個人資料私隱專員在「香港律師」的文章
私隱專員公署更新資料外洩事故指引 (2023年7月)
2023 年上半年科創潮洶湧拍岸,科技突破如雨後春筍,有目共睹。然而,眼前的發展所帶來的固有風險亦引起全球關注。根據國際軟件保安公司Check Point 的報告,2023 年第一季度的全球每周平均網絡攻擊次數較2022 年同期增加7%。有見及此,個人資料私隱專員公署(「私隱專員公署」)認為現在是更新《資料外洩事故的處理及通報指引》(「《指引》」),並發出更新的《指引》的好時機,以協助機構在資料外洩「事故發生前」未雨綢繆,以及在資料外洩「事故發生後」作出適當處理,《指引》建議機構在事故發生前制訂個人資料外洩事故應變計劃,及在事故發生後採取步驟遏止傷害和損害擴大。
《指引》
資料外洩事故
資料外洩事故一般指資料使用者持有的個人資料懷疑或已經遭到外洩,令有關資料當事人的個人資料有被未獲准許的或意外的查閱、處理、刪除、喪失或使用的風險。資料外洩事故可構成違反《個人資料( 私隱) 條例》(《私隱條例》)附表1 的保障資料第4 原則。香港資料外洩事故的原因之中,較常見的包括網絡攻擊、系統配置錯誤,及遺失實體文件或可攜式裝置。
「事故發生前」─資料外洩事故應變計劃
資料外洩事故可以令機構商譽受損、蒙受財務損失及業務中斷,後果嚴重。因此,一套經過縝密考量的資料外洩事故應變計劃對資料使用者極其重要,因為它可盡量減少及遏止事故的潛在影響。
一套全面的應變計劃應概述發生資料外洩事故時須執行的程序,以及資料使用者由識別、遏止、評估以至管理事故所帶來的影響的策略。計劃應涵蓋以下的資料:
-
描述啓動應變計劃的準則;
-
內部事故通報程序:向高級管理層、保障資料主任及/或其他指定人員通報事故;
-
風險評估工作流程︰評估事故造成損害的可能性及嚴重性;及
-
遏止策略︰遏止事故擴大及作出補救。
「事故發生後」─處理資料外洩事故
《指引》建議資料使用者應採取下述5 個步驟,以大幅減少資料外洩事故的影響:
-
步驟 1:立即收集重要資料;
-
步驟 2:遏止事件擴大;
-
步驟 3:評估事件可造成的損害;
-
步驟 4:考慮作出資料外洩通報;及
-
步驟 5:記錄事故。
資料外洩通報是資料使用者向相關人士,包括受影響資料當事人及私隱專員公署,作出的正式通知。視乎個案的情況,資料外洩通報可包括以下內容:
-
外洩日期、時間、持續時間及源頭;
-
所涉及的個人資料類別;
-
所涉及的資料當事人的類別及大約數目;
-
對事故導致的損害作出的風險評估;及
-
已採取的緩解措施。
一般來說,資料使用者在知悉事故後,不論內部調查的進度如何,都應在切實可行的情況下盡快向私隱專員公署及受影響的資料當事人作出通報。
資料使用者可直接透過電話、書面、電郵或親身向資料當事人作出通報。如在有關情況下直接的資料外洩通報並不切實可行,可發出公告、報章廣告,或於網站或社交媒體平台發出帖文。
資料使用者向私隱專員公署通報事故時,應使用公署的「資料外洩事故通報表格」。公署並不接受口頭通報。為了鼓勵及時通報事故,公署已於2023年6月推出網上資料外洩事故通報表格,提供更加方便的通報途徑。填寫網上表格時,資料使用者應小心填寫所需的主要資料,包括:
-
資料使用者的基本資料;
-
事故的詳情(包括所涉及個人資料的類別,以及估計受影響香港居民的人數);及
-
對事故的評估及所採取的補救行動(包括導致事故的原因、對資料當事人造成損害的風險,以及所採取的補救行動)。
結語
鑑於網絡安全威脅不斷加劇,技術發展日新月異,數據和數據安全的重要性實在毋庸置疑。私隱專員公署強烈建議資料使用者採用一套全面的資料外洩事故處理政策,作為其個人資料私隱管理系統的一部分。立即處理及通報資料外洩事故固然重要,但未雨綢繆,制訂資料外洩事故應變計劃應對突發事故,同樣不容忽視。