个人资料私隐专员在「香港律师」的文章
资料保安 (2019年8月)
近期,在香港及海外发生了瞩目的资料保安事故,令个人资料保障成为公众关注的焦点,并引起社会各界的忧虑。
虽然网络攻击本身可能属刑事罪行而受到其他法律规管,而企业在部分情况下亦不能控制这类攻击,但《私隐条例》的要求是机构须采取「所有切实可行的步骤」,确保个人资料的安全,以应付可能出现的资料外洩事故。需要采取的步骤则很自然地会因应每宗个案的事实和情况而定。
当公署需要考虑资料使用者是否已采取「所有切实可行的步骤」以履行其资料保安责任时,公署将采取「整体性事实」的方式,以及考虑一系列因素,包括但不限于以下各点:
-
资料使用者是否已制定有关数据管治和资料保安的明确内部政策和指引;
-
是否已为资讯科技安全提供了适当的人员编制,并委任合适的领导人员承担个人资料保安的具体责任;
-
是否已根据既定政策和程序对资讯系统进行定期私隐风险评估;特别是尽量减少收集敏感资料,并对其严加保护;
-
是否已根据数据处理活动的性质、规模和复杂性,制定适当的技术和具操作性的保安措施,以保障资讯系统和个人资料的安全(见下文进一步阐述);
-
如有委讬资料处理者,是否有采用合约规范方法或其他方法以维持其资料保安做法的监督;以及
-
在发生资料保安事件时,是否有采取适当行动遏止和补救,包括及时通知受影响人士和公署,令受影响人士的伤害降至最低。
在当前的技术情况下,主要的技术资料保安措施一般应该包括多方面,例如:
-
实施资讯和通讯科技安全措施,以确保系统硬件和软件免被误用或未经授权查阅;
-
对传送中和储存中的资料使用加密措施,并有效地管理密钥;
-
定期备份资料;
-
彻底销毁过期或不必要的资料;
-
对查阅讯息系统加以有效的控制;以及
-
定期对伺服系统作渗透测试。
不言而喻,根据行业、特定业务的规模和复杂性、所涉及的个人资料的数量和敏感程度等,履行资料保安的责任各有不同。无论如何,机构必须定期进行风险评估,以便采取适当的保安措施保障其持有的个人资料。
根据我们的执法经验,我们意识到企业和机构需要特别注意以下几点:
(a) 虽然大多数机构都会注意到资料保安日益容易受损的问题,但随着资料外洩事故不断增加并变得复杂,企业面临更大的压力甚至是责任,须保障顾客的个人资料安全,以保持在行业中的竞争力;
(b) 机构应清楚地意识到,顾客的个人资料是从顾客收集而来的,而该等个人资料可说是由顾客所拥有。企业无可置疑地把这些资料当作一种资产,从中获取利益。事实上,即使个人资料不如其他动产(如钞票)或不动产般属有形的资产,这亦不足以免除企业的责任,包括需要妥善地保护资料,和确保在已达致有关目的而不再需要该资料时彻底销毁资料。顾客(资料当事人)及监管机构亦期望企业能拥有一个完备、有效及可行、能按企业规模及需要加强、并可全面实施的私隐循规政策和计划,以落实法例要求;以及
(c) 许多司法管辖区的新法律和条例,特别是2018年5月实施的欧盟《通用数据保障条例》,也纳入了良好的数据管治或问责制的理念。尽管香港的法例仍未制定类似的问责原则,但香港的企业亦应做好准备,在这个数据驱动的经济时代,采取积极主动的资料管理作为企业的数码价值、道德和责任,将法律要求转化为风险为本、可核实和执行的企业行事方式和管控,以应对全球的监管变化;实现更新的商业模式、数码化、全球化,并确保资料得以保护、可持续和信任。
总括而言,个人资料私隐在香港是基本人权,机构应予以尊重和保障,从而发展适合二十一世纪的企业数码责任,以协力培育正确的私隐文化。