个人资料私隐专员在「香港律师」的文章
私隐专员公署更新资料外洩事故指引 (2023年7月)
2023 年上半年科创潮汹湧拍岸,科技突破如雨后春笋,有目共睹。然而,眼前的发展所带来的固有风险亦引起全球关注。根据国际软件保安公司Check Point 的报告,2023 年第一季度的全球每周平均网络攻击次数较2022 年同期增加7%。有见及此,个人资料私隐专员公署(「私隐专员公署」)认为现在是更新《资料外洩事故的处理及通报指引》(「《指引》」),并发出更新的《指引》的好时机,以协助机构在资料外洩「事故发生前」未雨绸缪,以及在资料外洩「事故发生后」作出适当处理,《指引》建议机构在事故发生前制订个人资料外洩事故应变计划,及在事故发生后采取步骤遏止伤害和损害扩大。
《指引》
资料外洩事故
资料外洩事故一般指资料使用者持有的个人资料怀疑或已经遭到外洩,令有关资料当事人的个人资料有被未获准许的或意外的查阅、处理、删除、丧失或使用的风险。资料外洩事故可构成违反《个人资料( 私隐) 条例》(《私隐条例》)附表1 的保障资料第4 原则。香港资料外洩事故的原因之中,较常见的包括网络攻击、系统配置错误,及遗失实体文件或可携式装置。
「事故发生前」─资料外洩事故应变计划
资料外洩事故可以令机构商誉受损、蒙受财务损失及业务中断,后果严重。因此,一套经过缜密考量的资料外洩事故应变计划对资料使用者极其重要,因为它可尽量减少及遏止事故的潜在影响。
一套全面的应变计划应概述发生资料外洩事故时须执行的程序,以及资料使用者由识别、遏止、评估以至管理事故所带来的影响的策略。计划应涵盖以下的资料:
-
描述启动应变计划的准则;
-
内部事故通报程序:向高级管理层、保障资料主任及/或其他指定人员通报事故;
-
风险评估工作流程︰评估事故造成损害的可能性及严重性;及
-
遏止策略︰遏止事故扩大及作出补救。
「事故发生后」─处理资料外洩事故
《指引》建议资料使用者应采取下述5 个步骤,以大幅减少资料外洩事故的影响:
-
步骤 1:立即收集重要资料;
-
步骤 2:遏止事件扩大;
-
步骤 3:评估事件可造成的损害;
-
步骤 4:考虑作出资料外洩通报;及
-
步骤 5:记录事故。
资料外洩通报是资料使用者向相关人士,包括受影响资料当事人及私隐专员公署,作出的正式通知。视乎个案的情况,资料外洩通报可包括以下内容:
-
外洩日期、时间、持续时间及源头;
-
所涉及的个人资料类别;
-
所涉及的资料当事人的类别及大约数目;
-
对事故导致的损害作出的风险评估;及
-
已采取的缓解措施。
一般来说,资料使用者在知悉事故后,不论内部调查的进度如何,都应在切实可行的情况下尽快向私隐专员公署及受影响的资料当事人作出通报。
资料使用者可直接透过电话、书面、电邮或亲身向资料当事人作出通报。如在有关情况下直接的资料外洩通报并不切实可行,可发出公告、报章广告,或于网站或社交媒体平台发出帖文。
资料使用者向私隐专员公署通报事故时,应使用公署的「资料外洩事故通报表格」。公署并不接受口头通报。为了鼓励及时通报事故,公署已于2023年6月推出网上资料外洩事故通报表格,提供更加方便的通报途径。填写网上表格时,资料使用者应小心填写所需的主要资料,包括:
-
资料使用者的基本资料;
-
事故的详情(包括所涉及个人资料的类别,以及估计受影响香港居民的人数);及
-
对事故的评估及所采取的补救行动(包括导致事故的原因、对资料当事人造成损害的风险,以及所采取的补救行动)。
结语
鑑于网络安全威胁不断加剧,技术发展日新月异,数据和数据安全的重要性实在毋庸置疑。私隐专员公署强烈建议资料使用者采用一套全面的资料外洩事故处理政策,作为其个人资料私隐管理系统的一部分。立即处理及通报资料外洩事故固然重要,但未雨绸缪,制订资料外洩事故应变计划应对突发事故,同样不容忽视。