報章專欄

引言
雲端運算日見普及，越來越多機構透過雲端運算增加數據儲存量、精簡工作流程及節省成本。現時，不同行業的機構都在利用雲端服務來儲存、處理及管理大量數據，當中亦包括敏感資訊及個人資料。然而，機構對雲端服務日益增加的依賴亦引起對個人資料私隱的關注。近年來，數宗涉及雲端平台的資料外洩事故亦曝露出這些系統的弱點，可見當中的風險絕對不容忽視。

有見及此，個人資料私隱專員公署於2025年1月發布了《雲端運算指引》（《指引》），闡釋《個人資料（私隱）條例》（《私隱條例》）的相關要求，旨在協助採用雲端運算的機構加強保障個人資料私隱。《指引》與律師的工作息息相關，因為不少律師行已採用或正逐步採用雲端系統，以優化管理及存取可能載有個人資料的文件和電郵。
 
《指引》涵蓋的重點內容
首先，儘管機構作為資料使用者可以將處理資料的工作外判予雲端服務供應商，但機構在持有、處理或使用個人資料時，並不能「外判」它們在《私隱條例》（包括附表1的保障資料原則）下的責任。《私隱條例》亦訂明，資料使用者不能將其責任轉委予他人。
 
根據《私隱條例》，如資料使用者聘用雲端運算服務供應商以代其處理個人資料，資料使用者須採取合約規範方法或其他方法，以防止 (i) 個人資料的保存時間超過處理該些資料所需的時間（保障資料第2(3)原則）；及 (ii) 有關資料受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響（保障資料第4(2)原則）。
 
《私隱條例》第65(2)條亦訂明，任何作為另一人的代理人並獲該另一人授權（不論是明示或默示的授權，亦不論是事前或事後授權）的人所作出的任何作為或所從事的任何行為，須視為亦是由該另一人作出或從事的。換言之，雲端服務供應商所作出的任何個人資料外洩或濫用的行為，視乎情況而定，可被視為是由該機構以及它的服務供應商作出的。
 
機構和雲端服務供應商的共同責任
基於《私隱條例》的法律要求，《指引》不僅強調機構與雲端服務供應商在雲端環境內保障數據安全的共同責任，亦向機構提供多方面的建議措施，讓它們在使用雲端運算時亦能更有效地保障個人資料私隱，這些方面包括：
 
服務及部署模式
機構應謹慎評估與所選擇的服務及部署模式有關的風險，以確保採取適當的數據安全措施。例如，當雲端服務供應商更新其服務，以提供新服務特點或配置時，機構應及時作出相應行動，更新相關軟件及/或調整適當的配置。機構亦應採取足夠及有效的安全措施，防止儲存於雲端的個人資料受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。
 
標準服務及合約
機構應評估雲端平台的服務及合約條款是否完全符合相關的保安及個人資料私隱保障的標準。如所提供的服務與所需要的標準存在差距，機構不應只依賴標準服務條款，而是應該要求供應商調整服務及協商合約條款，以符合有關的循規要求。在這方面，機構應留意國際標準組織已推出多套有關使用雲端服務的標準，相關詳情載列於《指引》中。
 
外判安排
機構需要確定雲端服務供應商是否有外判安排。如雲端服務供應商聘用承判商，機構應確保獲得服務供應商在合約內承諾，其保障及循規管控的水平同樣適用於承判商。
 
跨境資料轉移
雲端服務供應商可能於不同司法管轄區設有數據中心。當機構將個人資料轉移至香港以外的地方時，須確保遵從《私隱條例》的規定。特別是，機構須告知資料當事人他的個人資料將會轉移至香港境外的接收者，並指明個人資料將會用於甚麼目的（保障資料第1原則）。如上述轉移構成新目的，機構必須取得資料當事人明確及自願的同意（保障資料第3原則）。
  
總結
即使個人資料可以遙距儲存在其他地方，機構作為資料使用者仍需承擔責任。機構及雲端服務供應商必須攜手合作，實施穩妥而有效的保安措施，務求既可利用雲端運算的優勢，同時亦保障雲端環境的個人資料私隱。