香港个人资料私隐专员(私隐专员)黄继儿今日发表《2018 年抽查报告:资料使用者实施私隐管理系统的情况》。
私隐专员于2018年10月至11月期间向26间不同行业的机构(包括保险、金融、电讯、公用事业及交通运输)进行抽查行动,以了解他们实施私隐管理系统的情况。是次抽查为响应「全球私隐执法机关网络」的全球性抽查行动。公署已连续第六年参与有关抽查行动。今年行动的主题是「私隐问责制的实施」,共18个来自世界各地的私隐执法机关(包括公署)参与,旨在透过分析机构实施私隐管理系统的情况,以评估机构在保障个人资料方面达致问责的程度,及他们在业务过程中管理私隐风险的能力。选择这些机构进行抽查行动,是基于其规模及持有的个人资料数量庞大。
抽查结果显示,尽管私隐问责制并非法律规定,参与的香港机构在透过推行自愿性质的私隐管理系统的表现令人满意,其中:
-
所有参与抽查的机构均有制订内部个人资料私隐政策,并纳入机构日常运作中;
-
超过90%参与机构有委任高级人员负责私隐管治;及
-
96%参与机构有向员工提供全面培训,以确保员工了解机构私隐政策、处理个人资料的程序及最佳行事方式。
抽查结果反映参与的机构重视个人资料保障,并愿意投放资源以维护个人资料私隐权益。不过,抽查结果亦发现有近40%参与机构在发生资料外洩事故时通知受影响的资料当事人及向监管机构汇报程序方面仍有改善的空间,另有近20%的参与机构在个人资料库存的拟备方面仍有待改进。
私隐专员黄继儿表示:「机构必须明白,其所持有的个人资料是属于客户个人的,而客户把其个人资料交予机构是基于信赖。因此,机构有责任以尊重 (respectful)、互惠 (beneficial)和公平(fair)这三大数据伦理道德价值处理个人资料,以符合客户的期望。」今次抽查行动与公署于去年10月发布的「处理数据的正当性」研究项目(Legitimacy of Data Processing Project)的报告(题为"Ethical Accountability Framework for Hong Kong, China")可互相呼应。该报告提倡上述三大数据伦理道德价值,与私隐问责制的目标异曲同工、相辅相成。
私隐专员对机构在推行私隐管理系统方面有以下建议,借以遵从《个人资料(私隐)条例》(《私隐条例》)的规定的同时,亦能与客户及员工共享公平、尊重和互惠:
-
提供足够的保障资料培训:确保员工了解《私隐条例》的规定及遵守有关保障个人资料的政策。如机构处理个人资料的政策或《私隐条例》有修订,机构应立即通知员工。
-
定期进行审核:定期审核机构处理个人资料的做法是否符合《私隐条例》的规定,以及是否有优化的空间。
-
资料外洩事故的处理:制订书面程序,述明发生资料外洩事故时通知受影响的个人及向监管机构汇报所需考虑的因素、机制及行事方式。
-
完整的个人资料库存:各部门应拟备部门所属的个人资料库存,就辖下载有个人资料的系统作纪录。
-
转移个人资料的纪录:对所转移的个人资料备存纪录。日后如有需要,便可迅速地翻查有关资料。
私隐专员同时提倡各机构建立自己的私隐管理系统,由最高管理层(例如董事会)做起,将个人资料保障视为其企业管治责任,并将之纳入处理业务中不可或缺的一环,由上而下贯彻地在机构中执行有关保障个人资料的政策。黄继儿强调,今时今日机构在处理个人资料时,不应抱有只依从最低监管要求的想法。相反,机构应恪守更高的道德标准,在策略层面采用私隐管理系统作为框架,辅以行之有效的检讨及监察程序,建立健全的私隐保障基建。
-完-