2021年，隨著企業(yè)組織都需要過渡到一種新常態(tài)，F(xiàn)orrester預測數(shù)據(jù)隱私問題將變得更加緊迫，而潛在的預算問題和不斷變化的國際關系也將影響網(wǎng)絡安全專業(yè)人員。

Forrester公司高級分析師Enza Iannopollo確定了三種與隱私相關的趨勢，這些趨勢將支持企業(yè)組織完成向新常態(tài)的過渡：

· 企業(yè)組織越來越需要從消費者和員工處收集、處理和共享敏感的個人數(shù)據(jù);

· 盡管經(jīng)濟不景氣，但基于價值的消費者將越來越傾向于和有道德的企業(yè)接觸，并將其個人數(shù)據(jù)委托給這些道德企業(yè);

· 與數(shù)據(jù)隱私相關的監(jiān)管和合規(guī)復雜性將進一步增加;

Forrester公司首席分析師Heidi Shey表示，

因為必須要面對經(jīng)濟不確定性、社會動蕩以及不斷變化的地緣政治格局，各企業(yè)組織將需要不斷適應新的業(yè)務模式以及不斷變化的客戶期望。這將對全球的信息和IT安全專業(yè)人員產生重大影響。

隱私預測

隱私問題的緊迫程度或許從美國大選中兩項重要法案相繼出臺便可見端倪。據(jù)悉，選舉日（11月3日）當天，加利福尼亞州選民投票通過了第24號提案，即《加州隱私權法案》（CPRA）;密歇根州的選民則投票通過了第2號提案，這是一項州憲法修正案，該修正案禁止執(zhí)法人員在沒有搜查令的情況下搜查電子數(shù)據(jù)。

而有關2021年的隱私發(fā)展預測具體如下：

與隱私相關的法規(guī)及監(jiān)管行動將會增加

由于企業(yè)組織希望利用消費者和員工的個人數(shù)據(jù)，所以，預計未來與員工隱私相關的法律和監(jiān)管行動將增加100%。

其中，像是巴西、印度和泰國等國家/地區(qū)將遵循歐洲監(jiān)管機構提出的員工數(shù)據(jù)監(jiān)管和保護條例。因此，企業(yè)組織在處理員工的個人數(shù)據(jù)時，需要采取“隱私設計”（Privacy by design，PbD）的新方法，這是目前國際隱私保護實踐中所推崇的理念，該理念可理解為“透明度”、“用戶控制力”和“數(shù)據(jù)安全”三個方面，具體包括：

1）確定要求;

2）評估特定的隱私和道德風險;

3）與員工進行透明地溝通

零方數(shù)據(jù)收集將迎來發(fā)展機遇

我們都很清楚，第一方數(shù)據(jù)是那些品牌自己從客戶關系中或者與品牌發(fā)生過接觸的TA處收集來的信息;第二方數(shù)據(jù)是品牌從其他機構或者合作伙伴處購買、整合來的數(shù)據(jù);第三方數(shù)據(jù)是那些不屬于本品牌的，但是品牌在營銷活動中可以對其加以利用的數(shù)據(jù);

那么，零方數(shù)據(jù)又是什么呢？

“零方數(shù)據(jù)”（Zero-party Data）一詞最早見于Forrester2018年發(fā)布的一份報告之中，指客戶/消費者為了獲取個性化服務/廣告主動分享給品牌的數(shù)據(jù)。例如，某人明確表示在日韓娛樂頻道中屏蔽韓劇只看日劇，或者只喜歡吸貓而不希望自己的寵物頻道推薦中出現(xiàn)狗或豬等等。

如今，隨著第三方Cookies的逐漸失寵，到2021年，將有25%的首席營銷官（CMO）希望投資于授權與偏好管理。這將有利于上下文相關的零方數(shù)據(jù)收集，并允許營銷團隊管理客戶的同意條款，包括選擇退出和不出售客戶偏好數(shù)據(jù)。

