私隱專員公署強調 網上個人資料外洩是執法重點

香港個人資料私隱專員公署在2020年4月的一份報告中表示,網上資料外洩是當前和未來的執法重點,並談及就網上個人資料外洩風險問題提出修改相關法律的建議。監管和立法機構為配合科技的急速發展,滿足公衆對保障資料私隱的要求,在法律和執法方面準備作出改變。因此,公司未來必須更加關注個人資料的收集、處理和儲存。

政府在日期為2020年1月20日的檢討文件中首次公布最近相關法例及執法重點的改變。該文件載有對《個人資料(私隱)條例》(下稱《條例》)的修訂建議,當中對商界影響最大的是强制性資料外洩事故通報機制;訂明個人資料保留時間;對網上資料儲存及處理服務提供者(「資料處理者」)的直接規管;加重罰則;以及實施因違反《條例》而產生的行政罰款。這些修訂建議對一些經常處理大量客戶、供應商、顧客和僱員的(個人)資料、並使用網上資料儲存服務的公司有重大影響。

公布有關修訂建議後,私隱專員公署發表了上述2020年4月的報告,強調入侵伺服器或在未經授權的情況下取用網上儲存的個人資料而導致大量資料外洩的事件是執法的重點。該報告分析了2019年進行的多項執法行動,並講述資料管理方面的主要不足之處,這些都與《條例》修訂建議的關注點是一致的。

作為執法行動的一部分,報告重點分析了一宗本地航空公司九百四十萬名乘客的網上資料外洩事件,外洩的資料包括乘客姓名、電郵地址、航空公司會員號碼、身份證和信用卡資料。由於航空公司資料安全系統存在各種漏洞,肇事者繞過了保安控制系統,安裝惡意軟件,從而獲取個人資料。調查發現,航空公司的系統沒有為已知漏洞採取足够的保護措施;安全檢查次數過少(每年只進行一次),而且無法檢測出資料外洩行為和漏洞;遙距登入的安全沒有得到妥善保障;過時的個人資料仍被保留,沒有妥為删除。私隱專員公署表明,雖然《條例》下保障個人資料的安全不是絕對的責任,但評估保障個人資料安全措施時須視乎具體個別情況,考慮資料的數量、性質和敏感性,以及資料外洩後可能造成的損害。最後,該航空公司在得知外洩事故七個月後才報告事故,雖然根據現行法律(無强制性資料外洩事故通報機制)延誤報告並不違法,但私隱專員公署認為,如果航空公司能及時報告事故,便可大大減少對受影響乘客造成的
傷害。

私隱專員公署亦在報告中重點分析了另一宗資料外洩事故,當中涉及一間本地電訊公司三十八萬名客戶的個人資料外洩。私隱專員公署再次提及多項漏洞,例如資料沒有加密而引致資料外洩、未有對遙距登入系統(如上述航空公司個案)實施多重認證,以及不必要地保留過時(與前客戶有關)的個人資料。

有關《條例》的修訂建議及上述報告重點分析的執法行動,顯示私隱專員公署和香港的立法機關目前正致力加强香港的個人資料保護制度和資料外洩事故的執法工作,以提高對個人資料(特別是網上儲存的資料)的保障。鑒於修訂建議可能在不久的將來立法生效,公司應嚴格評估所收集的個人資料種類、資料的儲存方式以及網上違法行為所帶來的潛在風險。

為協助公司進行評估,《條例》的修訂建議及最近的執法行動提供了一些指引:

  • 使用最新版本的軟件和硬件,並消除已知漏洞;
  • 有效和定期檢查電腦和伺服器系統,及時發現資料外洩 / 漏洞;
  • 在可能的情況下,個人資料應予以加密;
  • 妥善保障遙距登入系統的安全;
  • 適時删除不再需要的個人資料;及
  • 實施及時資料外洩事故通報機制及程序。

–方達律師事務所資深律師陳振中
–方達律師事務所資深律師羅法斌
–方達律師事務所律師唐文略

編者按:這是一篇名為《勝者自慎—香港法院駁回逾期執行仲裁裁決的企圖》("Case Study and Best Practices forAvoiding Data Breaches under HongKong Personal Data Laws") 的文章摘要,該文章通過《香港律師》電子報分發,並於2020年7月張貼在《香港律師》的網站上。

Jurisdictions: 

方達律師事務所資深律師

方達律師事務所資深律師

方達律師事務所律師