1、實現數據隱私保護投資的 最大價值數據隱私基準研究2019年思科網絡安全報告系列 數據隱私2019 年 1 月2019年思科網絡安全報告系列數據隱私基準研究 2執行摘要大多數組織都已經并且將繼續進行人員、流程、技術和政策方面的投資，以滿足客戶隱私要求，并避免受到重大罰款和其他處罰。此外，數據泄露事件還在不斷發生，數百萬用戶的個人信息遭到泄漏，組織對自己購買的產品、使用的服務、雇傭的員工以及合作伙伴和業務往來對象都高度關注。因此，客戶在購買周期中會詢問更多數據方面的問題，包括如何獲取、使用、傳輸、共享、存儲和銷毀客戶的數據。在去年的研究（思科 2018 年隱私成熟度基準研究）中，思科引入了一些數據

2、和見解，闡明這些隱私問題對購買周期和時間進程有何負面影響。今年的研究更新了這些調查結果，并探討了隱私保護投資的相關效益。思科數據隱私基準研究利用了思科年度網絡安全基準研究的數據，后一項研究為雙盲調查，由來自 18 個國家/地區以及各種主要行業和地理區域的 3200 多名安全專業人員參與完成。本研究提出了一系列專門針對隱私的問題，2900 多名熟悉自己組織隱私保護流程的受訪者對其中很多問題進行了回答。受訪者回答的問題涉及他們對 GDPR 的準備情況，因客戶數據隱私顧慮導致的銷售周期延遲，數據泄露造成的損失以及他們當前實現數據最大價值的相關做法。本研究的結果提供了強有力的證據，表明除了實現合規性之

3、外，組織還從他們的隱私保護投資中獲得了其他效益。相比那些尚未實現 GDPR 就緒性的組織，GDPR 就緒型組織因客戶的數據隱私顧慮而導致的銷售周期延遲更短。另外，GDPR 就緒型組織發生的數據泄露事件更少，并且在發生此類事件的情況下，受影響的記錄數量更少，系統停機時間也更短。因此，他們由于數據泄露而遭受的總損失低于尚未實現 GDPR 就緒性的組織。盡管很多公司已著重滿足隱私法規和要求，但幾乎所有公司都表示，除了實現合規性之外，他們還從這些投資中獲得了其他業務效益。這些與隱私保護相關的效益不斷為組織提供競爭優勢，同時本研究也可幫助指導組織制定投資決策，努力提高其隱私保護流程成熟度?！半[私保護是組

4、織取得成功的重要因素，既可以保護數據，也可以促進創新?！盝ohn N. Stewart，思科高級副總裁兼首席安全和信任官歐盟的通用數據保護條例(GDPR) 于 2018 年 5 月 25 日開始實施，全球隱私法律和法規繼續不斷發展完善?？蛻粼谫徺I周期中會詢問更多數據方面的問題，包括如何獲取、使用、傳輸、共享、存儲和銷毀客戶的數據。2019年思科網絡安全報告系列數據隱私基準研究 3“這項研究證實了隱私專家長期以來的看法，即除了實現合規性之外，組織還會從隱私保護投資中獲得其他效益。思科的這項研究表明，嚴格的隱私合規性可縮短銷售周期并提高客戶信任度?！盤eter Lefkowitz， Citrix

5、Systems 首席數字風險官， 國際隱私專業人員協會 (IAPP) 2018 年董事會主席2019年思科網絡安全報告系列數據隱私基準研究 4在數據隱私基準研究的所有受訪者中，59% 的受訪者表示，他們目前滿足了所有或大多數 GDPR 要求。（請參見圖 1）29% 的受訪者表示，他們預期在一年內實現 GDPR 就緒性，還有 9% 的受訪者表示需要一年以上的時間才能實現 GDPR 就緒性。雖然 GDPR 適用于歐盟境內企業或適用于處理收集到的歐盟境內用戶的個人數據，但值得注意的是，在我們的全球調查中，只有 3% 的受訪者表示，他們認為 GDPR 不適于他們的組織。在不同國家/地區，GDPR 就緒

