2018年10月25日
公署回應有關國泰航空公司外洩客戶個人資料事件
謝謝謝你的查詢,有關國泰航空公司外洩客戶個人資料事件,公署現綜合回覆如下:
-
就國泰航空公司外洩客戶個人資料事件,香港個人資料私隱專員(私隱專員)黃繼兒表示非常關注,尤其當中可能涉及大量本港巿民的個人資料(如姓名、出生日期、護照號碼、身份證號碼、信用咭號碼等)。公署已主動聯絡相關航空公司,並就事件展開循規審查。
-
現時本港資料外洩事故通報只屬自願性質,但私隱專員鼓勵肇事機構通知公署,此舉有利於公署與相關機構攜手,減低因事件對所涉客戶可能構成的潛在損害,並尋求改善方案有效防止事件再次發生。私隱專員黃繼兒強調,機構應恪守更高的道德標準,以符合客戶的期望及相關法例和監管的要求。而數據道德可彌合法例要求和客戶期望兩者之間的落差。這正是公署剛發表的研究報告所倡議的數據道德管理價值,包括尊重 (respectful)、互惠(beneficial)和公平(fair)。」
-
《個人資料(私隱)條例》(《私隱條例》)屬原則性及「科技中立」的法例,縱然資訊科技發展或網絡社交媒體不斷推陳出新,若相關科技或媒體涉及收集個人資料,仍然需要遵從《私隱條例》的規定和相關的保障資料原則。
-
私隱專員有法定責任,不時就條例進行審核,在有需要時提出意見。私隱專員會繼續密切留意環球私隱保障形勢,以及資訊科技及社交媒體發展所衍生的個人資料私隱問題,並參考海外例如歐盟的監管機關的最新規管條例,審慎考慮本地條例是否有加強規管的必要。
-
監管機構除了建立監管框架,亦應考慮推動及鼓勵機構並輔以誘因,協助它們遵守道德標準並尊重其客戶和消費者的資料,從而培養/加強私隱文化,建立信任和聲譽。公署現正加強有關私隱管理系統最佳行事方式以及數據道德標準的宣傳教育工作。
-
不論公私營機構,作為資料使用者,必須按《私隱條例》規定,採取切實可行的步驟,保障個人資料不會未經授權或意外地被查閱、處理、刪除、喪失或使用,否則便有可能違反《私隱條例》下的資料保安原則[1]。若聘用外判服務供應商(作為資料處理者),機構仍須採取合約規範方法或其他方法,以防止個人資料未獲准許或意外地被查閱、處理或使用。
-
在個人資料保留及刪除方面,機構須採取所有切實可行的步驟,確保個人資料的保留時間不得超過達致原來目的的實際所需[2] ;及須刪除已不再為使用目的而需要保留的個人資料,除非受任何法律禁止或不刪除該資料是符合公眾利益的 。
-
如資料使用者必須向外判承辦商或代理發放載有個人資料的資料庫,應該先考慮以下各點:
-
個人資料的敏感程度和資料外洩可能引致的損害;
-
向外判承辦商或代理查詢及商討可否改用「假」資料,了解使用「真實」個人資料的必要性;
-
發放個人資料所涉及的風險;以及
-
如承辦商或代理必須使用「真實」個人資料,在機構的處所內進行所需程序是否可行。
-
有關《通用數據保障條例》方面,香港的機構/企業在以下情況下可能需要遵從《通用數據保障條例》的規定:
-
在歐盟設立機關,而該機關的活動涉及處理個人資料,不論是否確實在歐盟境內處理資料;或
-
在歐盟沒有設立機關,但向歐盟人士提供貨品或服務或監察他們的行為。
-
公署負責執行《私隱條例》,並非《通用數據保障條例》的執管機構。有關其解釋、應用及執法情況及標準,請向有關機構查詢。
[1] 條例下的保障資料第4原則 – 資料保安原則