此外，這種技術還可以改善企業(yè)組織的數(shù)據(jù)洞察力，并有助于增強客戶體驗（CX）。

更多隱私安全主管將直接向CEO匯報

隨著隱私問題對企業(yè)收入的影響越來越大，直接向CEO匯報的隱私領導者的比例預計將從2019年的23%增加到2021年的40%。

隨著組織希望將隱私保護嵌入客戶體驗之中，這將促使數(shù)據(jù)隱私的主要負責人員可以從企業(yè)高管團隊獲得更多支持。

CCPA 2.0將推動美國的聯(lián)邦隱私立法

雖然《加利福尼亞州消費者隱私法案（CCPA）》制定了美國最強有力的數(shù)據(jù)隱私法規(guī)，但其薄弱之處卻始終是行業(yè)和隱私權倡導者們爭論不休的焦點。就目前情況而言，CCPA確實存在一些對大型科技公司有利的實質性漏洞。其一是將其簡單地重新歸類為“服務提供商”而不是“廣告商”的能力，這使得一些公司能夠避開許多有關個人數(shù)據(jù)銷售的規(guī)定。此外，有關“個人信息”的概念也有一些模糊的定義，以至于在銷售條件和數(shù)據(jù)泄露后果方面可以排除在某個時刻公開的信息。

而《加州隱私權法案》（CPRA）意在填補現(xiàn)行《加州消費者隱私法》（CCPA）的諸多漏洞，CPRA結合了共享、出售和貨幣化數(shù)據(jù)的概念。它要求公司披露他們從用戶處收集的信息，以及他們銷售或共享數(shù)據(jù)的第三方，除此之外，它還賦予加州居民一些新的權利，比如更正“不準確的”個人信息以及限制敏感個人信息的使用和披露的權利。

CPRA創(chuàng)建了一個新的敏感個人信息（SPI）類別，包括廣泛的數(shù)據(jù)元素，例如駕駛執(zhí)照、護照和社會安全號碼、金融賬戶信息、地理位置、種族、民族、宗教、個人通訊、遺傳和生物識別數(shù)據(jù)、健康數(shù)據(jù)以及有關性生活或性取向方面的信息。如果企業(yè)組織計劃收集、共享或出售這些SPI信息，他們必須要提前向用戶披露。一旦被告知，用戶則有權利阻止公司共享其SPI。

此外，CPRA還將成立一個新的機構——加州隱私保護機構（California Privacy Protection agency，CPPA），并向其撥款1000萬美元，賦予其充分的行政權力、特權和管轄權來執(zhí)行這項法律。該機構將調查并舉行聽證會，以確定企業(yè)、服務提供商或承包商是否符合CPRA的要求，并對違規(guī)行為進行處罰。

對于企業(yè)如何“分享”個人數(shù)據(jù)，CPRA同樣給出了嚴格限制。CPRA規(guī)定了一項新的跨語境行為廣告選擇退出機制，其定位為“基于消費者的個人信息而針對特定消費者的廣告，該個人信息是通過消費者的各項商業(yè)活動、個性化網(wǎng)站、應用或服務而獲得的，不同于消費者通過其他商業(yè)、個性化網(wǎng)站、應用或服務而有意進行的交互行為”。從事這些活動的企業(yè)需要在網(wǎng)站上設置“限制使用個人敏感信息”按鈕，以確保用戶有權從披露和廣告過程中退出。

而如果企業(yè)向第三方出售或共享個人信息，或僅僅出于商業(yè)目的向服務提供商或承包商披露此類信息，雙方必須簽署一份包含特定數(shù)據(jù)處理條款的協(xié)議，例如，限制使用條款、違約通知和補救權利等。

根據(jù)Forrester的說法，作為當前《加利福尼亞州消費者隱私法案（CCPA）》的演進版本，《加利福尼亞州隱私權法案（CPRA）》將增加聯(lián)邦政府對用戶隱私的保護力度。

由此一來，企業(yè)組織需要熟悉適用于他們的新法規(guī)的各個方面，并確定它們是否比州立法者通過的法規(guī)更加積極有效

英國將成為數(shù)據(jù)保護事務的“第三國”

Forrester預測，自2021年1月開始，就數(shù)據(jù)保護角度而言，英國將正式成為“第三國”。

鑒于此，那些在英國境內存儲企業(yè)或員工數(shù)據(jù)的企業(yè)組織，將需要把這些數(shù)據(jù)遷移到可以提供充分保護的其他地方，或者遵守標準合同條款（SCC，是歐盟個人數(shù)據(jù)出境的常規(guī)路徑之一）。

除此之外，企業(yè)組織還需要關注以下三個關鍵行動：

1）評估自身是否符合英國數(shù)據(jù)保護要求，包括英國GDPR;