6、性介于 42% 到 76% 之間不等。（請參見圖 2）不出意料，接受調查的歐洲國家/地區（西班牙、意大利、英國、法國、德國）總體上就緒性更高。9%3%59%29%目前已經滿足大多數/所有的 GDPR 要求尚未滿足大多數/所有的 GDPR 要求，但我們預計能夠在一年內實現此目標尚未滿足大多數/所有的 GDPR 要求，需要一年以上時間來實現此目標不適用 - GDPR 實際上并不適用于我們圖 1 來源：思科 2019 年數據隱私基準研究，n = 3206GDPR 就緒性受訪者百分比，N = 320642%47%58%72%76%62%69%69%65%45%46%57%73%53%55%50%60%

7、墨西哥美國加拿大法國西班牙意大利印度俄羅斯中國日本澳大利亞土耳其沙特阿拉伯德國英國巴西阿根廷圖 2來源：思科 2019 年數據隱私基準研究GDPR 就緒性在我們的全球調查中，只有 3% 的受訪者表示，他們認為 GDPR 不適用于他們的組織。的公司表示他們目前滿足所有或大多數 GDPR 要求，而 29% 的公司表示會在 1年內達到 GDPR 的要求。公認的實現 GDPR 就緒性的主要挑戰包括：數據安全、員工培訓和滿足不斷發展的法規要求。59%數據隱私基準研究 按國家/地區劃分的 GDPR 就緒性受訪者百分比，N = 3206最終結果2019年思科網絡安全報告系列數據隱私基準研究 5受訪者被要求指

8、出他們的組織在實現 GDPR 就緒性時面臨的最嚴峻的挑戰。根據他們的回答，主要挑戰有數據安全、內部培訓、不斷發展的法規和隱私保護設計要求。（請參見圖 3） 因隱私顧慮造成的銷售周期延遲調查向受訪者詢問，他們的銷售周期是否曾因客戶的數據隱私顧慮而出現延遲。87% 的受訪者表示，確實發生過銷售周期延遲，無論是現有客戶還是潛在客戶都曾出現過這種情況。（請參見圖 4）這一比例明顯高于去年的調查結果（當時報告銷售延遲的受訪者比例為 66%），這可能是由于人們對數據隱私重要性的意識有所提升，歐盟開始實施 GDPR，并且其他隱私法律和要求也開始出臺。數據隱私已經成為許多組織董事會關注的問題，客戶在開展業務之

9、前會確保他們的供應商和業務合作伙伴能夠妥善解決他們的隱私顧慮。 對于銷售周期的延遲時間，受訪者的估計結果差別很大?，F有客戶的平均銷售延遲時間為 3.9 周，超過 94% 的組織報告延遲時間介于 0 至 10 周之間。盡管如此，還有一些組織報告延遲時間長達 25 周至 50 周甚至更久。（請參見圖 5）請注意，潛在客戶的平均銷售延遲時間為 4.7 周，這可能反映了在新的潛在客戶關系中，組織需要更長時間才能妥善解決客戶的圖 3 來源：思科 2019 年數據隱私基準研究42% 滿足數據安全要求39% 內部培訓35% 隨著法規的日益完善，隨時滿足不斷變化的發展要求34% 遵守隱私保護設計的要求34%

10、滿足數據主體訪問請求31%對數據進行目錄編制和清點30%支持數據刪除請求29% 為每個相關地區雇用/確定數據保護專員28%供應商管理實現 GDPR 就緒性面臨的最嚴峻的挑戰受訪者百分比，N = 3098圖 4 ?87%13%受訪者因客戶的數據隱私顧慮而導致的銷售周期延遲受訪者百分比，N = 2064來源：思科 2019 年數據隱私基準研究因客戶數據隱私顧慮導致銷售延遲仍然是大多數組織面臨的問題。 據調查，他們在向現有客戶或潛在客戶銷售產品/服務方面出現過延遲，與去年相比延遲時間大幅增加。87%52019年思科網絡安全報告系列數據隱私基準研究 6隱私顧慮?，F有客戶和潛在客戶的平均延遲時間都明顯低

