报章专栏

引言
云端运算日见普及，越来越多机构透过云端运算增加数据储存量、精简工作流程及节省成本。现时，不同行业的机构都在利用云端服务来储存、处理及管理大量数据，当中亦包括敏感资讯及个人资料。然而，机构对云端服务日益增加的依赖亦引起对个人资料私隐的关注。近年来，数宗涉及云端平台的资料外洩事故亦曝露出这些系统的弱点，可见当中的风险绝对不容忽视。

有见及此，个人资料私隐专员公署于2025年1月发布了《云端运算指引》（《指引》），阐释《个人资料（私隐）条例》（《私隐条例》）的相关要求，旨在协助采用云端运算的机构加强保障个人资料私隐。《指引》与律师的工作息息相关，因为不少律师行已采用或正逐步采用云端系统，以优化管理及存取可能载有个人资料的文件和电邮。
 
《指引》涵盖的重点内容
首先，尽管机构作为资料使用者可以将处理资料的工作外判予云端服务供应商，但机构在持有、处理或使用个人资料时，并不能「外判」它们在《私隐条例》（包括附表1的保障资料原则）下的责任。《私隐条例》亦订明，资料使用者不能将其责任转委予他人。
 
根据《私隐条例》，如资料使用者聘用云端运算服务供应商以代其处理个人资料，资料使用者须采取合约规范方法或其他方法，以防止 (i) 个人资料的保存时间超过处理该些资料所需的时间（保障资料第2(3)原则）；及 (ii) 有关资料受未获准许的或意外的查阅、处理、删除、丧失或使用所影响（保障资料第4(2)原则）。
 
《私隐条例》第65(2)条亦订明，任何作为另一人的代理人并获该另一人授权（不论是明示或默示的授权，亦不论是事前或事后授权）的人所作出的任何作为或所从事的任何行为，须视为亦是由该另一人作出或从事的。换言之，云端服务供应商所作出的任何个人资料外洩或滥用的行为，视乎情况而定，可被视为是由该机构以及它的服务供应商作出的。
 
机构和云端服务供应商的共同责任
基于《私隐条例》的法律要求，《指引》不仅强调机构与云端服务供应商在云端环境内保障数据安全的共同责任，亦向机构提供多方面的建议措施，让它们在使用云端运算时亦能更有效地保障个人资料私隐，这些方面包括：
 
服务及部署模式
机构应谨慎评估与所选择的服务及部署模式有关的风险，以确保采取适当的数据安全措施。例如，当云端服务供应商更新其服务，以提供新服务特点或配置时，机构应及时作出相应行动，更新相关软件及/或调整适当的配置。机构亦应采取足够及有效的安全措施，防止储存于云端的个人资料受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。
 
标准服务及合约
机构应评估云端平台的服务及合约条款是否完全符合相关的保安及个人资料私隐保障的标准。如所提供的服务与所需要的标准存在差距，机构不应只依赖标准服务条款，而是应该要求供应商调整服务及协商合约条款，以符合有关的循规要求。在这方面，机构应留意国际标准组织已推出多套有关使用云端服务的标准，相关详情载列于《指引》中。
 
外判安排
机构需要确定云端服务供应商是否有外判安排。如云端服务供应商聘用承判商，机构应确保获得服务供应商在合约内承诺，其保障及循规管控的水平同样适用于承判商。
 
跨境资料转移
云端服务供应商可能于不同司法管辖区设有数据中心。当机构将个人资料转移至香港以外的地方时，须确保遵从《私隐条例》的规定。特别是，机构须告知资料当事人他的个人资料将会转移至香港境外的接收者，并指明个人资料将会用于甚么目的（保障资料第1原则）。如上述转移构成新目的，机构必须取得资料当事人明确及自愿的同意（保障资料第3原则）。
  
总结
即使个人资料可以遥距储存在其他地方，机构作为资料使用者仍需承担责任。机构及云端服务供应商必须携手合作，实施稳妥而有效的保安措施，务求既可利用云端运算的优势，同时亦保障云端环境的个人资料私隐。