1. 《個人資料(私隱)條例》(「條例」)規定,任何控制收集、持有、處理或使用(包括披露和轉移)個人資料的人士/機構(即資料使用者),須遵從條例的規定,包括六項保障資料原則。而針對網站的資料保安方面,《個人資料(私隱)條例》的保障資料第4原則(即「資料保安原則」)規定資料使用者須採取切實可行的步驟,保障個人資料不受未獲准許或意外地被查閱、處理、刪除、喪失或使用。
一般而言,外洩個人資料有可能構成違反保障資料第4原則。違反保障資料原則不直接構成刑事罪行,但私隱專員在完成調查後可向違法者發出執行通知,指令其採取補救措施,以糾正該項違反,以及防止違反再發生。不遵守私隱專員的執行通知即屬犯罪。違法者一經定罪,最高可被判處罰款港幣50,000元及監禁2年。
2. 隨著資訊科技的普及,市民網上消費愈加頻繁,牽涉個人資料的網上私隱及保安風險亦相對增加。私隱專員提醒巿民:
公署就此亦有發出《明智使用電腦及互聯網》單張,與市民分享如何在使用電腦及互聯網時保障自己的個人資料。
3. 公署於2014年12月曾就類似事件發出調查報告,案中涉及航空公司的流動應用程式外洩客戶的個人資料。由2015年1月1日至2016年4月中,公署沒有收到與網上購買機票相關的投訴。
公署亦留意到現今不論公私營機構,營運網上業務或服務均十分普遍,而這些服務常會涉及收集個人資料,公署建議機構應善加利用私隱專員開辦的講座及發出的最佳行事方式指引。同時,它們亦有責任跟貼最新的科技發展及趨勢,以確保在營運網上業務或服務時,不會影響私隱及資料的保護。個人資料一旦外洩或遭濫用,可能會對其顧客造成嚴重傷害並影響公司商譽。公署曾就類似事件建議機構應:-
(i) 制定妥善的程式開發及變更控制政策、指引及程序;
(ii) 就程式的設計和運作制定風險評估程序;
(iii) 使用正版及可靠的開發工具和軟件;
(iv) 備有保安措施,例如加密、存取控制、密碼政策;
(v) 如情況合理,對程式作獨立檢查及審核。
公署已於2014年12月修訂了《經互聯網收集及使用個人資料:給資料使用者的指引》,協助機構更詳盡了解經互聯網收集、展示或傳輸個人資料時,應如何依從條例的規定。此外,隨著應用程式的普及發展,公署亦於2015年10月更新了《開發流動應用程式最佳行事方式指引》並介紹如何以貫徹私隱的概念開發產品和服務。這份指引亦提供詳細的檢查清單,為程式開發商闡述設計保障私隱的程式時須考慮的所有因素;亦建議連串的最佳行事方式。同時,公署鼓勵機構若發現資料外洩事故,應通知公署,以妥善處理有關事故。公署刊發《資料外洩事故的處理及通報指引》,當中規定如發生資料外洩事故,資料使用者須立即收集有關事故的重要資料、採取適當措施遏止事件擴大,以及考慮作出資料外洩通報等。
(如需引述,請寫個人資料私隱專員黃繼兒)