雲端運算的私隱風險

雲端運算已經成為我們生活的一部分。我們的日常活動,例如寄發電子郵件和上載照片、造訪網上銀行、網上購物或影片串流等,都涉及使用雲端。作為使用雲端服務的企業,你是否充分意識到雲端服務對自己或客戶的個人資料私隱的潛在威脅呢?

增長趨勢

企業全面採用雲端服務以代替內部伺服器的趨勢日益明顯。例如在2015年,網飛(Netflix)成為眾多率先關閉自己所有的數據中心的大公司之一。

那麽,何謂雲端運算?美國國家標準暨技術研究院把雲端運算定義為「一種容許對可配置電腦資源(例如,網絡、伺服器、儲存、應用程式和服務)進行無處不在的、方便的、可按需要提供的網絡存取的模式。這模式可在最少的管理工作或服務供應商的介入下快速地提供電腦資源予客戶。」

雲端服務供應商透過提供資訊科技基礎設施、平台及╱或軟件等服務予企業,大大地減低了網上業務的營商障礙,這好處對小型企業而言尤甚。

雲端服務供應商

雲端服務一般以共同分擔責任模式運作:雲端服務供應商必須確保其基礎設施的安全,保護使用其服務的企業的資料和應用程式;而企業亦必須採取措施加强保護其應用程式,並使用高強度密碼和身份驗證措施。話雖如此,根據《個人資料(私隱)條例》(《私隱條例》),保障所收集及持有的個人資料的最終責任在於企業(即「資料使用者」)。另一方面,由於雲端服務供應商只為自己以外的目的處理資料,故被視為「資料處理者」。《私隱條例》雖沒有直接對資料處理者施加保障個人資料私隱的責任,但卻要求企業採用合約規範或其他方法,以防止轉移予該資料處理者(即雲端服務供應商)的個人資料的保存時間超過處理該資料所需的時間,並防止未經授權或意外的查閱、處理、刪除、喪失或使用有關個人
資料。

實用建議

企業使用雲端運算時所產生的個人資料私隱憂慮,主要是有關於其對交託予雲端服務供應商的個人資料的保留及保安缺乏控制。以下提供一些實用建議,供企業在使用雲端服務時參考,以履行其在《私隱條例》下的責任:

• 企業應小心評估雲端服務供應商提供的標準服務和合約條款是否符合廣為接受的資料保安標準和《私隱條例》的要求,並在有需要時要求供應商調整合約條款以切合其需要;
• 企業應要求雲端服務供應商在當發生資料外洩事故時,向它作出通報,以便迅速採取補救行動;
• 企業應通過合約取得雲端服務供應商的正式承諾,確保同等水平的保障及循規控制措施同樣適用於其外判商;
• 如企業無法審核雲端服務供應商的營運,應審視雲端服務供應商提供的有關資料保安和私隱循規的審計報告;這方面的相關行業標準包括:
• 資料安全管理系統要求(ISO/IEC 27001:2013);
• 雲端服務資訊保安控制實務守則(ISO/IEC 27017:2015);以及
• 個人可識別訊息處理者在公共雲端保障實務守則(ISO/IEC 27018:2019)。
• 企業應對來往於雲端之間和在雲端存儲器中的個人資料進行加密。

個人資料轉移至香港以外地方

在多個司法管轄區均設有數據中心的雲端服務供應商,可能會以程式去優化盡用剩餘的儲存及運算資源,而將受託的個人資料由一個管轄區轉移至另一管轄區儲存及處理。

《私隱條例》中雖未就「轉移」一詞作出定義,然而我在《保障個人資料:跨境資料轉移指引》(https://www.pcpd.org.hk/tc_chi/resources_centre/publications/guidance/fi...)中曾解釋:「如雲端伺服器可在香港境外存取資料,則資料使用者在雲端儲存個人資料亦可能構成轉移資料至香港境外。」

為解決從本港轉移資料至香港以外地方所引起的問題,使用雲端服務的企業應時常要求雲端服務供應商披露資料被儲存的位置或司法管轄區,以便讓企業的客戶得知此等資訊。企業在選擇雲端服務時,應挑選那些可讓其選擇或指定具有足夠法律保障個人資料的地點或管轄區的供應商。

Jurisdictions: 

大律師,香港個人資料私隱專員