【前言】随着数据隐私的不断发展,如果公司希望避免罚款和消费者的强烈反对,那么处理所有系统中的个人数据应该是重中之重。

本文发自helpnetsecurity,原题为“Businesses under pressure as consumers exercise their privacy rights”,作者DataGrail,经朋湖网作者黎燕编译整理,供业内参考。 

近日,DataGrail公布了其研究报告的结果,该报告着眼于分析消费者数据隐私趋势。在报告中,该公司对与数据隐私相关的成本、数量和挑战进行了基准测试。

该报告重点关注消费者在2021年为行使《加利福尼亚州消费者隐私保护法案》(CCPA)下的隐私权而采取的行动,这包括访问其数据、删除其数据以及停止将其数据出售给第三方的权利。该公司随后将2021年的数据与2020年的数据进行了比较,这是CCPA施行的第一年,以评估数据隐私趋势线。

该研究清楚地表明,消费者正在采取行动管理他们的个人信息 -——他们非常愿意删除他们的数据并停止将其数据出售给第三方。这意味着负责处理数据主体请求 DSR) 的公司的成本急剧增加。

“消费者对他们希望如何使用他们的数据有强烈的感受,公司在很大程度上没有准备好应对这种巨大的变化”DataGrail首席执行官Daniel Barber表示。 

他强调,数据主体请求的数量呈指数级增长,这给企业带来了许多压力,特别是因为许多公司仍在试图弄清楚所有这些客户数据的位置。随着更多立法的到来,情况只会变得更糟:例如,当《加州隐私权法案》(CPRA)于2023年1月生效时,数百家公司将需要向消费者提供是否可以与第三方共享其个人数据的发言权,这与他们的数据是否可以出售是一个截然不同的问题。仅此一项就会增加管理数据隐私的复杂性和成本。

数据隐私趋势:消费者控制他们的数据

从目前的情况来看,消费者正在积极采取措施减少在线足迹,2020年到2021年,DSR的数量几乎翻了一番:请求数量从每100万个身份的137个增加到266个请求,数据删除请求在2021年也几乎翻了一番。

2020年,公司每100万个身份中约有43个删除请求。到2021年,这个数字激增到每100万个身份中有84个删除请求,尽管消费者更难完成删除请求。这表明人们愿意不遗余力地删除他们的数据——并且在CPRA生效后可能会继续做得很好。

此外,DSR 不限于加利福尼亚州事实上,到2021年底,公司从每个州都收到了DSR。华盛顿哥伦比亚特区和加利福尼亚州的人均人数可能最多,华盛顿州、科罗拉多州、伊利诺伊州和弗吉尼亚州紧随其后。人们要求更多地了解公司如何处理他们的数据,无论他们住在哪里。

这对企业意味着什么

Gartner 的研究表明,企业花费大约 1524 美元来处理单个 DSR,当将该数字乘以收到的请求数时,这相当于预算中的一个大项目。此外,DataGrail的研究团队发现,平均而言,负责执行DSR的团队成员如果手动完成,一年需要花费2-4个月(60-130小时)来维持合规性,这是一个巨大的生产力压力。 

更深入地分析的话,影响点包括:

隐私的成本正在上升,对于企业来说只会变得更加昂贵。处理数据主体请求的成本同比增长了一倍。它从每100万个身份的192,000美元跃升至每100万个身份的约40万美元,并且成本将继续上升。

CPRA生效时,DSR将变得更加难以处理。新法规解释道,组织必须让人们选择退出——当他们的数据被出售,而且是出于广告目的与第三方共享。对于当前需要提供 DNS 的组织,这已经占其请求总数的 63%。随着越来越多的公司需要根据CPRA启用DNS进行数据共享,隐私请求的数量将飙升。

公司磕磕绊绊地识别所有包含个人数据的第三方SaaS应用程序,在手动运行数据映射练习时,组织经常会错过约 50% 的 SaaS 应用。实际上,大多数公司甚至不知道包含个人数据的所有系统(第三方Saas应用程序),更不用说个人数据的位置。随着数据隐私的不断发展,如果公司希望避免罚款和消费者的强烈反对,那么处理所有系统中的个人数据应该是重中之重。

随着 DSR 从每个州流入,企业必须以更长远的目光看待。目前,只有三个州有隐私法,但许多其他州正在制定法案。组织必须为各州之间略有不同的要求做好准备,当新法律颁布时,它们将需要更多的资源来迅速和准确地处理。公司可以通过现在就实施合理的实践和解决方案来抵消这些挑战。

我们已经进入了一个新时代,在这个时代,强大的数据隐私计划不仅对合规性或赢得客户信任至关重要,而且对企业的实际生存也至关重要,Barber指出“关键在于利用自动化解决方案,其既能提高效率,降低成本,又能避免错误。系统必须足够灵活,以便能够适应州、联邦和全球范围内快速变化的格局变化。这是一个重大挑战,但可以通过智能软件和完善的数据隐私实践来克服。”