从2020年年初开始,视乎2019冠状病毒病疫情的严重程度,机构需要不时实施在家工作安排。因此,机构或需要透过僱员的家居网络及个人电子装置传送或处理办公室资料及文件。相对于由专业人员管理的公司网络及电子装置,僱员的家居网络及个人电子装置的保安一般较弱。再者,电子和实体资料及文件的转移变得频密亦会令资料外洩的风险随之上升。加上在家工作时使用视像会议软件日趋普遍,都无可避免增加资料保安及个人资料私隐的风险。
有见及此,个人资料私隐专员公署(私隐公署)于2020年11月下旬发出三份「在家工作安排下的个人资料保障指引」,分别向机构、僱员及视像会议软件使用者提供实用建议,以加强个人资料私隐的保障。我希望在此介绍三份指引所载的一些建议。
资料保安的基本原则
原则上,不论是在办公室或在家工作,资料保安和保障个人资料私隐的标准是相同的。《个人资料(私隐)条例》(第486章)附表1的保障资料第4原则规定,资料使用者须采取所有切实可行的步骤,以确保个人资料受保障而不受未获准许的或意外的查阅或处理等行为所影响,当中尤其须考虑几个事项,包括(1)储存资料的地点,(2)储存资料的设备所包含的保安措施,(3)为确保资料安全地传输而采取的措施,以及(4)为确保获准查阅资料的人员的良好操守、审慎态度及办事能力而采取的措施。因此,机构及其僱员应加强防范在家工作安排为资料保安和个人资料私隐的保障所带来的新风险。
给机构的实用建议
由于2019冠状病毒病大流行,在家工作迅速成为很多机构的新常态。机构应为在家工作安排做好准备,评估有关安排对资料保安构成的风险,并根据评估的结果对现有政策及行事常规作出适当的修订。例如,为确保资料安全,机构应为在家工作的僱员提供足够培训,包括密码管理、资料加密以及对网络保安威胁及趋势的防范意识。机构亦应指派专责的职员或部门解答僱员的疑问和提供技术支援。
在可行的情况下,机构应向在家工作的僱员提供电子装置(例如智能电话和手提电脑),因为僱员的个人装置可能存在较多资料保安漏洞。机构亦应确保储存于电子装置内的资料(包括个人资料)安全,例如安装适当的防恶意程式软件、防火墙及最新的保安修补程式。为防止资料外洩,机构应开启遥距资料抹除功能,当电子装置遗失或被盗取时,可删除储存在装置内的资料。
虚拟私人网络(VPN)是在家工作安排下较常用的工具,因为VPN可让僱员遥距地以及比较安全地连接公司网络。然而,VPN的安全程度取决于它的设定是否妥当。机构应采取措施加强VPN的安全程度,包括要求在连接VPN时使用多重身份认证、及时更新VPN平台的保安设定,以及采用网络握手协议(handshake protocol)为僱员电子装置与公司网络之间建立安全通讯渠道。此外,机构应对公司网络的遥距连接采取加强的保安措施。
给僱员的实用建议
僱员在确保资料安全上担当重要角色,他们可采取多项措施为在家工作做好准备。首先,他们应遵守僱主有关资料处理的政策,以及在可行的情况下,只使用公司装置处理公事。另外,明显地僱员应注意为公司装置设定高强度密码以防止任何人在未经授权下查阅。僱员亦不应与家人共用公司装置或在公司装置上安装个人设备(例如个人USB记忆体),因为个人设备存有恶意程式的机会较高。
虽然电子通讯可让僱主与僱员于在家工作期间保持有效而畅顺的沟通,但使用电子通讯时必须确保电子通讯的安全以避免资料意外洩漏。例如在可行情况下,僱员应利用网线连接上网。如无可避免要使用Wi-Fi,应采用最新的Wi-Fi安全协定,以加密传输的资料。此外,僱员亦应只用公司电邮帐户(而非个人电邮帐户)传送和接收与工作有关的文件和资料,将载有个人资料和限阅资料的文件和资料加密,以及在发送电邮前复检收件人的名字和电邮地址。当收到可疑电邮和讯息时,应透过其他渠道与发送者核实,例如直接致电查询。
在可行的情况下僱员应避免从办公室带走纸本文件,因为家居环境较难确保文件的安全。如僱员有必要将纸本文件带回家中,应在把文件带离开办公室前尝试将当中的个人资料和限阅资料遮盖或移除。作为良好的做法,僱员应备存清单以记录带回家中和送回办公室的文件。僱员亦切勿在家中弃置载有个人资料和限阅资料的纸本文件。有关文件应按既定程序于办公室销毁。
使用视像会议软件的实用建议
随着工作性质不断改变,遥距工作者现今更依赖使用视像会议软件。根据一项研究发现,英国约有180万名年青人透过视像会议工具参与求职面试。
由于视像会议软件的私隐政策和保安措施各有不同,机构应按需要选用合适的软件。例如,若机构无可避免地要透过视像会议讨论机密事宜,应使用提供端对端加密的视像会议软件。为妥善保护其帐户,机构应设定高强度密码,启用多重身份认证功能(如有),并且安装最新版本的软件和保安修补程式。
为防止有人擅自加入视像会议,机构应为每个会议设定独特的会议登入编号以及高强度、独特的密码。会议登入编号及密码只应发送给与会者。机构亦应使用虚拟等候室功能以核实与会者的身份。当所有与会者进入会议后,将会议「锁上」。
确保资料安全和个人资料受到保障决不是一次性的步骤,特别是当疫症大流行正前所未有地加速了科技的发展以及其对人们日常生活的侵扰,令我们需要面对新的安全和私隐威胁。
机构应不时审视和调整在家工作安排的相关政策及行事常规,从而有效地减低在新常态下所产生的资料安全和个人资料保障的新风险。
请参阅私隐公署发出的三份指引,以获得更多实用建议的详情。指引的电子版可于私隐公署网站下载:https://www.pcpd.org.hk/tc_chi/resources_centre/publications/guidance/guidance.html