PCPD News

私隱專員公署通訊

•

Issue no. 29

2

PCPD in Action

公署動態

Case in Brief

個案摘要

Data Protection in Property Management

物業管理的資料保障

COVER STORY

專題報道

Mark Your Diary

活動日誌

Resources Updates

資源快訊

Statistics

統計

Glossary

詞彙

Technology Updates

科技新知

機構的決心

Organisational Commitment

系統監控

Programme Controls

最高層的

支持

Buy-in from

the top

保障資料

主任╱部門

Data

protection

officer/office

匯報機制

Reporting

持續評估及修訂

Ongoing Assessment and Revision Plan

監督及檢討計劃

Oversight & Review Plan

按需要評估和修訂系統監控

Access and Revise Programme Controls Where Necessary

私隱管理系統的組件

Building Blocks of PMP

公署在過去一年與香港特區政府、

香港保險業協會、香港通訊業聯會

及香港銀行公會等機構合作，倡導

業界內的機構推行私隱管理系統。

截 至

2 0 1 4

年

2

月

1 8

日 為 止，特 區

政 府（包 括 所 有 決 策 局 和 部 門）、

2 5

間 保 險 公 司、九 間 電 訊 公 司 和

五 間 其 他 業 界 的 公 司 承 諾 在 機 構

內 推 行

私 隱 管 理 系 統

。名 單 詳 見

www.pcpd.org.hk/pmp

。

香港銀行公會雖然未有參與承諾，但表

示銀行業支持以自願性質推展的私隱管

理系統，個別銀行亦會因應其各自的私

隱保障管理框架，採取所需措施以落實

私隱管理系統的原則。

何謂私隱管理系統？

私隱管理系統本身並不是《個人資料（私

隱）條例》下的規定，而是「資料使用者

申報計劃」（見第

4

頁背景資料）的過渡

期替代方案。

私隱管理系統的策略框架有助機構達致

符合法律要求和管理私隱風險的目標。

穩妥的私隱管理系統基建應具備以下特點：

•

有機構最高管理層的決心和支持，

並成為機構管治架構不可或缺的一環；

•

待私隱和個人資料保障為跨部門的

事宜，並特別著眼於尊重客戶的需

要、要求，權利和期望；

•

制定政策、程序和常規，以符合條例

規定；

•

參照私隱風險估的結果制訂適當的

防範措施；

•

確保所有措舉、項目和服務都顧及

保障私隱的考慮；

•

設立資料外洩或個人資料私隱事故

的應變計劃；

•

設立內部的監督和檢討機制；

•

合時宜，能夠追隨私隱生態系統的

迅速轉變，保持實用和有效；

•

有適當的資源配合和專責人員處理。

推行得宜 加強競爭優勢

個人資料私隱專員蔣任宏

在私隱管理系

統推展儀式上指出：「從我們的規管經

驗所見，若機構只視個人資料私隱保障

為循規的法律事宜，而欠缺機構最高管

理層的參與，是不足夠的。面對大數據

年代和公眾對私隱保障的期望與日俱

增，機構應該採取積極進取及防患未然

的措施，而非被動的回應或亡羊補牢。

機構應把個人資料和私隱保障納入為企

業管治責任不可或缺的一環，並且由上

而下貫徹地在機構中執行。私隱保障策

略必須由『符規』躍升為『問責』。」

「機構要做到問責，推動整體全面的私

隱管理系統至為重要，確保機構有穩妥

的政策和程序，應用在所有業務常規、

操作程序、產品╱服務設計、實體建築

和基建網絡等各方面。全面的私隱管理

系統不單可協助機構有效地遵從條例的

規定，而且有助建立和推動尊重私隱的

機構文化，有利於與客戶、僱員、股東

及監管機構建立互信關係，提升機構的

聲譽，從而加強其競爭優勢。」

相反，若機構沒有周全地保障個人資

料，會損害機構的信譽。機構發生個人

資料外洩事故，不論在善後及修補聲譽

方面都可能要付上非常沉重的代價。對

受影響的個人而言，資料外洩的代價亦

相當大。

不少組織及機構持有大量的個人資料，

資料的經濟價值日增，公眾亦更為留意

及關注侵犯私隱的事故，因此機構有必

要採取步驟去制定及維持私隱管理系

統，以減低這類事故發生的風險，同時

提高機構處理根本問題的能力，把事故

所造成的損害減至最低。

私隱管理系統：由符規躍升為問責

Privacy Management Programmes: A Strategic Shift

from Compliance to Accountability

面對公眾對保障個人資料私隱與日俱增的期望，以及大數據帶來更高的潛

在私隱風險，個人資料私隱專員提倡機構把保障個人資料提升為良好管治

必要的責任，由上而下貫徹地在機構中執行，而不止於停留在依循法律規

定的層次。

政府和本港

39

間保險業、電訊業及其他業界處理大量市民個人資料的機構

響應公署的號召，承諾引入以問責為本的私隱管理系統。

In response to rising public expectations for privacy protection, along with

increased privacy risks brought about by the era of Big Data, the Privacy

Commissioner for Personal Data has been advocating that organisations should

make personal data protection part of their corporate governance responsibilities

and implement it throughout their organisations using a top-down approach.

The government, together with 39 companies handling vast volumes of personal

data from the insurance, telecommunications and other sectors, have made a

pledge to implement an accountability-based privacy management programme

(“PMP”).

私 隱 管 理 系 統

個人資料庫存

Personal data

inventory

保障個人資料

的政策

Policies on data

protection

風險評估工具

Risk-assessment

tools

培訓及教育

推廣

Training and

education

requirements

資料外洩

事故的應變

機制

Breach

handling

對資料處理

者的管理

Data-

processing

management

溝通

Communication