11、于去年調查報告的平均延遲時間（7.8 周），這或許反映出許多公司在過去一年中進行了更充分的準備來妥善解決客戶的隱私顧慮。在不同國家/地區，現有客戶的銷售延遲時間介于 2.2 周至 5.5 周之間。在組織努力通過調整來妥善解決客戶提出的顧慮時，如果客戶的隱私要求較高或處于過渡狀態，延遲時間通常會更長。（請參見圖 6）銷售延遲至少會導致在一段時間內營收遞延。這可能導致無法達成營收目標，影響薪酬、融資決策和投資者關系。此外，延遲銷售往往會導致丟失銷售機會，例如延遲會導致潛在客戶購買競爭對手的產品或根本不再購買相應產品或服務。圖 50-11-56-1011-1516-2021-2526-3031-35

12、無36-4041-4546-5051+0100200300400500600700來源：思科 2019 年數據隱私基準研究平均為 3.9 周因解決客戶的數據隱私顧慮導致的延遲受訪者百分比，N = 2081延遲（以周數計）答復數量造成隱私相關銷售延遲的主要原因： 調查特定客戶要求 將隱私信息翻譯成客戶的語言 向客戶介紹公司的隱私實踐或流程 必須重新設計產品，以滿足客戶的隱私要求圖 6來源：思科 2019 年數據隱私基準研究國家/地區平均延遲時間（以周數計）阿根廷3.9澳大利亞3.9巴西5.2加拿大5.1中國3.5法國4.2德國3.1印度4.9意大利2.6日本4.1墨西哥2.9俄羅斯2.5沙特阿拉

13、伯4.8西班牙5.5土耳其2.2英國4.9美國3.7整體3.9按國家/地區劃分的銷售延遲受訪者百分比，N = 20812019年思科網絡安全報告系列數據隱私基準研究 7調查還要求受訪者指出導致其組織發生隱私相關銷售延遲的原因。最常見的回答包括需要調查特定的客戶要求，將隱私信息翻譯成客戶要求的語言，向客戶介紹公司的隱私保護實踐或流程，或者必須重新設計產品以滿足客戶的隱私要求。（請參見圖 7）隱私保護投資帶來的業務效益投資實現 GDPR 就緒性的組織主要是為了避免因不合規而遭到巨額罰款和其他處罰。但是，研究表明，這些隱私保護投資還會帶來其他重大業務效益?？匆幌乱螂[私問題導致的銷售延遲，可以發現現有

14、客戶的平均銷售延遲時間為 3.9 周。但是，那些表示自己滿足所有或大多數 GDPR 要求的組織平均銷售延遲時間為 3.4 周，尚未實現 GDPR 就緒性但預計在一年內滿足此要求的組織為 4.5 周，而 GDPR 就緒性最低的組織的平均銷售延遲時間達到了 5.4 周。因此，就緒性最低的組織的平均延遲時間比就緒性最高的組織幾乎高出 60%。（請參見圖 8）雖然大多數公司報告他們去年發生了數據泄露，但是 GDPR 就緒型公司受影響的比例最低 (74%)，相比之下，1 年內才能實現 GDPR 就緒性的組織受影響的比例為 80%，還需要一年以上時間才能實現 GDPR 就緒性的公司受影響的比例高達 89%

