資訊洞見

單靠循規守法是否足以保障資料?

最近國際航空公司乘客個人資料大量外洩,以及其他驚人的社交媒體平台資料洩漏事故,均使資料保障議題再次成為焦點。

資料保障旨在管理及保護個人資料,以免資料被未經授權查閱或使用。企業機構在其業務運作過程中會處理數量龐大的客戶個人及機密資料。雖然智能技術在社交電腦運算、大數據處理、人工智能及機器學習等範疇上的迅速發展及應用讓一切變得更快捷及更智能化,但區塊鏈、金融科技及行為追蹤技術的運用對商界、社群以至整個社會所帶來的轉變亦將個人私隱所承受的風險提升至前所未有的高水平。舉例而言,根據個人資料私隱專員公署所發表的2016-17年報 (年報),香港網絡罪案的數字從九十年代的每年數百宗,上升至2016年約6,000宗。

鑑於資料外洩事故頻生,導致客戶的個人及機密資料被洩露,客戶均日益關注其在資料私隱方面可享有的保障,尤其是客戶資料被收集、管理、使用及保密的方式及範圍。由於客戶資料的收集與發放乃建基於收集資料的企業機構與提供資料的客戶之間存在互信關係,故竭力確保該等資料不得落入不法之徒手中至為重要。因此,企業機構必須確保在收集及發放客戶資料過程中的每個步驟不僅遵循適用的私隱法律,亦必須達致客戶對私隱及保安方面的期望,只准許具有查閱權限的人士使用該等資料。

香港的資料保障機制

雖然,適用於資料保障的法律機制發揮重大作用,並且規管資料可用以促銷或提供服務或者經營業務的方式,以及應如何保存資料。然而,在實際上個人資料及資訊是否得到充分保障,一概取決於適用法律的穩健程度是否足以確保充分循規守法。

香港的現行資料保障機制受《個人資料(私隱)條例》(《私隱條例》) 所規管。《私隱條例》監管個人資料的收集、使用、披露、保留以及批准查閱和改正個人資料等各個範疇。此外,《私隱條例》亦以六項保障資料原則 (保障資料原則) 的形式,對資料使用者施加責任,以確保資料得到妥善處理。有關的六項保障資料原則概述如下:

1. 保障資料第1原則 (收集):個人資料應以公平方法及為了合法目的而收集,所收集個人資料應屬必需但不超乎適度的,以及必須告知資料當事人收集其資料的目的。

2. 保障資料第2原則 (準確性及保留):所有個人資料應準確無誤,以及不應將個人資料保存至超過所需的時間。

3. 保障資料第3原則 (使用及披露):除非得到資料當事人的同意,否則個人資料不得用於不同的目的。

4. 保障資料第4原則 (保安):應採取所有切實可行的步驟,保障所收集的個人資料不會未經准許或意外地被查閱、處理、刪除、喪失或使用。

5. 保障資料第5原則 (公開性):應採取所有切實可行的步驟,以確保公眾得知資料使用者持有何種個人資料及如何使用該等資料。

6. 保障資料第6原則 (查閱及改正):資料當事人應可查閱其個人資料及改正不準確的個人資料。

根據《私隱條例》,任何人士若有合理理由相信有違反《私隱條例》的行為,可向個人資料私隱專員公署 (公署或私隱專員) 作出投訴。公署可就有關投訴進行調查。若出現違反《私隱條例》的情況,私隱專員可向資料使用者送達執行通知,要求其就違例事項採取補救措施。違反保障資料原則本身並不構成罪行,只有在不遵循執行通知的情況下方屬犯罪。私隱專員可將刑事罪行轉介香港警方處理。儘管如此,私隱專員在年報中亦承認,定罪個案的罰則之阻嚇作用似乎沒有預期般大。

遵循現行法律機制是否足以保障資料?

因應數碼革命及數碼生態系統的演進情況,私隱專員在2018年10月刊發,題為《中國香港的道德問責機制框架》(“Ethical Accountability Framework for Hong Kong China”) 的報告中指出,數碼革命及科技發展令世界各地的資料私隱機制框架(包括香港的《私隱條例》) 備受挑戰。發展先進的科技及規模不斷提升的數據處理活動現正令《私隱條例》所規定的一些基本保障資料原則是否充分備受考驗,例如「通知及同意」、「使用限制」及「透明度」等。

在本港的航空公司發生乘客資料外洩事故後,前任私隱專員批評,香港很多企業機構對個人資料保障方面的關注仍然停留在一個愛理不理的階段,甚或抱着僥倖心態,不會主動建立和維持一套完整的私隱管理系統,只在發生資料外洩事故後才採取補救措施。

因此,很明顯企業機構如要繼續收集個人資料並從使用該等資料獲益的話,僅以符合最低監管要求的方式經營業務運作已不再足夠。

建立私隱管理系統 – 企業機構緊貼的全球趨勢

由於新的私隱風險顯著增加,資料及私隱保障現在處於不斷發展變化的階段。世界各地的私隱監管機構日漸趨向提倡並推動制定一套更為積極主動並以問責為本的私隱管理系統 (私隱管理系統),作為建立問責制的工具,而非僅僅遵循現行的資料保障法例。

