新型冠状病毒全球大流行:是否需要对数据保护和网络安全采取额外预防措施?

无可否认,新型冠状病毒全球大流行扰乱了世界各地人们的营商方式。2020年1月,香港特别行政区政府宣布公务员将实行在家工作政策(提供紧急服务和必须公共服务的例外)。私营部门组织很快实施了类似的在家办公和弹性工时的措施,以尽量减少社交接触。政府已宣布对旅游人士采取隔离措施,从而避免病毒的传播。在香港这样一个人们普遍熟练使用先进数码科技的地方,大多数企业都能够不间断地继续经营。员工即使不在办公室,依然可以高效完成各自的工作:编辑文档、交换信息、通过远程访问公司IT基础设施来确认订单,以及数字音频和视像会议。

数据和机密保护

在这种新型工作模式下,企业在维持高水平数据和机密保护上面临着挑战。在家办公的员工可能会使用不安全的设备传输数据,而这些数据可能包括敏感机密的商业数据或商业机密。当人们被要求在没有实体办公或接触的情况下,通过替代或创新的方式完成工作时,灵活的工作场所政策会加剧这一问题。为此,我们提醒各企业:

1. 

公司应该谨记敏感业务信息保密的重要性。当公司向其他当事方作出具有法律约束力的承诺,要对某些信息保密的情况下,更应如此。保密协议或保密承诺要求公司只在“需要了解的基础上”向员工披露机密信息的情况也并非罕见。公司也可能有义务要求其员工对信息保密。在家办公的模式可能会危害公司的机密保护能力。公司应提醒员工其法律义务,并要求员工避免在公司虚拟专用网络外传播机密信息。公司应该制定一项政策来规范家庭办公环境中的敏感数据流,限制员工共享工作站或密码。

2. 

就个人资料而言,企业应遵守《个人资料(私隐)条例》(以下简称《条例》)所载的保障资料原则(以下简称“原则”),这些原则概述了资料使用者应如何收集、处理及使用个人资料。具体而言,条例中原则第4(1)条要求资料使用者采取一切切实可行的措施,确保所持有的个人资料得到保护,以免遭受未经授权或意外的查阅、处理、删除、遗失或使用。资料使用者还应考虑资料存储的实际位置、保护此类个人资料的设备中所包含的内置安全措施以及为确保数据安全传输而采取的措施。公司应采取适当行动以确保保障资料原则得到遵守。如公司员工通过个人设备将个人资料转移至公司的安全系统之外,公司应如何确保妥善储存资料,并在需要时将资料删除? 公司的隐私政策应解决这些问题,并应引起员工的注意。

网络安全 

保持社交距离成为了全世界防疫的主要方法,因此企业开始越来越依赖数字基础设施和工具。网络攻击的毁灭性后果是难以想象的。黑客们可能试图利用这一具有挑战性的时期,发送健康相关主题的钓鱼电子邮件,如“购买廉价外科口罩的最后机会”或“冠状病毒疫苗”,以诱使人们点击嵌入恶意软件的链接。这可能会产生严重后果,包括损坏IT基础设施、敏感数据泄露或恶意软件感染。近年来,香港一直被列为全球网络攻击的首选目的地之地之一。在新冠病毒全球大流行时期,数字安全应成为企业危机管理的首要任务。

公司应该:

  • 审查IT政策,以确保安全措施的程度得到提升,特别是考虑到在家办公政策下远程访问公司系统的机会增加;
  • 制定一个适当的灾后恢复计划,并确保该计划在家办公的情况下可行;
  • 审查应急计划和数据泄露协议,确保它们能够远程实施;
  • 要求使用数码通讯应用程式(尤其是通过WhatsApp和微信)进行沟通的员工考虑此类沟通方式是否安全、是否适合这种特定沟通,以及出于证据保全的目的考虑是否需要保存此类沟通的单独记录。
  • 确保各级员工了解这些政策,以便出现任何问题时都能得到迅速处理,将损失降到最低。

新型冠状病毒大流行给世界带来了前所未有的威胁,建议各企业保持敏锐和警觉。