在资讯及通讯科技的广泛使用下,加上混合工作及混合学习等模式的新常态,资料使用者在保障个人资料私隐方面面临重大的挑战,特别是资料保安。今年1月至7月,个人资料私隐专员公署(私隐专员公署)共接获68宗由机构通报的资料外洩事故,其中超过四分之一涉及资讯及通讯科技系统的漏洞。
有见及此,私隐专员公署今日(8月30日)发出 《资讯及通讯科技的保安措施指引》(指引),为资料使用者建议相关的资料保安措施,以协助他们遵从《个人资料(私隐)条例》(第486章)的规定。
个人资料私隐专员钟丽玲表示:「因应网路安全事故有所增加,资料使用者应加强保安措施,防范资讯系统受到恶意的攻击。事实上,稳健的资料保安系统是良好资料管治的一个核心元素。我希望指引可向资料使用者,特别是中小企,提供全面加强资料保安的良好行事方式。」
指引辅以个案分析及图表说明,所建议的资讯及通讯科技的资料保安措施涵盖:-
1.
资料管治和机构性措施:包括委任合适的领导人员负责资料保安,及提供足够的培训予工作人员。
2.
风险评估:在启用新系统和新应用程式前,以及在启用后定期进行资料保安风险评估。
3.
建议一系列的技术上及操作上的保安措施。
4.
资料处理者的管理:资料使用者须采取合约规范方法或其他方法,以防止转移予资料处理者的个人资料在未获准许或意外的情况下被查阅、处理、删除、丧失或使用。
5.
资料保安事故发生后的补救措施,从而减轻对机构及受影响人士可能造成的伤害。
6.
定期监察、评估及改善资料保安政策的遵从情况。
7.
使用云端服务、自携装置,及便携式储存装置所应采取的资料保安措施。
下载《资讯及通讯科技的保安措施指引》:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/guidance_datasecurity_c.pdf