2022年8月30日,香港个人资料私隐专员公署(简称“私隐专员公署”)发布了一份关于资讯及通讯科技的保安措施指引(简称“指引文件”),为资料使用者提供资料保安措施建议,协助各资料使用者遵守香港《个人资料(私隐)条例》(香港法例第486章)项下的相关规定。《个人资料(私隐)条例》于去年作出修订,将人肉搜索定为刑事罪行(请参阅我所2021年10月就该主题发表的更新电子简报)。
据私隐专员公署称,鉴于最近几个月混合工作、混合学习等模式的新常态,资料使用者在保护资料私隐和资料安全方面面临巨大挑战。2022年前七个月,私隐专员公署收到各机构通报68宗资料外泄事故通知,其中四分之一的案件涉及资料使用者的资讯及通讯系统漏洞。鉴于这些网络安全事件,私隐专员公署发布了指引文件,就加强各机构,尤其是中小型企业的资料保安系统的最佳做法提供全面建议。
《个人资料(私隐)条例》附件1保障资料原则(“保障资料原则”)第4(1)条规定资料使用者采取所有切实可行的步骤,确保其持有的个人资料受到保护,不会在未经授权或意外情况下被查阅、处理、删除、遗失或使用。基本上,保障资料原则要求机构考虑所涉及的资料的种类以及发生资料保安事故可能造成的损害。资料保安漏洞造成的损害取决于相关个人资料的数量和敏感度,为确保资料安全并遵守《个人资料(私隐)条例》,所需采取的保安措施须与该等资料的数量和敏感程度成正比。
为协助指导各机构在保护个人资料方面的合规工作,私隐专员公署的指引文件提供了以下方面的资料保安建议措施:
机构应设立明确的资料管治和资料保安的内部政策和程序,涵盖的内容包括但不限于员工在维护系统保障资料安全方面的角色和职责、资料保安风险评估以及资料保安事故的处理(例如应变计划和通报机制)。各机构可参考信誉良好的机构制订的通讯系统安全或网络安全标准和最佳做法,根据当前普遍适用的情况定期审阅和修订其政策和程序。资料使用者还须委任合适的领导人员专门负责个人资料保安(如首席资料官),并且应为员工提供足够的培训,教育并告知员工机构的资料保安政策和程序。在适当情况下,资料使用者还可以在与员工的雇佣合同中加入保密条款。
建议机构在启用新系统和应用程序之前,对新系统和应用程序开展风险评估,并且在启用后定期进行评估。私隐专员公署还建议中小型企业考虑聘请第三方专家开展安全风险评估,以确定相关风险,从而及时处理风险。
指引文件提供了一份非详尽清单,罗列出了机构为确保资料安全时可考虑采取的技术和操作措施。应当注意的是,保安措施的充分性将取决于具体情况,并可根据每宗案件有所不同。其中一些措施包括确保计算机网络的安全、建立资料库管理系统、采用存取管控系统、设置防火墙和反恶意软件、保护网络应用程序、在资料传输或存储过程中使用加密技术、防止滥用并过滤电子邮件、建立备份系统,以及确保对不必要的或过期的个人资料进行及时的销毁或匿名处理。
指引文件建议机构对资料处理者进行适当管理。由于聘请承包商处理个人资料等承办商(如云端服务和资料分析服务供应商)的做法非常普遍,机构应注意,他们可能要为其代理人(包括资料处理者)的行为负责。因此,机构在聘请资料处理者时应考虑如下因素,如资料处理者的称职和可靠程度、所传输的个人资料的性质、资料处理者对资料安全采取的措施、资料保安事故的通报机制,以及开展实地审核工作以确保资料处理者遵守资料处理合同。
保障资料原则第4(1)条规定,机构必须采取所有切实可行的步骤保障其所持有的个人资料,使其免于因资料保安事故遭受损害。因此,指引文件讨论了机构在发生该等事故时可采取的一些常见的补救措施,包括:与受影响的系统断联、更改密码并停止访问、改变系统配置、通知受到影响的个人、通知私隐专员公署和相关监管机构、修补安全漏洞,吸取经验教训。
指引文件建议机构聘请独立专责小组,如内部或外部审计小组,负责监测机构资料保安政策的合规情况并且定期评估资料保安措施的成效。
其他资料保安措施和建议,包括云端服务、自携装置和便携式存储装置
由于远程办公变得越来越普遍,资料从机构资讯及通讯系统传输出去的情况也非常常见。因此,机构可能会面临各种资料保安问题。指引文件针对该等情况提供了建议,并讨论了在使用第三方云端服务、使用个人电子装置时保护机构的个人资料,以及使用便携式存储设备时所需考虑的问题。
指引文件针对企业为改善其资料保安系统、尽量减少可能造成企业名誉和财物损失的资料外泄风险而需采取的具体措施提供了有效指引。各企业应趁现在审阅其现有资料保安政策和程序是否充分和有效,或制定符合当前情况的资料保安政策和程序。如果贵司想要探讨本文中提到的任何内容,欢迎联系陈希文律师或黄丽帧律师。