日期: 2017年11月30日
公署回應有關本港旅遊業界保存客戶資料及網絡保安措施
謝謝你的查詢,有關本港旅遊業界處理客戶資料及網絡保安措施事宜,公署現就
個人資料私隱範疇綜合回覆如下:
-
一旦發現香港營運的旅行社資料外洩(包括黑客侵襲),公署定當聯絡相關旅行社並展開循規審查。
-
公署注意到旅行社會收集和保存大量客戶的個人資料,因此曾於2016年1月發表一份有關旅行社個人資料系統的視察報告供業界參考。在該次檢視期間,公署曾就一間旅行社的資訊科技保安(包括了解其針對入侵者、惡意軟件及漏洞所設立的技術安排)進行檢視。視察報告列出多項保安措施方面的建議,包括:
-
於現有的工作流程或指引中列明保護敏感資料的措施;
-
應貫徹執行在不可靠網絡(包括互聯網)傳輸個人資料時必須加密的規定,並書面訂明違規的後果;
-
檢討及完善資訊科技保安政策及管治,以確保其全面性及完整性;及
-
完善處理資料遺失或外洩的指引等。
-
作為資料使用者,旅行社必須按《個人資料(私隱)條例》(「條例」)規定妥善儲存客戶的個人資料,並採取切實可行的步驟,保障個人資料不會未經授權或意外地被查閱、處理、刪除、喪失或使用,否則便有可能違反條例下的資料保安原則 [1]。即使旅行社聘用或委託資料處理者協助處理個人資料,旅行社須採取合約規範方法或其他方法,以防止轉移予該資料處理者作處理的個人資料未獲准許或意外地被查閱或使用。另外,根據條例第65(2) 條,資料使用者作為主事人,須對其授權的資料處理者的不當行為負上條例下的法律責任。私隱專員若有合理理由相信有違反條例規定的情況,可就個別旅行社的有關行為進行循規審查及/或根據條例第38(b)(ii)條,主動就有關事宜進行調查。
私隱專員可發出執行通知,指令違規旅行社採取補救措施。若有關資料使用者不遵守執行通知,公署可將個案轉交警方作刑事檢控。違法者一經定罪,最高可被判處罰款五萬元和監禁兩年。如罪行持續,可處每日罰款一千元。
-
除致力監管條例的執行及公正執法外,私隱專員認為在持份者間培育及推廣「保障、尊重個人資料」的文化尤其重要。旅行社所管有的個人資料若處理不善導致外洩或遭濫用,除對其客戶造成嚴重傷害外,亦會影響旅行社的商譽和客戶流失。公署鼓勵旅行社要「自管」,按法例和指引採納良好的行事方式,保障客戶的個人資料,以贏取商譽和客戶的信任。私隱專員已刊發《私隱管理系統最佳行事方式指引》,鼓勵旅行社把個人資料私隱保障納入企業管治責任,由上而下推行公開和具透明度的資訊政策和常規,以示旅行社有決心體現良好企業管治和建立僱員和客戶的信任;另出版《外判個人資料的處理予資料處理者》資料單張,就資料使用者監察其資料處理者遵從保障資料原則的規定,以及資料處理者的責任,提供相關資訊。公署每年亦舉辦不同類型的專業研習班、研討會及會議,提高各行業員工對條例的認識和理解。
-
公署建議利用資訊科技營運業務或提供服務、並收集、處理或儲存個人資料的機構(包括旅行社)應:
-
具備清晰及適當的個人資料私隱政策及指引,並與顧客多溝通和講解;
-
在互聯網及機構網站進行例行的搜尋,檢查是否有個人資料意外地外洩;
-
聘用具備資訊保安知識的資訊科技人員及承辦商,並確保他們掌握的知識與時並進;
-
了解機構網站或網站設計人員的工作流程,避免個人資料儲存於公眾可查閱的位置;
-
建立正規的資訊安全修補程式管理;
-
定期對機構的網站進行漏洞掃描/測試;
-
建立具合適複雜程度的密碼和重設密碼監控;
-
採用適當的加密運算方式和密碼,把靜止和流動的資料加密;及
-
確保沒有用的資料被穩妥地刪除,詳情可參閱公署刊發的《個人資料的刪除與匿名化指引》。
-
私隱專員同時亦提醒巿民大眾要「自保」,在網上進行消費(如購買機票或酒店)時要留意個人資料的網上保安風險,包括:
-
應避免使用公共電腦及公共Wi-Fi瀏覽含敏感資料網站或進行網上交易(如網上訂票或付款);
-
使用公共Wi-Fi熱點後,要刪除智能裝置內網絡設定中的Wi-Fi存取點,減低個人資料遭竊取的風險;
-
不要讓裝置記錄你的登入狀態,並時刻緊記要「登出」;
-
設定複雜的帳戶密碼,不要在多個帳戶使用同一密碼;及
-
安裝及定期更新裝置的防盜及防毒軟件。
-
巿民若發現個人資料被不當地收集或不恰當地使用,可向公署作出投訴。公署會根據既定程序和法例作出跟進處理。
-
由2015年1月1日至2017年11月28日期間,公署曾接獲六宗與旅行社、航空公司或旅遊網站就個人資料保安範疇相關的投訴,並已按既定程序作出適當跟進。期間公署亦進行了兩次相關的循規審查行動,並沒有相關個案轉介予警方作檢控。
(如需引述,請寫私隱專員黃繼兒)
[1] 條例下的保障資料第4原則 – 資料保安原則