日期: 2017年11月30日
公署回应有关本港旅游业界保存客户资料及网络保安措施
谢谢你的查询,有关本港旅游业界处理客户资料及网络保安措施事宜,公署现就
个人资料私隐范畴综合回复如下:
-
一旦发现香港营运的旅行社资料外洩(包括黑客侵袭),公署定当联络相关旅行社并展开循规审查。
-
公署注意到旅行社会收集和保存大量客户的个人资料,因此曾于2016年1月发表一份有关旅行社个人资料系统的视察报告供业界参考。在该次检视期间,公署曾就一间旅行社的资讯科技保安(包括了解其针对入侵者、恶意软件及漏洞所设立的技术安排)进行检视。视察报告列出多项保安措施方面的建议,包括:
-
于现有的工作流程或指引中列明保护敏感资料的措施;
-
应贯彻执行在不可靠网络(包括互联网)传输个人资料时必须加密的规定,并书面订明违规的后果;
-
检讨及完善资讯科技保安政策及管治,以确保其全面性及完整性;及
-
完善处理资料遗失或外洩的指引等。
-
作为资料使用者,旅行社必须按《个人资料(私隐)条例》(「条例」)规定妥善储存客户的个人资料,并采取切实可行的步骤,保障个人资料不会未经授权或意外地被查阅、处理、删除、丧失或使用,否则便有可能违反条例下的资料保安原则 [1]。即使旅行社聘用或委讬资料处理者协助处理个人资料,旅行社须采取合约规范方法或其他方法,以防止转移予该资料处理者作处理的个人资料未获准许或意外地被查阅或使用。另外,根据条例第65(2) 条,资料使用者作为主事人,须对其授权的资料处理者的不当行为负上条例下的法律责任。私隐专员若有合理理由相信有违反条例规定的情况,可就个别旅行社的有关行为进行循规审查及/或根据条例第38(b)(ii)条,主动就有关事宜进行调查。
私隐专员可发出执行通知,指令违规旅行社采取补救措施。若有关资料使用者不遵守执行通知,公署可将个案转交警方作刑事检控。违法者一经定罪,最高可被判处罚款五万元和监禁两年。如罪行持续,可处每日罚款一千元。
-
除致力监管条例的执行及公正执法外,私隐专员认为在持份者间培育及推广「保障、尊重个人资料」的文化尤其重要。旅行社所管有的个人资料若处理不善导致外洩或遭滥用,除对其客户造成严重伤害外,亦会影响旅行社的商誉和客户流失。公署鼓励旅行社要「自管」,按法例和指引采纳良好的行事方式,保障客户的个人资料,以赢取商誉和客户的信任。私隐专员已刊发《私隐管理系统最佳行事方式指引》,鼓励旅行社把个人资料私隐保障纳入企业管治责任,由上而下推行公开和具透明度的资讯政策和常规,以示旅行社有决心体现良好企业管治和建立僱员和客户的信任;另出版《外判个人资料的处理予资料处理者》资料单张,就资料使用者监察其资料处理者遵从保障资料原则的规定,以及资料处理者的责任,提供相关资讯。公署每年亦举办不同类型的专业研习班、研讨会及会议,提高各行业员工对条例的认识和理解。
-
公署建议利用资讯科技营运业务或提供服务、并收集、处理或储存个人资料的机构(包括旅行社)应:
-
具备清晰及适当的个人资料私隐政策及指引,并与顾客多沟通和讲解;
-
在互联网及机构网站进行例行的搜寻,检查是否有个人资料意外地外洩;
-
聘用具备资讯保安知识的资讯科技人员及承办商,并确保他们掌握的知识与时并进;
-
了解机构网站或网站设计人员的工作流程,避免个人资料储存于公众可查阅的位置;
-
建立正规的资讯安全修补程式管理;
-
定期对机构的网站进行漏洞扫描/测试;
-
建立具合适复杂程度的密码和重设密码监控;
-
采用适当的加密运算方式和密码,把静止和流动的资料加密;及
-
确保没有用的资料被稳妥地删除,详情可参阅公署刊发的《个人资料的删除与匿名化指引》。
-
私隐专员同时亦提醒巿民大众要「自保」,在网上进行消费(如购买机票或酒店)时要留意个人资料的网上保安风险,包括:
-
应避免使用公共电脑及公共Wi-Fi浏览含敏感资料网站或进行网上交易(如网上订票或付款);
-
使用公共Wi-Fi热点后,要删除智能装置内网络设定中的Wi-Fi存取点,减低个人资料遭窃取的风险;
-
不要让装置记录你的登入状态,并时刻紧记要「登出」;
-
设定复杂的帐户密码,不要在多个帐户使用同一密码;及
-
安装及定期更新装置的防盗及防毒软件。
-
巿民若发现个人资料被不当地收集或不恰当地使用,可向公署作出投诉。公署会根据既定程序和法例作出跟进处理。
-
由2015年1月1日至2017年11月28日期间,公署曾接获六宗与旅行社、航空公司或旅游网站就个人资料保安范畴相关的投诉,并已按既定程序作出适当跟进。期间公署亦进行了两次相关的循规审查行动,并没有相关个案转介予警方作检控。
(如需引述,请写私隐专员黄继儿)
[1] 条例下的保障资料第4原则 – 资料保安原则