15、。圖 7 來源：思科 2019 年數據隱私基準研究49% 我們需要調查客戶/潛在客戶的特定/不尋常的要求，以便讓他們對我們的隱私保護措施感到滿意。42% 我們需要將有關我們隱私政策/流程的信息翻譯成客戶/潛在客戶的語言。39% 客戶/潛在客戶需要詳細了解我們的隱私政策或 流程。38% 我們的產品或服務需要重新設計，以滿足客戶/潛在客戶的隱私要求。33% 我們無法或不愿意滿足客戶/潛在客戶的隱私要求（例如數據泄露政策、數據刪除要求）。28%找到合適的人員或團隊來解決客戶/潛在客戶的問題需要耗費時間。17%我們必須解決哪一方對數據承擔最終責任的問題。5% 我們必須讓我們的律師澄清有關法律的不確定性

16、。造成銷售延遲的原因受訪者百分比，N = 181272019年思科網絡安全報告系列數據隱私基準研究 8除了實現合規性之外，GDPR 就緒型公司還可以通過多種切實的方式從他們的隱私保護投資中獲得其他效益。他們因客戶的隱私顧慮而產生的銷售延遲時間更短（3.4 周對比 5.4 周 ）。他們在去年遭遇數據泄露的頻率更?。?4% 對比 89%），發生泄露時，他們受影響的數據記錄數量更少（79,000 條記錄對比 212,000 條記錄），系統停機時間更短（6.4 小時對比 9.4 小時）。因此，他們因數據泄露造成的總損失更低；去年，只有 37% 的 GDPR 就緒型公司在此方面總損失超過 500,000

17、 美元，而 GDPR 就緒性最低的公司有 64 遭受了此等程度的損失。這些結果表明隱私成熟度已成為許多公司的一項重要競爭優勢。組織應努力最大限度地提高其隱私保護投資的業務效益，這可能超出滿足任何特定隱私法規的要求。主要發現結果總結8數據隱私基準研究 2019年思科網絡安全報告系列2019年思科網絡安全報告系列數據隱私基準研究 9實現 GDPR 就緒性的另一個切實效益是它似乎可以降低數據泄露的頻率并減少由此造成的影響。GDPR 要求組織準確掌握個人身份信息（PII）的保存位置，并為這些數據提供適當的保護。這些舉措可能有助于組織更好地了解其數據以及與其數據相關的風險，并且對這些數據實施或加強保護。

18、雖然大多數公司都報告去年發生了數據泄露事件，但 GDPR 就緒型公司受影響的比例最低 (74%)，相比之下，1 年內才能實現 GDPR 就緒性的組織受影響的比例為 80%，還需要一年以上時間才能實現 GDPR 就緒性的公司受影響的比例高達 89%。（請參見圖 9）“組織要想最大限度地發揮其隱私保護投資的價值，還有很長的路要走。我們的研究表明，數字化市場已經形成，積極進行數據資產和隱私保護投資是進入這個市場的正確途徑?！盡ichelle Dennedy，思科首席隱私官圖 9來源：思科 2019 年數據隱私基準研究Probability of a Breach02040608010074%80%8

19、9%050,000 100,000 150,000 200,000 250,000Records Impacted in Breach79,000100,000212,000System Down Time Due to Breach02468106.48.19.4? GDPR ? 1 ? GDPR ? 1 ? GDPR ?隱私保護投資帶來的業務效益數據泄露的可能性N = 3206受數據泄露影響的記錄數量N = 2454數據泄露導致的系統停機時間N = 2454周記錄百分比圖 8GDPR 就緒在 1 年內能實現 GDPR 就緒性需要 1 年以上的時間來實現 GDPR 就緒性0123453.44

20、.55.4來源：思科 2019 年數據隱私基準研究平均延遲周數 （現有客戶）受訪者百分比，N = 2081周2019年思科網絡安全報告系列數據隱私基準研究 10此外，發生數據泄露后，GDPR 就緒型公司受到的影響更小。這類公司受影響的平均記錄數量為 79,000 條，而 GDPR 就緒性最低的公司受影響的平均記錄數量為 212,000 條（請參見圖 9） GDPR 就緒型公司的數據泄露相關的系統停機時間更短，這可能同樣與其更為出色的數據資產管理水平有關。GDPR 就緒型公司的平均系統停機時間為 6.4 小時，而 GDPR 就緒性最低的公司為 9.4 小時。（請參見圖 9）由于受影響的記錄數量更

