在家工作安排下的個人資料保障

從2020年年初開始,視乎2019冠狀病毒病疫情的嚴重程度,機構需要不時實施在家工作安排。因此,機構或需要透過僱員的家居網絡及個人電子裝置傳送或處理辦公室資料及文件。相對於由專業人員管理的公司網絡及電子裝置,僱員的家居網絡及個人電子裝置的保安一般較弱。再者,電子和實體資料及文件的轉移變得頻密亦會令資料外洩的風險隨之上升。加上在家工作時使用視像會議軟件日趨普遍,都無可避免增加資料保安及個人資料私隱的風險。

有見及此,個人資料私隱專員公署(私隱公署)於2020年11月下旬發出三份「在家工作安排下的個人資料保障指引」,分別向機構、僱員及視像會議軟件使用者提供實用建議,以加強個人資料私隱的保障。我希望在此介紹三份指引所載的一些建議。

資料保安的基本原則

原則上,不論是在辦公室或在家工作,資料保安和保障個人資料私隱的標準是相同的。《個人資料(私隱)條例》(第486章)附表1的保障資料第4原則規定,資料使用者須採取所有切實可行的步驟,以確保個人資料受保障而不受未獲准許的或意外的查閱或處理等行為所影響,當中尤其須考慮幾個事項,包括(1)儲存資料的地點,(2)儲存資料的設備所包含的保安措施,(3)為確保資料安全地傳輸而採取的措施,以及(4)為確保獲准查閱資料的人員的良好操守、審慎態度及辦事能力而採取的措施。因此,機構及其僱員應加強防範在家工作安排為資料保安和個人資料私隱的保障所帶來的新風險。

給機構的實用建議

由於2019冠狀病毒病大流行,在家工作迅速成為很多機構的新常態。機構應為在家工作安排做好準備,評估有關安排對資料保安構成的風險,並根據評估的結果對現有政策及行事常規作出適當的修訂。例如,為確保資料安全,機構應為在家工作的僱員提供足夠培訓,包括密碼管理、資料加密以及對網絡保安威脅及趨勢的防範意識。機構亦應指派專責的職員或部門解答僱員的疑問和提供技術支援。

在可行的情況下,機構應向在家工作的僱員提供電子裝置(例如智能電話和手提電腦),因為僱員的個人裝置可能存在較多資料保安漏洞。機構亦應確保儲存於電子裝置內的資料(包括個人資料)安全,例如安裝適當的防惡意程式軟件、防火牆及最新的保安修補程式。為防止資料外洩,機構應開啟遙距資料抹除功能,當電子裝置遺失或被盜取時,可刪除儲存在裝置內的資料。

虛擬私人網絡(VPN)是在家工作安排下較常用的工具,因為VPN可讓僱員遙距地以及比較安全地連接公司網絡。然而,VPN的安全程度取決於它的設定是否妥當。機構應採取措施加強VPN的安全程度,包括要求在連接VPN時使用多重身份認證、及時更新VPN平台的保安設定,以及採用網絡握手協議(handshake protocol)為僱員電子裝置與公司網絡之間建立安全通訊渠道。此外,機構應對公司網絡的遙距連接採取加強的保安措施。

給僱員的實用建議

僱員在確保資料安全上擔當重要角色,他們可採取多項措施為在家工作做好準備。首先,他們應遵守僱主有關資料處理的政策,以及在可行的情況下,只使用公司裝置處理公事。另外,明顯地僱員應注意為公司裝置設定高強度密碼以防止任何人在未經授權下查閱。僱員亦不應與家人共用公司裝置或在公司裝置上安裝個人設備(例如個人USB記憶體),因為個人設備存有惡意程式的機會較高。

雖然電子通訊可讓僱主與僱員於在家工作期間保持有效而暢順的溝通,但使用電子通訊時必須確保電子通訊的安全以避免資料意外洩漏。例如在可行情況下,僱員應利用網線連接上網。如無可避免要使用Wi-Fi,應採用最新的Wi-Fi安全協定,以加密傳輸的資料。此外,僱員亦應只用公司電郵帳戶(而非個人電郵帳戶)傳送和接收與工作有關的文件和資料,將載有個人資料和限閱資料的文件和資料加密,以及在發送電郵前覆檢收件人的名字和電郵地址。當收到可疑電郵和訊息時,應透過其他渠道與發送者核實,例如直接致電查詢。

在可行的情況下僱員應避免從辦公室帶走紙本文件,因為家居環境較難確保文件的安全。如僱員有必要將紙本文件帶回家中,應在把文件帶離開辦公室前嘗試將當中的個人資料和限閱資料遮蓋或移除。作為良好的做法,僱員應備存清單以記錄帶回家中和送回辦公室的文件。僱員亦切勿在家中棄置載有個人資料和限閱資料的紙本文件。有關文件應按既定程序於辦公室銷毀。

使用視像會議軟件的實用建議

隨著工作性質不斷改變,遙距工作者現今更依賴使用視像會議軟件。根據一項研究發現,英國約有180萬名年青人透過視像會議工具參與求職面試。

由於視像會議軟件的私隱政策和保安措施各有不同,機構應按需要選用合適的軟件。例如,若機構無可避免地要透過視像會議討論機密事宜,應使用提供端對端加密的視像會議軟件。為妥善保護其帳戶,機構應設定高強度密碼,啟用多重身份認證功能(如有),並且安裝最新版本的軟件和保安修補程式。

為防止有人擅自加入視像會議,機構應為每個會議設定獨特的會議登入編號以及高強度、獨特的密碼。會議登入編號及密碼只應發送給與會者。機構亦應使用虛擬等候室功能以核實與會者的身份。當所有與會者進入會議後,將會議「鎖上」。

確保資料安全和個人資料受到保障決不是一次性的步驟,特別是當疫症大流行正前所未有地加速了科技的發展以及其對人們日常生活的侵擾,令我們需要面對新的安全和私隱威脅。

機構應不時審視和調整在家工作安排的相關政策及行事常規,從而有效地減低在新常態下所產生的資料安全和個人資料保障的新風險。

請參閱私隱公署發出的三份指引,以獲得更多實用建議的詳情。指引的電子版可於私隱公署網站下載:
https://www.pcpd.org.hk/tc_chi/resources_centre/publications/guidance/g…

Jurisdictions

大律師,香港個人資料私隱專員

Barrister, Denis Chang’s Chambers

 

Paul Harris is a public law and human rights specialist who also has considerable experience of other areas of civil litigation. He practises in Hong Kong, where he is one of the Territory’s leading public law silks, and in London, where he is a member of Doughty Street Chambers.

 

 

Paul is most well known for a series of successful human rights cases against the Hong Kong government but has wide experience of other areas of Hong Kong law, including land, commercial disputes, employment, personal injury, injunctions (including Mareva and Anton Piller orders), and contested probate actions. He has handled a number of cases involving difficult issues of conflict of laws.