。数据控制者不能简单地将责任外包出去。,纵观整个调研样本，将数据控制者和数据处理者之间的关系作为重点领域进行管理,的受访企业寥寥无几 只有 5% 的受访者将其排在优先任务的首位。像许多其,他领域一样，燃动型企业在这方面的准备工作同样领先于其他企业（燃动型企业的,比例为 76%，被动型企业为 47%）。所有的受访企业都表示建立这种关系存在一定的挑战。他们最担心的问题主要包括确保安全性 (57%)、制定联合规程 (56%)以及与数据处理者进行沟通 (51%) 等。,在处理者和控制者之间建立并保持透明度和问责制不仅对数据主体有益，而且还能降低成本和风险，从长远来看有助于提高整体信任度。,14,序幕的终结强化合作关系上文中，我们曾提到大多数受访者对于 GDPR 的潜力及其为企业创造的价值持积极态度（并不是单纯认为 GDPR 仅仅带来合规挑战）。而在这方面，最有说服力和影响力的恐怕莫过于对数据主体与企业关系的影响。在 The Harris Poll 代表 IBM 于近期开展的一项全球在线调研中发现，超过 8,500 名受访者中有 75% 认为，如果他们不相信企业能够保护其数据，便不会从他们手里购买产品，无论这些产品有多棒。6绝大多数的受访者都认为 GDPR 使他们有机会改进与数据主体间的互动，并释放新机遇。超过 90% 的燃动型企业将合规证明视为强有力的差异化优势 证明他们能够为数据主体营造更为个性化的体验；此外他们相信，GDPR 可以帮助他们与数据主体之间建立更深入的信任关系，并创造出新的机遇（见图 7）。若能借助透明性和清晰的沟通而与数据主体之间建立相互信任，那么，企业很有可能充分利用这种互惠互利的优势开创新的机遇。,15图 7关系的变化,公众将 GDPR 合规证明视为强有力的差异化优势96% 81%燃动型企业 被动型企业,我们的企业能够为数据主体/客户营造更为个性化的体验93% 74%燃动型企业 被动型企业,GDPR 可以帮助我们与数据主体/客户建立更深入的信任关系，从而创造新的机遇91% 72%燃动型企业 被动型企业,16,序幕的终结开启新起点我们已跨越关键节点，进入数据、安全、隐私及数字化客户互动的新时代。虽然贵公司也许未能在 GDPR 正式生效之日前完成所有的合规准备工作，但关键是要努力通过项目计划或其他类型的路线图，满足所有方面的合规要求。而已做好准备的企业则可以开始思考如何借助 GDPR开创新机遇，取得更大的成功。无论未来如何发展，也无论处在哪个合规阶段，每个企业都应继续努力，为近期和长期的成功做好准备。协作和努力对于有效做好合规工作、从容应对未来挑战至关重要：,对隐私、监管、人员、流程、数据以及安全采取整体方法；合规工作不再局限于“常规负责部门” （如安全、隐私和法务部门），要求更广泛的核心团队参与到准备工作中 确保业务、人力资源以及涉及个人信息的所有部门均参与其中；确保所有相关负责人员都能快速回复问询，保护个人数据，开展数据处理活动，以应对任何监管要求或调查；寻找机会，让更广泛的 GDPR 合规团队在其他方面发挥作用 包括制定以数据为主导的全新业务战略以及开发新产品/新服务等。,17,以现有的 GDPR 工作成果为基础，提升并利用事件响应能力：明确界定事件响应的个人责任，为主要高管设置新职责，并开展相关的培训活动；与所有参与合规工作的高管和团队一起执行事件响应模拟和实践对话；在 GDPR 合规工作的基础之上，优先推进“在设计中考虑安全和隐私”的理念；继续想方设法将安全和隐私作为关键业务差异化因素和竞争优势来源。较小规模的企业以及资源有限的企业应当仍致力于奠定转型基础： 无论贵公司具备怎样的支持或资源水平，均需了解与数据和文档相关的流程 将精力集中在数据映射和安全控制方面；,继续专注于培养合规意识，培训主要的高管，在开始执行合规任务时，使用新闻故事开启对话，激励高管采取行动；如果贵公司无法投资部署新的安全和隐私工具，请寻找创新方式增强现有工具；寻找机会，将合规工作与贵公司更广泛的数字化转型工作挂钩。,受访者构成与调研方法为了更好地了解企业如何做好 GDPR 合规准备工作，以及如何将其作为转型机遇，IBM 商业价值研究院 (IBV) 携手牛津经济研究所，于 2018 年 2 月至 4 月间对34 个国家或地区 15 个行业的 1,500 多位负责领导 GDPR 合规的企业主管进行了调研。调研对象包括首席隐私官、首席数据官、总法律顾问、首席信息安全官和数据保护主管。为了确定在 GDPR 合规准备方面处于领先的企业群体，我们使用特定标准（他们,对一系列问题的回答）对受访者进行了分类，符合标准的 GDPR 领先企业约占到受访总样本的 22%。,Thanks,