21、少，停機時間更短，GDPR 就緒型公司的數據泄露總損失更低也就不足為奇了。這些公司中數據泄露損失總損失超過 500,000 美元的只占到 37% ，相比之下， 就緒性最低的公司中這一比例為 64%（請參閱圖 10）組織認識到了隱私保護投資的效益本研究的前兩個部分強調了隱私保護投資與業務效益的相關性，例如執行此類投資的組織，銷售延遲時間更短，發生的數據泄露事件更少，而且由此導致的損失也更小。值得注意的是，大多數受訪者現在都認識到了其中的許多益處。當被問及隱私保護投資是否已產生效益（例如提高靈活性和促進創新，獲得競爭優勢，實現運營效率等），75% 的受訪者指出他們獲得了兩種或更多效益，而幾乎所有公

22、司 (97%) 都指出至少獲得了一種效益。（請參見圖 11）幾乎所有公司 (97%) 都報告，他們目前已從其隱私保護投資中獲得了其他效益，包括提高敏捷性、促進創新、獲得競爭優勢、提高運營效率、減少數據泄露損失、縮短銷售延遲時間以及獲得投資者的青睞。由于發生數據泄露的記錄更少以及停機時間更短，因此 GDPR 就緒型公司因數據泄露而蒙受的總損失更少。圖 11來源：思科 2019 年數據隱私基準研究42% 通過適當的數據控制，提高敏捷性和促進創新。41% 獲得優于其他組織的競爭優勢。41% 通過整理數據和編制目錄，提高運營效率。39% 降低數據泄露造成的損失。37% 減少因客戶/潛在客戶隱私顧慮造成

23、的任何銷售延遲。36%贏得投資者青睞。3%以上都不是。隱私保護投資帶來的效益受訪者百分比，N = 3259圖 100%10%20%30%40%50%60%70%已實現 GDPR 就緒性在 1 年內能實現 GDPR 就緒性需要 1 年以上的時間來實現 GDPR 就緒性37%46%64%來源：思科 2019 年數據隱私基準研究數據泄露損失達到 50 萬美元的概率受訪者百分比，N = 3206數據隱私基準研究 2019年思科網絡安全報告系列數據隱私基準研究 11最大限度地發掘數據的價值為最大限度地發掘數據資產在整個數據生命周期中的價值，在組織采取的整體措施中，保護數據隱私是一項關鍵舉措。如同任何其他

24、資產一樣，組織應該有效地獲取、存儲、保護、利用和存檔/刪除數據。以適當方式最大限度地發掘數據價值的組織可以從中獲益良多，不僅能贏得客戶信任，還能使用受到高度保護和精心管理的數據來增強客戶體驗并為所有利益相關者創造更大價值。此次調查向受訪者詢問了成熟數據環境中常見的一系列行為，例如是否擁有完整的數據目錄，將數據與其他資產關聯，雇用首席數據官以及在外部利用數據實現盈利。（請參見圖 12）不到一半的受訪者表示存在所有上述行為特征，這方面需要進一步研究，以更好地了解組織如何最大限度地發掘其數據資產的價值。啟示這些結果表明，隱私保護投資創造出的業務價值已遠遠超出實現合規性這一初衷，并且已經成為許多公司的

25、重要競爭優勢。因此，組織應努力了解其隱私保護投資的作用，包括減少銷售周期的延遲時間，降低與數據泄露相關的風險和損失，以及其他潛在的效益，例如提高敏捷性、促進創新、獲得競爭優勢和提高運營效率。各個組織可以將此次調查的分析和見解作為一個框架和起點，以最大限度地發掘其隱私保護投資的價值。報告已滿足所有或大多數 GDPR 要求的組織的平均銷售延遲時間為 3.4 周。圖 12來源：思科 2019 年數據隱私基準研究42%我們了解大多數/所有數據資產的價值。42%我們清楚存放大多數/所有個人身份信息 (PII) 的位置以及這些信息的使用情況。40%我們可以有效地將不同的數據資產關聯在一起，為我們的客戶和我

