Skip to content

報章專欄

媒體報道

實施個人資料私隱管理系統  贏取客戶信任 

香港個人資料私隱專員鍾麗玲大律師
 
馬雲曾經說過:「我們是通過賣東西收集數據,數據是阿里最值錢的財富」。

數碼科技在過去十年發展迅速,收集和使用個人資料對大部分企業(尤其是提供網上產品及服務的企業)至關重要。現今客戶不但要求更高的資訊透明度,還期望企業清楚交代收集所得的個人資料將作何種用途及如何使用。企業對個人資料私隱的重視程度將直接影響客戶對公司的信心和信任,企業的競爭優勢亦連帶受到影響。

有鑒於此,香港個人資料私隱專員公署(私隱公署)提倡企業設立個人資料私隱管理系統(私隱管理系統),並委任保障資料主任,以建立一套遵從香港《個人資料(私隱) 條例》(《私隱條例》)規定的制度,以循規地使用個人資料。

私隱管理系統有助企業贏得客戶和其他持份者的信任,從而得到客戶和業務夥伴的忠實支持,忠誠度在瞬息萬變的商業環境尤其重要。

企業實施私隱管理系統是履行良好企業管治的重要一環,當中董事扮演獨特而關鍵的角色。事實上,香港董事學會最新出版的《獨立非執行董事指南》,便鼓勵企業實施私隱管理系統,作為實踐環境、社會及管治(ESG)管理的其中一環。

設立私隱管理系統的好處

私隱管理系統奉行問責原則,是一套專為規範個人或機構以負責任的態度收集、持有、處理和使用個人資料而設的管理框架。設立私隱管理系統有助企業:
  • 將資料安全相關事故發生的風險降至最低;
  • 根據既定程序和協定有效處理私隱外洩事故,從而將損害減至最低;
  • 有效管理收集所得的個人資料;
  • 確保符合《私隱條例》的規定;
  • 展現樂於履行良好企業管治並與客戶及相關持份者建立信任的決心;及
  • 提升商譽和競爭優勢,並開拓潛在商機。
 
私隱管理系統的主要部分

私隱管理系統至少應包含以下三個主要部分:
  1. 機構的決心
    • 最高管理層的支持
    • 委任保障資料主任 / 設立保障資料部門
    • 建立匯報機制
  2. 系統管控措施
    • 個人資料庫存,包含企業持有的個人資料類別及個人資料處理方式的資訊
    • 處理個人資料的內部政策
    • 風險評估工具
    • 培訓及教育推廣
    • 資料外洩事故的處理
    • 對資料處理者的管理
    • 與員工、客戶及持份者溝通
  3.  持續評估及修訂
    • 制定監督及檢討計劃
    • 評估及修訂系統管控措施

機構決心實施私隱管理系統至關重要

「機構的決心」是私隱管理系統的要素,與董事的角色息息相關,對董事亦尤其重要,因為董事是帶領企業邁向成功及良好管治的舵手,包括數據問責。

最高管理層的支持

為加強問責,企業需要從最高管理層做起,由上而下培養尊重私隱的文化,並展現保障個人資料私隱的決心。私隱公署建議最高管理層在董事的領導下應:
  • 透過員工會議或通告,向全體員工表達公司支持建立尊重個人資料私隱的文化及致力推行私隱管理系統;
  • 委任保障資料主任;
  • 對系統管控措施及整個私隱管理系統予以認可;
  • 分配充足資源推行私隱管理系統,包括財政及人手;
  • 主動參與私隱管理系統的評估及檢討工作;及
  • 定期在董事局匯報私隱管理系統的運作情況。
董事宜與管理層合力確保企業內部貫徹執行保障個人資料的政策和程序。

委任保障資料主任 / 設立保障資料部門

私隱公署建議企業委任保障資料主任,以監督企業有否遵從《私隱條例》的規定及落實執行私隱管理系統。大型企業應指派高級行政人員出任保障資料主任,而小企業則可安排公司擁有人或管理人員出任。

保障資料主任負責建立、設計及管理私隱管理系統,包括所有相關程序、培訓、監察或審核、記錄、評估及其他與收集、持有、處理及使用個人資料相關的跟進工作。

大型企業由於部門和業務單位較多,所收集和使用的個人資料亦較多,故此建議委任部門協調主任,支援保障資料主任的工作。企業應投放資源培訓保障資料主任,成為保障個人資料私隱方面的專才。

建立匯報機制

匯報機制是董事會監督工作不可或缺的部分。為此,企業應建立內部匯報機制,讓企業在滙報整體合規情況、遇到問題、接獲與個人資料私隱有關的投訴或可能發生私隱外洩事故時,有清晰明確的架構及程序可供依循。

當有需要將個人資料事故提升至更高的層面處理時,例如發生大型資料外洩事故或接獲大量有關資料私隱的投訴,有效的匯報機制便可發揮重要作用,有助企業決定參與事故處理的人選、他們各自的責任及應如何作出最終決定。企業亦應把所有匯報程序記錄在案。

結語

隨著客戶和持份者對企業負責任地使用個人資料的期望日增,企業不應只流於例行公事,保障個人資料私隱不應再被視為合規要求。事實上,單單依法行事並不足夠,亦不符合全球大勢所趨。

相反,公司應恪守良好的數據操守,並以更宏觀的角度作全盤考慮,將以客為本的理念融入業務考量之中。要成功建立和實行私隱管理系統,董事和管理層的支持不可或缺,唯有如此,方能確保企業上下貫徹執行保障資料的原則,而且在設計舉措、項目和服務時把私隱保障納入考慮因素。這種積極應對的態度將創造多贏局面,令企業、客戶和其他持份者都能受惠。

有關設計和實施全面的私隱管理系統的例子和實務指引,請參閱私隱公署發出的《私隱管理系統 — 最佳行事方式指引》

香港個人資料私隱專員公署發出的《私隱管理系統 — 最佳行事方式指引》