香港個人資料私隱專員(私隱專員)黃繼兒今日發表《2018 年抽查報告:資料使用者實施私隱管理系統的情況》。
私隱專員於2018年10月至11月期間向26間不同行業的機構(包括保險、金融、電訊、公用事業及交通運輸)進行抽查行動,以了解他們實施私隱管理系統的情況。是次抽查為響應「全球私隱執法機關網絡」的全球性抽查行動。公署已連續第六年參與有關抽查行動。今年行動的主題是「私隱問責制的實施」,共18個來自世界各地的私隱執法機關(包括公署)參與,旨在透過分析機構實施私隱管理系統的情況,以評估機構在保障個人資料方面達致問責的程度,及他們在業務過程中管理私隱風險的能力。選擇這些機構進行抽查行動,是基於其規模及持有的個人資料數量龐大。
抽查結果顯示,儘管私隱問責制並非法律規定,參與的香港機構在透過推行自願性質的私隱管理系統的表現令人滿意,其中:
-
所有參與抽查的機構均有制訂內部個人資料私隱政策,並納入機構日常運作中;
-
超過90%參與機構有委任高級人員負責私隱管治;及
-
96%參與機構有向員工提供全面培訓,以確保員工了解機構私隱政策、處理個人資料的程序及最佳行事方式。
抽查結果反映參與的機構重視個人資料保障,並願意投放資源以維護個人資料私隱權益。不過,抽查結果亦發現有近40%參與機構在發生資料外洩事故時通知受影響的資料當事人及向監管機構匯報程序方面仍有改善的空間,另有近20%的參與機構在個人資料庫存的擬備方面仍有待改進。
私隱專員黃繼兒表示:「機構必須明白,其所持有的個人資料是屬於客戶個人的,而客戶把其個人資料交予機構是基於信賴。因此,機構有責任以尊重 (respectful)、互惠 (beneficial)和公平(fair)這三大數據倫理道德價值處理個人資料,以符合客戶的期望。」今次抽查行動與公署於去年10月發布的「處理數據的正當性」研究項目(Legitimacy of Data Processing Project)的報告(題為"Ethical Accountability Framework for Hong Kong, China")可互相呼應。該報告提倡上述三大數據倫理道德價值,與私隱問責制的目標異曲同工、相輔相成。
私隱專員對機構在推行私隱管理系統方面有以下建議,藉以遵從《個人資料(私隱)條例》(《私隱條例》)的規定的同時,亦能與客戶及員工共享公平、尊重和互惠:
-
提供足夠的保障資料培訓:確保員工了解《私隱條例》的規定及遵守有關保障個人資料的政策。如機構處理個人資料的政策或《私隱條例》有修訂,機構應立即通知員工。
-
定期進行審核:定期審核機構處理個人資料的做法是否符合《私隱條例》的規定,以及是否有優化的空間。
-
資料外洩事故的處理:制訂書面程序,述明發生資料外洩事故時通知受影響的個人及向監管機構匯報所需考慮的因素、機制及行事方式。
-
完整的個人資料庫存:各部門應擬備部門所屬的個人資料庫存,就轄下載有個人資料的系統作紀錄。
-
轉移個人資料的紀錄:對所轉移的個人資料備存紀錄。日後如有需要,便可迅速地翻查有關資料。
私隱專員同時提倡各機構建立自己的私隱管理系統,由最高管理層(例如董事會)做起,將個人資料保障視為其企業管治責任,並將之納入處理業務中不可或缺的一環,由上而下貫徹地在機構中執行有關保障個人資料的政策。黃繼兒強調,今時今日機構在處理個人資料時,不應抱有只依從最低監管要求的想法。相反,機構應恪守更高的道德標準,在策略層面採用私隱管理系統作為框架,輔以行之有效的檢討及監察程序,建立健全的私隱保障基建。
-完-