26、們自己創造更多價值。37%我們擁有相對完整的數據資產目錄。32%我們設有一位首席數據官。32%我們認為自己是一家以信息為中心的公司。30%我們可以通過向外部銷售（或交換）選擇的數據來盈利。2%以上都不是。成熟數據環境中的常見行為。受訪者百分比，N = 3259以適當方式最大限度地發掘數據價值的組織可以從中獲益良多，不僅可以贏得客戶信任，還可以使用受到高度保護和精心整理的數據來增強客戶體驗并為所有利益相關者創造更大價值。112019年思科網絡安全報告系列數據隱私基準研究 12“良好的企業隱私政策可以通過為客戶提供透明度和個人信息控制，保護公司免受數據泄露帶來的財務損失，而有缺陷的政策可能會加劇數

27、據泄露造成的問題?！惫鹕虡I評論，“一個強大的隱私政策可以幫助公司節省數百萬美元”，2018 年 2 月 15 日2019年思科網絡安全報告系列數據隱私基準研究 13本研究對許多與隱私成熟度相關的業務效益進行了量化。去年的報告中初步確定的許多效益已得到更充分的確認和研究，包括減少與隱私相關的銷售延遲以及降低數據泄露的頻率并減少由此造成的影響。在今后的研究中，我們將探討這些效益如何隨時間推移而變化，特別是隨著不同行業和不同地區隱私法規和客戶期望的不斷發展，它們會發生哪些變化。思科將繼續與我們的客戶和隱私保護領域的其他領導者合作來提供信息，以便客戶做出更好的投資決策并提高我們的客戶信任度。有關詳細

28、信息，請參閱： 數據隱私對業務的影響隱私保護投資創造的商業價值遠遠超出了實現合規性，并且已經成為許多公司的一項重要競爭優勢?？偨Y2019年思科網絡安全報告系列數據隱私基準研究 14思科在全球設有 200 多個辦事處。思科網站 上列出了各辦事處的地址、電話和傳真。2019 年 1 月發布 2019 思科和/或其附屬公司。版權所有。Cisco 和 Cisco 徽標是思科和/或其附屬公司在美國和其他國家/地區的商標或注冊商標。若要查看思科商標的列表，請訪問此 URL： 。文中提及的第三方商標為其相應所有者的財產?！昂献骰锇椤?一詞的使用并不意味著思科和任何其他公司之間存在合作伙伴關系。(1110R)

29、Adobe、Acrobat 和 Flash 是 Adobe Systems Incorporated 在美國和/或其他國家/地區的已注冊商標或商標。美洲總部 Cisco Systems, Inc. 加州圣荷西亞太總部 Cisco Systems (USA), Pte. Ltd. 新加坡歐洲總部 Cisco Systems International BV 阿姆斯特丹，荷蘭過去十年中，思科發布了大量權威的安全和威脅情報信息，專門面向關注全球網絡安全狀態的安全專業人員。這些全面的報告詳細介紹了威脅形勢及其對組織的影響，以及防范數據泄露不利影響的最佳實踐。為了以新的方式提升我們的思想領導力，思科安全部門以思科網絡安全報告系列為主題，發布了一系列基于研究、數據驅動的報告。我們進一步拓展了主題范圍，針對關注點不同的安全專業人士提供不同的報告。憑借安全行業威脅研究人員和創新者淵博的專業知識，2019 年系列報告包括數據隱私基準研究、威脅報告和 CISO 基準研究，以及全年后續推出的其他報告。有關詳細信息，請訪問 。思科網絡安全報告系列簡介PRIV_01_0119_r1