日期: 2021年10月27日
私隱公署連同五個資料保障監管機構發表聯合聲明
表達對視像會議公司的環球共同私隱期望
個人資料私隱專員公署(私隱公署)連同來自澳洲、加拿大、直布羅陀、瑞士及英國的五個資料保障監管機構(下稱「聯署機構」)於今日發表聯合聲明(聯合聲明),向視像會議公司表達環球共同的私隱期望。
聯合聲明列出主要視像會議公司在提供服務時為保障個人資料而匯報所採取的良好行事常規,同時向它們指出一些可以改善的地方。
個人資料私隱專員鍾麗玲指出:「2019冠狀病毒病全球大流行令視像會議軟件的使用量大幅上升。為應對隨之而帶來的環球私隱保障憂慮,私隱公署聯同其他五個資料保障監管機構自2020年7月起與其中四間最具規模的視像會議公司(即思科、谷歌、微軟及Zoom)進行了一系列的交流。聯合聲明旨在為有關交流作出總結性報告。」
聯署機構透過具建設性的交流,欣悉主要視像會議公司在幾方面都已經落實良好的行事常規以應對私隱風險。例如:
-
保安: 定期測試保安措施以確保它們在持續演變的風險下保持穩健;落實相關措施以協助員工及第三方資料處理者更了解並遵從私隱保障規定;
-
「貫徹私隱設計」及「預設私隱模式」:於機構內制定詳細的私隱保障計劃;為使用者預設最能保障私隱的設定;
-
了解用戶: 因應較敏感的用途(如教育及醫療服務)加強私隱及保安保障;為特定使用群組提供適時、相關及度身制訂的指引;
-
透明度: 利用不同層次的通知告知使用者收集及使用他們的資料的方式及原因;在分享個人資料方面具透明度;及
-
終端用戶的控制: 向使用者提供直接及清晰的會議設置選項;致力減輕會議資訊被公開的風險。
與此同時,聯署機構向視像會議公司指出一些可以進一步改善保障個人資料的行事方式。例如:
-
向視像會議服務的所有使用者提供端對端加密選項,並就不同程度的加密向使用者提供清晰易明的資訊;
-
在向使用者明示後方可將他們的資料用於其他目的;如果其他目的包括投放針對性廣告及/或使用cookies進行追蹤,只有在使用者表達明確的同意後方可進行有關的活動;
-
就儲存資料地點方面向使用者提供全面的透明度;在可行情況下,容許使用者選擇他們的個人資料會經由哪些地方或司法管轄區傳輸或儲存;及
-
如涉及與域外司法管轄區的第三方共用資料,須落實保障措施。
聯署機構,包括私隱公署,歡迎所有視像會議公司與聯署機構保持溝通,以便它們以保障私隱、安全及值得信賴的方式提供及發展其服務。
聯合聲明(只有英文版本)可在
此處下載
背景
聯署機構於2020年7月向主要的視像會議公司
發出聯署公開信,提醒它們須合法地及負責任地處理個人資料。聯署機構亦在信中向視像會議公司提供了一些原則性指引以應對主要私隱風險。隨後,聯署機構在與視像會議公司進行了數次交流後,在2021年4月與四間視像會議公司進行了一系列視像會議以索取進一步的資料。
是次活動是私隱監管機構及被監管機構之間的具建設性的交流的例子。是次活動讓聯署機構可以與最具規模、增長速度最快、服務遍及全球的科技公司進行溝通,同時讓有關公司有機會與代表四大洲民眾的私隱監管機構進行直接及實事求是的互動,以解釋它們在資料保障及私隱方面所採取的措施。
-完-