1.7　隐私培训和意识

为员工提供所需的安全和隐私信息，同时确保他们了解并遵守要求，这是企业成功的一个重要组成部分。如果员工不知道或不了解如何维护信息的机密性，或者如何适当地保护信息，不仅是企业最有价值的业务资产之一（信息）可能遭到不当处理，还可能使企业面临法律违规的风险，这些法律法规要求企业开展信息安全及隐私意识和培训活动。此外，企业也有可能损害另一项宝贵的资产，即企业声誉受损的风险。数据保护和隐私教育非常重要，原因有很多，包括：34

●满足法规要求：越来越多的法律法规要求受其管辖的企业开展某种形式的培训和意识活动。如果调查人员和审计师确定企业没有为员工提供隐私培训和意识活动或者提供的活动不充分，企业因违反相关法律法规受到的处罚和制裁通常会加大。

●遵循已发布的隐私告知和政策：企业有义务遵守自己制定的信息安全和隐私政策及自己发布的隐私告知。未被遵守的政策毫无价值，而且不合规可能导致罚款和监管上的处罚。企业需要教育员工有关信息安全及隐私角色和职责，尤其是在支持已发布的通告、政策、标准和程序方面。意识和培训的设计应支持遵守安全和隐私政策及通告。高管应作为员工的榜样；他们的行为会严重影响员工的意识水平、隐私告知和政策合规性。

●客户信任和满意度：尊重客户的安全和隐私是当今企业面临的最重要的问题之一。客户希望了解到，与他们开展业务的企业以负责任的态度行事，尽一切努力保护他们的 PII 和其他类型的个人信息。

●尽职调查：一般来说，尽职调查可证明管理层已确保企业资产（例如信息）得到充分保护，并且遵守法律和合同义务。这是实施培训和意识计划的一个有力的驱动因素。为使计划有效且符合指导方针，企业必须证明在满足合规性要求方面做了尽职调查，并提倡鼓励道德行为和遵守法律承诺的组织文化。

隐私从业人员必须投入足够的时间和资源来识别和开发有效的隐私培训，以及重要的隐私意识沟通、活动和事件。如果企业缺乏对隐私问题、风险和要求的认识及理解，便容易受到隐私泄露和违规的影响。