share on
由高葉律師行合夥人鄧嘉敏(Carmen Tang)撰寫
本文將刊載於即將出版的《Human Resources》雜誌。
為減少新型冠狀病毒傳播,在家工作已成為常態。這種工作模式增加企業對使用互聯網進行遙距連接的依賴,導致資料私隱風險升級。僱主應確保企業的資訊科技基建設施安全,並致力降低資料外洩風險。
違反私隱的法律含義
《個人資料(私隱)條例》第486章關於個人資料保安的保障資料第4原則訂明,要求資料使用者採取一切切實可行的步驟,保障個人資料不會未經授權或意外地被查閲、處理、刪除、喪失或使用。資料使用者尤其須考慮資料的種類和上述情況一旦發生所造成的損害。
違反香港個人資料私隱專員公署(「私隱專員」)發出的執行通知可構成刑事罪行。此外,資料使用者若違反《個人資料(私隱)條例》,資料當事人有權提出民事訴訟,要求資料使用者就條例的違反賠償損失。
檢視資訊科技服務合約
企業應考慮其可能擁有的合約權利,以及其資訊科技服務供應商所承擔的責任。
目前的新型冠狀病毒疫情凸顯在起草商業合約時,必須全面涵蓋所有條款並具體引述可能發生的事故和不可預見的事件。可惜許多企業可能已簽訂難以完成且價值不菲的合約,因此日後在起草合約時,當中的不可抗力條款成為至關重要的考慮因素。
此外,大多數合約都有免責條款,例如時限、對衍生或間接的損失免責等。當企業發生資料外洩事故時,這些免責條款可能會局限企業可爭取的補救。
資料處理者不會因侵犯個人資料私隱而須向資料當事人負上直接責任,但應避免違反關於準確性及保留期間的保障資料第2原則或第4原則。資料當事人有權向聘用相關資料處理者的資料使用者要求賠償。
為遵守保障資料第2原則和第4原則,資料使用者必須與資料處理者透過合約規範方式,以確保個人資料不會未經授權或意外地被查閲、處理、喪失或使用,而保留時間不超過達致原來目的實際所需。
私隱專員於2012年發出《外判個人資料的處理予資料處理者》資料單張,提供方法以透過合約規範 確保資料處理者遵從保障資料原則,例如「絕對或有限制禁止(例如,除非取得資料使用者的同意)資料處理者把受託提供的服務分判」。
與客戶共同檢視合約保障
企業可考慮加入賠償或責任限制條款以確保分擔風險,或在合約和公司網站中包括免責聲明以免除與資訊科技保安相關的風險。
檢視內部私隱政策
企業應制定全面的私隱管理計劃,並向員工公布。計劃應包括:
- 遵從《個人資料(私隱)條例》所規定的指引,包括六項保障資料原則;
- 與資訊科技相關難題的初步解決方案;和
- 資料外洩事故應變計劃(請參閱下文)。
企業亦可檢視其現有保險政策,確定其是否已就因資訊科技服務故障而造成的中斷或資料丟失提供足夠的保障。
應變管理和監控
除監控資訊科技服務中斷的計劃外,企業亦應制定可遵循的應變框架和遏制措施以應對資料丟失。最理想的做法是保留完整記錄,以備日後參考或將相關資料轉交給相關方面。
資料外洩事故應變計劃應包括四個主要方面:溝通、分析、遏制、事後檢討。
防止資料丟失或黑客入侵的措施
企業應考慮:
- 加強遙距連接的安全性,包括正確配置防火牆、加密易受攻擊的客戶資料、或限制資料傳輸方式。安裝廣告攔截器也可減輕受網絡病毒攻擊的風險。
- 公司提供的托管設備盡可能提供最基本的防護。
- 員工應定期更新其設備的操作系統,以盡量減低與雲端儲存系統相關的風險。
- 通過不同方法來防止和控制未經授權/已授權的用戶訪問,例如多重身份驗證或限制高風險用戶訪問等,這些方法或有助防止黑客入侵雲端系統等事故。此外,亦可限制雲端系統只能通過瀏覽器進行訪問。
- 如涉及付款要求或更改銀行帳戶資料,僱員應格外小心。如有任何疑問,建議口頭詢問客戶或同事,以確認此類付款請求。
私隱專員與新加坡個人資料保護委員會刊發共同製作的《資訊及通訊科技系統的貫徹數據保障設計指引》,為企業提供資訊及通訊科技系統各階段軟件開發的實務指引和良好的數據保障做法。
主要重點
保持靈活和制定適當的應變管理流程來應對資料私隱外洩事故,有助企業更順暢地遙距運作。企業應充分了解與其資訊科技服務供應商和客戶之間的現有權利和責任,以免企業面臨可能嚴重影響業務營運的法律問題。
share on
Follow us on Telegram and on Instagram @humanresourcesonline for all the latest HR and manpower news from around the region!
Related topics