個人資料私隱專員在「香港律師」的文章
資料保安 (2019年8月)
近期,在香港及海外發生了矚目的資料保安事故,令個人資料保障成為公眾關注的焦點,並引起社會各界的憂慮。
雖然網絡攻擊本身可能屬刑事罪行而受到其他法律規管,而企業在部分情況下亦不能控制這類攻擊,但《私隱條例》的要求是機構須採取「所有切實可行的步驟」,確保個人資料的安全,以應付可能出現的資料外洩事故。需要採取的步驟則很自然地會因應每宗個案的事實和情況而定。
當公署需要考慮資料使用者是否已採取「所有切實可行的步驟」以履行其資料保安責任時,公署將採取「整體性事實」的方式,以及考慮一系列因素,包括但不限於以下各點:
-
資料使用者是否已制定有關數據管治和資料保安的明確內部政策和指引;
-
是否已為資訊科技安全提供了適當的人員編制,並委任合適的領導人員承擔個人資料保安的具體責任;
-
是否已根據既定政策和程序對資訊系統進行定期私隱風險評估;特別是儘量減少收集敏感資料,並對其嚴加保護;
-
是否已根據數據處理活動的性質、規模和複雜性,制定適當的技術和具操作性的保安措施,以保障資訊系統和個人資料的安全(見下文進一步闡述);
-
如有委託資料處理者,是否有採用合約規範方法或其他方法以維持其資料保安做法的監督;以及
-
在發生資料保安事件時,是否有採取適當行動遏止和補救,包括及時通知受影響人士和公署,令受影響人士的傷害降至最低。
在當前的技術情況下,主要的技術資料保安措施一般應該包括多方面,例如:
-
實施資訊和通訊科技安全措施,以確保系統硬件和軟件免被誤用或未經授權查閱;
-
對傳送中和儲存中的資料使用加密措施,並有效地管理密鑰;
-
定期備份資料;
-
徹底銷毀過期或不必要的資料;
-
對查閱訊息系統加以有效的控制;以及
-
定期對伺服系統作滲透測試。
不言而喻,根據行業、特定業務的規模和複雜性、所涉及的個人資料的數量和敏感程度等,履行資料保安的責任各有不同。無論如何,機構必須定期進行風險評估,以便採取適當的保安措施保障其持有的個人資料。
根據我們的執法經驗,我們意識到企業和機構需要特別注意以下幾點:
(a) 雖然大多數機構都會注意到資料保安日益容易受損的問題,但隨著資料外洩事故不斷增加並變得複雜,企業面臨更大的壓力甚至是責任,須保障顧客的個人資料安全,以保持在行業中的競爭力;
(b) 機構應清楚地意識到,顧客的個人資料是從顧客收集而來的,而該等個人資料可說是由顧客所擁有。企業無可置疑地把這些資料當作一種資產,從中獲取利益。事實上,即使個人資料不如其他動產(如鈔票)或不動產般屬有形的資產,這亦不足以免除企業的責任,包括需要妥善地保護資料,和確保在已達致有關目的而不再需要該資料時徹底銷毀資料。顧客(資料當事人)及監管機構亦期望企業能擁有一個完備、有效及可行、能按企業規模及需要加強、並可全面實施的私隱循規政策和計劃,以落實法例要求;以及
(c) 許多司法管轄區的新法律和條例,特別是2018年5月實施的歐盟《通用數據保障條例》,也納入了良好的數據管治或問責制的理念。儘管香港的法例仍未制定類似的問責原則,但香港的企業亦應做好準備,在這個數據驅動的經濟時代,採取積極主動的資料管理作為企業的數碼價值、道德和責任,將法律要求轉化為風險為本、可核實和執行的企業行事方式和管控,以應對全球的監管變化;實現更新的商業模式、數碼化、全球化,並確保資料得以保護、可持續和信任。
總括而言,個人資料私隱在香港是基本人權,機構應予以尊重和保障,從而發展適合二十一世紀的企業數碼責任,以協力培育正確的私隱文化。