2）明確在決策缺失的情況下，整個生態(tài)系統(tǒng)中的數(shù)據(jù)傳輸將會發(fā)生何種影響;

3）開始制定過渡策略。

網(wǎng)絡安全預

由內部人員引起的數(shù)據(jù)泄露事件將增加

根據(jù)Forrester的預測，到2021年，內部人員事件（無論是偶然的還是惡意的）將占所有數(shù)據(jù)泄露事件的三分之一，而現(xiàn)如今這一比例為25%。

造成這一現(xiàn)象的原因包括，新冠疫情（Covid-19）大流行期間，各企業(yè)組織開始迅速過渡到遠程辦公模式，相應的安全措施尚未到位;員工擔心失業(yè)，動了其他心思，以及數(shù)據(jù)傳輸?shù)拈T檻降低，導致攻擊面激增等等。

因此，企業(yè)組織應該優(yōu)先考慮威脅防御和員工敬業(yè)度等相關問題，同時牢記信任并不是控制。

對非美國網(wǎng)絡安全企業(yè)的風險投資將增加

2020 年 7 月，歐洲對外關系委員會（ECFR）發(fā)布《歐洲的數(shù)字主權：中美對抗背景下從規(guī)則制定者到超級大國》報告，表示歐盟不能繼續(xù)依賴其監(jiān)管力量，而必須憑借自身實力成為科技超級大國。此外，歐委會還在考慮出臺新規(guī)，要求蘋果公司向對手開放iPhone支付技術，并將在新規(guī)中闡明何為支付領域的基礎設施，及如何授予訪問基礎設施的權限。

今年，在東盟峰會及相關會議期間，區(qū)域全面經(jīng)濟伙伴關系協(xié)定（RCEP）正式簽署。15個國家（東盟十國和中國、日本、韓國、澳大利亞及新西蘭）簽署了史上最大規(guī)模的貿易協(xié)定，其中承諾在新冠疫情下提高全球約三分之一人口的收入并給予全球化支持者希望，使其振興世界貿易與合作并對抗特朗普的保護主義成為可能。

在上述種種因素的綜合作用下，F(xiàn)orrester預計，2021年，面向美國以外市場的風險投資（VC）金額將增加20%。

與此同時，跨國公司的安全與風險（S&R）專業(yè)人員將需要考慮基于區(qū)域的點解決方案，首席信息安全官（CISO）應通過關注初創(chuàng)企業(yè)來尋求區(qū)域性安全技術的機會。

致命的安全文化將成為終止首席信息安全官（CISO）的理由

Forrester預計，到2021年，CISO的角色將面臨巨變，由于更多監(jiān)管行動的展開，一種“致命的”安全文化將變得更加公開，這將導致全球500強企業(yè)中擔任首席信息安全官的人員被迫終止合同。

在Forrester列出的網(wǎng)絡安全“十大坑”中 ，有八項與領導層的失誤有關。這就意味著，在該領域建立積極健康的安全文化比以往任何時候都更加重要。

由于直接面向消費者，零售和制造行業(yè)將出現(xiàn)更多安全違規(guī)行為

到2021年，更多品牌將需要直接面向消費者，而不再通過零售商和分銷商構成的傳統(tǒng)供應鏈。這就意味著企業(yè)將需要使用更多的應用程序來改進其業(yè)務參與模式，而此舉將導致攻擊面急劇增加，隨之而來的就是更多的數(shù)據(jù)泄露事件。

正因如此，面臨這種業(yè)務轉型需求的品牌將需要優(yōu)先考慮其產品安全性，并建立起開發(fā)者激勵計劃以及尋求更強大的漏洞和攻擊模擬工具。

審計工作和預算壓力將迫使企業(yè)采用風險量化技術

由于經(jīng)濟發(fā)展的不確定性，許多組織開始大幅削減了人員和技術投資，由此也導致合規(guī)性問題變得越發(fā)困難。

到2021年，審計和預算壓力的持續(xù)增加將意味著CISO們必須努力尋求可以解決潛在的審計問題和風險的方式，風險量化技術或將迎來發(fā)展機遇。

參考及來源：

https://www.wired.com/story/one-clear-message-voters-election-more-privacy/

https://www.information-age.com/forrester-releases-privacy-cyber-security-predictions-2021-123492371/

如若轉載，請注明原文地址：https://www.4hou.com/posts/Vl1X。
責編AJX