Skip to content

报章专栏

媒体报道

实施个人资料私隐管理系统  赢取客户信任 

香港个人资料私隐专员钟丽玲大律师
 
马云曾经说过:「我们是通过卖东西收集数据,数据是阿里最值钱的财富」。

数码科技在过去十年发展迅速,收集和使用个人资料对大部分企业(尤其是提供网上产品及服务的企业)至关重要。现今客户不但要求更高的资讯透明度,还期望企业清楚交代收集所得的个人资料将作何种用途及如何使用。企业对个人资料私隐的重视程度将直接影响客户对公司的信心和信任,企业的竞争优势亦连带受到影响。

有鉴于此,香港个人资料私隐专员公署(私隐公署)提倡企业设立个人资料私隐管理系统(私隐管理系统),并委任保障资料主任,以建立一套遵从香港《个人资料(私隐) 条例》(《私隐条例》)规定的制度,以循规地使用个人资料。

私隐管理系统有助企业赢得客户和其他持份者的信任,从而得到客户和业务夥伴的忠实支持,忠诚度在瞬息万变的商业环境尤其重要。

企业实施私隐管理系统是履行良好企业管治的重要一环,当中董事扮演独特而关键的角色。事实上,香港董事学会最新出版的《独立非执行董事指南》,便鼓励企业实施私隐管理系统,作为实践环境、社会及管治(ESG)管理的其中一环。

设立私隐管理系统的好处

私隐管理系统奉行问责原则,是一套专为规范个人或机构以负责任的态度收集、持有、处理和使用个人资料而设的管理框架。设立私隐管理系统有助企业:
  • 将资料安全相关事故发生的风险降至最低;
  • 根据既定程序和协定有效处理私隐外洩事故,从而将损害减至最低;
  • 有效管理收集所得的个人资料;
  • 确保符合《私隐条例》的规定;
  • 展现乐于履行良好企业管治并与客户及相关持份者建立信任的决心;及
  • 提升商誉和竞争优势,并开拓潜在商机。
 
私隐管理系统的主要部分

私隐管理系统至少应包含以下三个主要部分:
  1. 机构的决心
    • 最高管理层的支持
    • 委任保障资料主任 / 设立保障资料部门
    • 建立汇报机制
  2. 系统管控措施
    • 个人资料库存,包含企业持有的个人资料类别及个人资料处理方式的资讯
    • 处理个人资料的内部政策
    • 风险评估工具
    • 培训及教育推广
    • 资料外洩事故的处理
    • 对资料处理者的管理
    • 与员工、客户及持份者沟通
  3.  持续评估及修订
    • 制定监督及检讨计划
    • 评估及修订系统管控措施

机构决心实施私隐管理系统至关重要

「机构的决心」是私隐管理系统的要素,与董事的角色息息相关,对董事亦尤其重要,因为董事是带领企业迈向成功及良好管治的舵手,包括数据问责。

最高管理层的支持

为加强问责,企业需要从最高管理层做起,由上而下培养尊重私隐的文化,并展现保障个人资料私隐的决心。私隐公署建议最高管理层在董事的领导下应:
  • 透过员工会议或通告,向全体员工表达公司支持建立尊重个人资料私隐的文化及致力推行私隐管理系统;
  • 委任保障资料主任;
  • 对系统管控措施及整个私隐管理系统予以认可;
  • 分配充足资源推行私隐管理系统,包括财政及人手;
  • 主动参与私隐管理系统的评估及检讨工作;及
  • 定期在董事局汇报私隐管理系统的运作情况。
董事宜与管理层合力确保企业内部贯彻执行保障个人资料的政策和程序。

委任保障资料主任 / 设立保障资料部门

私隐公署建议企业委任保障资料主任,以监督企业有否遵从《私隐条例》的规定及落实执行私隐管理系统。大型企业应指派高级行政人员出任保障资料主任,而小企业则可安排公司拥有人或管理人员出任。

保障资料主任负责建立、设计及管理私隐管理系统,包括所有相关程序、培训、监察或审核、记录、评估及其他与收集、持有、处理及使用个人资料相关的跟进工作。

大型企业由于部门和业务单位较多,所收集和使用的个人资料亦较多,故此建议委任部门协调主任,支援保障资料主任的工作。企业应投放资源培训保障资料主任,成为保障个人资料私隐方面的专才。

建立汇报机制

汇报机制是董事会监督工作不可或缺的部分。为此,企业应建立内部汇报机制,让企业在汇报整体合规情况、遇到问题、接获与个人资料私隐有关的投诉或可能发生私隐外洩事故时,有清晰明确的架构及程序可供依循。

当有需要将个人资料事故提升至更高的层面处理时,例如发生大型资料外洩事故或接获大量有关资料私隐的投诉,有效的汇报机制便可发挥重要作用,有助企业决定参与事故处理的人选、他们各自的责任及应如何作出最终决定。企业亦应把所有汇报程序记录在案。

结语

随着客户和持份者对企业负责任地使用个人资料的期望日增,企业不应只流于例行公事,保障个人资料私隐不应再被视为合规要求。事实上,单单依法行事并不足够,亦不符合全球大势所趋。

相反,公司应恪守良好的数据操守,并以更宏观的角度作全盘考虑,将以客为本的理念融入业务考量之中。要成功建立和实行私隐管理系统,董事和管理层的支持不可或缺,唯有如此,方能确保企业上下贯彻执行保障资料的原则,而且在设计举措、项目和服务时把私隐保障纳入考虑因素。这种积极应对的态度将创造多赢局面,令企业、客户和其他持份者都能受惠。

有关设计和实施全面的私隐管理系统的例子和实务指引,请参阅私隐公署发出的《私隐管理系统 — 最佳行事方式指引》

香港个人资料私隐专员公署发出的《私隐管理系统 — 最佳行事方式指引》