报章专栏

实施私隐管理系统  赢取客户信任

钟丽玲大律师是香港个人资料私隐专员，亦是香港董事学会的荣誉资深会员。
 
马云曾经说过：「我们是通过卖东西收集数据，数据是阿里最值钱的财富」。

随着近年数码化发展迅速，收集和使用个人资料对不同业界变得至关重要，特别是提供网上产品及服务的企业。企业对个人资料私隐的重视程度，会直接影响客户的信心和信任，以至企业的竞争优势。

作为香港个人资料私隐专员，我提倡企业应设立私隐管理系统，并委任保障资料主任，以建立一套遵从香港法例第486章《个人资料（私隐） 条例》（《私隐条例》）规定的制度，循规地使用个人资料。私隐管理系统有助企业赢得客户及其他持份者的信任，从而不会被客户及业务伙伴所离弃。董事在实施私隐管理系统上担任独特而关键的角色。香港董事学会最新出版的《独立非执行董事指南》，便鼓励企业实施私隐管理系统，作为实践「环境、社会及管治」管理的其中一环。
 
私隐管理系统的主要部分

私隐管理系统有以下三个主要部分：

1. 机构的决心
2. 系统管控措施（例如个人资料库存、处理个人资料的内部政策）
3. 持续评估及修订（例如制定监督及检讨计划）

在各主要部分中，「机构的决心」与董事的角色息息相关，对董事亦至为重要，因为董事是带领企业迈向成功及良好管治的舵手。为加强问责，企业应由上而下去缔造尊重及保障个人资料私隐的文化。董事应与管理层合力确保企业贯彻执行保障个人资料的政策和程序。

我亦建议企业委任保障资料主任，以监督企业遵从《私隐条例》的规定及落实推行私隐管理系统。企业应投入资源，培训保障资料主任成为保障个人资料私隐的专才。

汇报机制对董事会的监督亦不可或缺。企业应建立内部汇报机制，订明执行及管理私隐管理系统的负责人，报告企业整体的循规情况等。当有需要将个人资料事故提升至更高的层面处理时，例如发生大型资料外洩事故或接获大量资料私隐相关的投诉，有效的汇报机制就可发挥重要作用。
 
结语

因应客户与持份者对企业负责任地使用个人资料日益趋增的期望，企业不应把个人资料私隐保障仅视为循规的要求。事实上，单单符合法例规定行事，已不再是解决方案，与全球恪守良好数据道德的趋势亦不符。要成功设立并推行私隐管理系统，必须有董事会与最高管理层的支持，方能为企业、客户和持份者带来多赢的局面。

欲知道更多有关私隐管理系统的资料，请参阅香港个人资料私隐专员公署发出的《私隐管理系统 — 最佳行事方式指引》。

香港个人资料私隐专员公署发出的《私隐管理系统 — 最佳行事方式指引》