引言
香港个人资料私隐专员公署 (“私隐专员公署”) 在2023年6月发布一份有关处理及通报资料外泄事故的新指引 (“指引”),这份指引的目的是为了协助资料使用者有效地防止及管处资料外泄事故。指引十分全面,涵盖管理资料的最佳行事方式、风险评估、技术和营运保安措施、资料处理者的管治,以及发生资料安全事故时的补救措施。疫情结束后的新常态,包括遥距工作和学习模式的出现,资料使用者在保护资料隐私和安全方面面对挑战。指引旨在协助企业减少资料外泄的风险,避免因此带来声誉及财务的损失。此外,指引阐明了《个人资料(私隐)条例》(香港法例第486章)(“私隐条例”)的法定基本要求,规定资料使用者必须保护个人资料,避免未经准许的查阅、处理、删除、丧失或不正当使用。
步骤1:收集外泄事故的所有相关资料,并在必要时将事件上报给专责的资料外泄事故应变小组。
步骤2:立即采取措施遏止外泄事故,例如关闭或隔离受损的服务器并停止可能与事故有关的系统功能。
步骤3:评估外泄个人资料的性质及敏感程度,以及资料外泄的情况,以评定事件对受影响人士可能造成的损害。
步骤4:在知悉发生资料外泄事故后,尤其是对受影响人士构成实质风险时,应考虑在切实可行的情况下尽快通知有关当局及受影响人士。
步骤5:详细记录事故,包括所有相关细节,以便进行事后检讨,并从中汲取教训,改善处理个人资料的做法。
结论
指引重点说明香港法律下对资料外泄的补救措施的规定,指引也是一份宝贵的资源文件,为有效预防和处理资料外泄事故提供启示和策略。资料使用者必须及时通知受影响资料当事人和私隐专员公署,采取必要措施减低损害,展开调查,并展示对管理资料私隐的承诺,提高公众的警觉性及寻求意见。不依从相关法规将可能导致严重的法律后果。因此,预防资料外泄事故对于保护个人资料、维护声誉及避免经济损失变得至关重要。按照指引的建议,企业能够加强资料管理、安全措施和应对策略,减少因资料外泄带来的风险。对于任何企业,保持警惕并做好准备都是保护个人资料和维护客户及持份者信任的基石。
私隐专员公署连同指引推出的网上资料外泄事故通报表格,简化面对资料外泄的企业的通报程序。
目前,未向私隐专员公署或受影响人士通报资料外泄事故并不构成违反私隐条例。但私隐专员公署正在积极寻求修订私隐条例,包括建立一个强制性的资料外泄事故通报机制。尽管这些立法修订的具体时间尚不确定,但预计不久后将发布明确的修例方案。
点击“阅读原文”,查阅英文版文章。