經濟合作及發展組織 (經合組織) 在其1980年的私隱指引中首次引進問責原則,其後經合組織在2013年修訂私隱指引,推出多個新的概念,例如私隱管理系統及通報資料外洩保安事故。世界各地許多監管框架 (包括香港的資料保障機制),均以經合組織的私隱指引作為藍本。

在加拿大、阿爾伯達省及英屬哥倫比亞省三地的私隱專員聯合出版的《以私隱管理系統將問責制納於正軌指引》(“Getting Accountability Right with a Privacy Management Program” Guide) 中簡潔地將與私隱有關的「問責」一詞界定為「就個人資料保障承擔責任。負責任的企業機構必須制定適當的政策及程序,以推行良好行事方式,而此等行事方式作為一個整體時,即構成私隱管理系統。推行此系統的好處,最起碼是展示企業機構有能力遵循適用私隱法例的規定。如果執行得宜,此系統有助贏取客戶對企業機構的信任及信心,從而提升企業機構的聲譽,加強競爭優勢。」

公署於2018年8月16日發出經修訂的《私隱管理系統-最佳行事方式指引》(最佳行事方式指引),旨在協助企業機構建立一套包含問責概念的全面私隱管理系統。私隱專員表示:「隨着公眾對私隱保障的期望與日俱增,企業機構在處理個人資料保障方面停留在僅符合法律規定的層面之態度已不合時宜。建立全面私隱管理系統不但可加強客戶的信任,更可從而提升企業機構的商譽及加強競爭優勢。…很明顯,企業機構透過推行私隱管理系統,在處理個人資料時採納問責制已成為全球趨勢。」

最佳行事方式指引就建立更為穩健及全面的私隱管理系統為企業機構提供建議及指引,要求企業機構在系統管控措施及持續檢討方面給予支持。主要重點概述如下:

1. 機構的決心

• 私隱管理系統成功與否的關鍵在於最高管理層的支持
• 企業機構必須指派專人負責私隱管理系統
• 企業機構需要建立內部匯報機制,並清楚訂明匯報架構及匯報程序

2. 系統管控措施

企業機構應:
• 知道其持有何種個人資料、如何處理個人資料,並將有關資料記錄在個人資料庫存內
• 就履行法律下的責任而制定內部政策,並向僱員傳達此等政策
• 進行定期風險評估及私隱影響評估,以確保企業機構遵從《私隱條例》的規定
• 針對僱員的特定需要而提供切合現況的培訓及教育
• 確立程序及指定專人負責處理個人資料外洩事故
• 確立程序,以確保服務提供者遵循法律的規定
• 確立程序,以告知僱員及客戶有關企業機構的個人資料政策及實務常規

3. 持續評估及修訂

• 企業機構應制定監督及檢討計劃,有助企業機構持續推行其私隱管理系統及保持系統切合最新情況
• 企業機構應監察系統管控措施的成效,定期審核及在有需要時予以修訂

總結

隨着私隱外洩事故日增,商業機構的客戶對於在收集、持有、處理及使用其個人資料時,企業機構可提供的私隱保障及保安措施方面所寄予的期望亦相應提高。因此,企業機構必須實行充分的保安措施,以保障其客戶的個人資料。以問責為本模式處理個人資料是一個更為積極進取及首選理想的方法,現已成為全球趨勢。順應這個趨勢,於2018年5月25日起生效的歐洲聯盟 (歐盟)《通用數據保障條例》(《通用數據保障條例》) 將多項新增規定引入資料保障機制內,包括問責制,即企業機構必須履行若干責任,以便在資料保障方面展示循規,例如委任資料保障主任;個人資料外洩事故強制通報,以及資料可攜權和對資料處理者施加的新增責任等。就此而言,香港的企業機構如果在歐盟設立機構,或者在歐盟以外設立機構,以提供貨品或服務或者監察歐盟人士的行為,將會受《通用數據保障條例》所約束。

鑑於公眾關注到近日航空公司資料外洩事故並要求在資料保障方面對企業機構作更嚴格的規管,私隱專員於11月3日表示,現正就《私隱條例》進行檢討,並將在數月內向政府提出建議。

由於《通用數據保障條例》具有深遠的影響,在稍後時間更可能牽涉香港商業機構,導致對《私隱條例》作出修訂。因此,企業機構及人力資源管理專業人士應了解並意識到,在業務運作上,僅僅符合法例最低要求已不再足夠,反之,企業機構應實行一套更為積極進取,以問責為本的系統,作為強化其私隱保障措施的工具。全面的私隱管理系統將有助企業機構盡早辨識及處理資料外洩事故,長遠而言更可避免經濟損失及聲譽受損。與此同時,在合規調查的情況下
企業機構將可藉此向監管部門及客戶展示其設有一套穩健的私隱保障系統。

主要負責人

鍾詠雪

合夥人 | 商業事務 | 僱傭與退休金

電郵 或致電 +852 2825 9297

Portfolio Builder

Select the 本行服務 that you would like to download or add to the portfolio

Download    Add to portfolio   
Portfolio
職務 Type CV 電郵

Remove All

Download


Click here to share this shortlist.
(It will expire after 30 days.)