資料保安

近期,在香港及海外發生了矚目的資料保安事故,令個人資料保障成為公眾關注的焦點,並引起社會各界的憂慮。

雖然網絡攻擊本身可能屬刑事罪行而受到其他法律規管,而企業在部分情況下亦不能控制這類攻擊,但《私隱條例》的要求是機構須採取「所有切實可行的步驟」,確保個人資料的安全,以應付可能出現的資料外洩事故。需要採取的步驟則很自然地會因應每宗個案的事實和情況而定。

當公署需要考慮資料使用者是否已採取「所有切實可行的步驟」以履行其資料保安責任時,公署將採取「整體性事實」的方式,以及考慮一系列因素,包括但不限於以下
各點:

• 資料使用者是否已制定有關數據管治和資料保安的明確內部政策和
指引;

• 是否已為資訊科技安全提供了適當的人員編制,並委任合適的領導人員承擔個人資料保安的具體責任;

• 是否已根據既定政策和程序對資訊系統進行定期私隱風險評估;特別是儘量減少收集敏感資料,並對其嚴加保護;

• 是否已根據數據處理活動的性質、規模和複雜性,制定適當的技術和具操作性的保安措施,以保障資訊系統和個人資料的安全(見下文進一步闡述);

• 如有委託資料處理者,是否有採用合約規範方法或其他方法以維持其資料保安做法的監督;以及

• 在發生資料保安事件時,是否有採取適當行動遏止和補救,包括及時通知受影響人士和公署,令受影響人士的傷害降至最低。

在當前的技術情況下,主要的技術資料保安措施一般應該包括多方面,例如:

• 實施資訊和通訊科技安全措施,以確保系統硬件和軟件免被誤用或未經授權查閱;

• 對傳送中和儲存中的資料使用加密措施,並有效地管理密鑰;

• 定期備份資料;

• 徹底銷毀過期或不必要的資料;

• 對查閱訊息系統加以有效的控制;以及

• 定期對伺服系統作滲透測試。

不言而喻,根據行業、特定業務的規模和複雜性、所涉及的個人資料的數量和敏感程度等,履行資料保安的責任各有不同。無論如何,機構必須定期進行風險評估,以便採取適當的保安措施保障其持有的個人資料。

根據我們的執法經驗,我們意識到企業和機構需要特別注意以下幾點:

(a) 雖然大多數機構都會注意到資料保安日益容易受損的問題,但隨著資料外洩事故不斷增加並變得複雜,企業面臨更大的壓力甚至是責任,須保障顧客的個人資料安全,以保持在行業中的競
爭力;

(b) 機構應清楚地意識到,顧客的個人資料是從顧客收集而來的,而該等個人資料可說是由顧客所擁有。企業無可置疑地把這些資料當作一種資產,從中獲取利益。事實上,即使個人資料不如其他動產(如鈔票)或不動產般屬有形的資產,這亦不足以免除企業的責任,包括需要妥善地保護資料,和確保在已達致有關目的而不再需要該資料時徹底銷毀資料。顧客(資料當事人)及監管機構亦期望企業能擁有一個完備、有效及可行、能按企業規模及需要加強、並可全面實施的私隱循規政策和計劃,以落實法例要求;以及

(c) 許多司法管轄區的新法律和條例,特別是2018年5月實施的歐盟《通用數據保障條例》,也納入了良好的數據管治或問責制的理念。儘管香港的法例仍未制定類似的問責原則,但香港的企業亦應做好準備,在這個數據驅動的經濟時代,採取積極主動的資料管理作為企業的數碼價值、道德和責任,將法律要求轉化為風險為本、可核實和執行的企業行事方式和管控,以應對全球的監管變化;實現更新的商業模式、數碼化、全球化,並確保資料得以保護、可持續和信任。

總括而言,個人資料私隱在香港是基本人權,機構應予以尊重和保障,從而發展適合二十一世紀的企業數碼責任,以協力培育正確的私隱文化。

Jurisdictions: 

大律師,香港個人資料私隱專員