个人资料私隐专员公署刊发《资讯及通讯科技的保安措施指引》
背景
资料外泄事故在2023年仍然是一个严重的问题,并对香港的企业和市民构成威胁。香港个人资料私隐专员(「私隐专员」)指出,于2019及2020年,在专员公署处理的资料外泄报告中,约四分之一涉及网络攻击,包括勒索软件攻击。这个比例去年上升了29%,超过60万名香港市民在各种网络安全事故中受到影响。
根据报告的事故,私隐专员注意到网络钓鱼及未堵塞的漏洞是导致资料外泄的两个最常见原因。就个人资料外泄事故而言,私隐专员有法定责任确保资料使用者遵守香港法例第486章《个人资料(私隐)条例》(《私隐条例》)的「保障资料原则」,其中,保障资料第4原则对资料使用者施加责任,须主动采取所有切实可行的资料保安措施,以保障个人资料安全。
在此背景下,私隐专员刊发了《资讯及通讯科技的保安措施指引》(「该指引」),为资料使用者提供一些切实可行的建议资料保安措施,协助资料使用者遵守保障资料第4原则及《私隐条例》的相关规定。
该指引概览
该指引为资料使用者提供资讯及通讯科技的建议资料保安措施,提出7项主要建议:
1.
资料管治和机构性措施
2.
风险评估
3.
技术上及操作上的保安措施
4.
资料处理者的管理
5.
资料保安事故发生后的补救措施
6.
监察、评估及改善
7.
其他考虑:云端服务、自携装置及便携式储存装置。
私隐专员明白,资料使用者就保护个人资料采取的步骤会因情况而异,因此并非提出一刀切的处理方法,而是旨在提出一个建基于机构和管理层决心、资料保安以及资料外泄处理的一般应用框架。
主要建议
A.
资料管治和机构性措施
1.
私隐专员建议资料使用者(包括企业)针对资料管治和资料保安制订明确的内部政策和程序,涵盖以下范畴:
a.
员工的角色和责任
b.
资料保安风险评估
c.
查阅和输出系统中的资料
d.
外判资料处理及资料保安
e.
应付资料保安事故
f.
销毁资料
2.
资料使用者应根据当时普遍适用的情况,例如行业内的新标准和资料保安的新威胁,定期和及时地覆检和修订其有关资料管治和资料保安的政策和程序。
3.
人手——资料使用者应委任合适人员担任领导位置(例如资料总监、私隐总监等)负责具体资料保安,并应制订指引,订明以下事项:
a.
资料使用者处理的个人资料从收集到销毁的整个资料周期;
b.
有关人员的角色和责任;
c.
决策的权力分配;及
d.
有关查阅和转移个人资料的问责和监督权。
4.
合乎比例的人员配置——负责资料保安人员的数量、资历及技术能力,应与相关职能的性质、规模、复杂性及资料保安风险相称。
5.
培训——所有工作人员在入职时及往后应定期接受培训,培训内容应涵盖(非详尽无遗):
a.
密码管理
b.
加密软件
c.
便携式储存装置和遥距存取工具
d.
永久销毁资料
e.
诈骗风险
f.
只使用经核准软件
g.
社交媒体和互联网的使用
B.
风险评估
1.
资料使用者应在新系统和新应用程式启用前,进行资料保安风险评估。如有需要(例如缺乏人手或专业知识的中小企),应聘用第三方专家进行风险评估。
2.
风险评估结果应定期向高级管理层汇报。
3.
如在风险评估中发现保安风险,应及时处理。
C.
技术上及操作上的保安措施
1.
根据风险评估结果,资料使用者应采取足够及有效的保安措施,以保护其系统和资料。资料使用者应考虑以下技术上及操作上的保安措施(非详尽无遗):
a.
保护电脑网络——包括实体存取控制措施
b.
资料库管理——将资料库伺服器与网络伺服器分开;资料集分区
c.
存取管控——采用「最小权限」的原则,授予用户尽可能少的存取权限以完成工作,并将适当的角色分配给用户
d.
防火墙和反恶意软件
e.
保护网络应用程式——避免在网上储存不必要的个人资料
f.
加密——将传输中和存储中的资料、流动装置及便携式储存装置中的资料加密,并有效地管理和保护加密密钥
g.
电邮及档案传送——过滤滥发电邮;采用工具以防止透过电邮意外披露资料
h.
资料备份、销毁及匿名化
D.
资料处理者的管理
1.
根据《私隐条例》,资料使用者即使将个人资料外判予第三方(包括云端服务)处理,仍须遵守保障资料第4原则,并且可能须就第三方资料处理者任何违反保障资料原则/《私隐条例》的行为负责。
2.
资料使用者在聘用资料处理者时可考虑采取以下行动(非详尽无遗):
a.
实施政策及程序确保只聘用称职可靠的资料处理者(进行资料处理者尽职审查);
b.
进行评估以确保只有必要的个人资料被转移至资料处理者;
c.
资料处理合同应明确规定资料处理者须采取的保安措施;
d.
要求资料处理者在发生资料保安事故时立即作出通知;及
e.
进行现场审核以确保资料处理者遵守资料处理合同,并要求资料处理者就违反合同的行为承担后果。
E.
资料保安事故发生后的补救措施
1.
根据保障资料第4原则,一旦发生资料保安事故,资料使用者有责任及时采取有效的补救措施,以减低可能对资料当事人造成伤害的严重程度。
2.
私隐专员建议资料使用者在资料保安事故发生时采取以下补救措施:
a.
在切实可行的情况下立即停止受影响的资讯及通讯系统,并将其与互联网和资料使用者的其他系统的连接中断;
b.
立即更改涉嫌导致资料保安事故的用户的密码,或中止其存取权限;
c.
立即更改系统的配置,以管制对受影响资讯及通讯系统的存取;
d.
在没有不当延误的情况下通知受影响的人士,并向他们建议保障自己的可行办法;
e.
在没有不当延误的情况下通知私隐公署及其他执法机构或监管机构( 如适用);
f.
适时修补保安漏洞;及
g.
在可行并且在不影响未来调查取证分析的情况下扫瞄资讯及通讯系统,以查找任何其他未知的保安漏洞。
F.
监察、评估及改善
1.
私隐专员建议资料使用者委派独立的专责小组(例如内部或外部审计队)负责定期监察资料保安政策及措施的遵从情况。如发现违反政策的行为或保安措施成效不彰,应采取改善行动(包括培训)。
G.
其他考虑:云端服务、自携装置及便携式储存装置
1.
在云端服务方面,私隐专员建议资料使用者采取以下措施:
a.
评估云端服务供应商的能力,要求他们为云端环境的保安管控正式提供保证;
b.
于云端环境设立稳固的查阅管控和认证程序,例如严格的密码政策、多重身份验证、妥善的纪录保存,以及定期覆检存取权限;及
c.
检视云端的现有保安功能,并启用合适的保安功能,不要只依赖预设的保安设置。
2.
在自携装置方面,私隐专员建议资料使用者采纳以下措施及政策:
a.
尽可能避免将资料使用者收集的个人资料 存储在自携装置设备内;
b.
控制对储存在自携装置设备内的个人资料的存取(例如,除了员工智能电话的屏幕锁之外,再需要另外登入才能查阅);
c.
使用并非自携装置设备内建的加密方法来加密存储在其中的个人资料;及
d.
在自携装置设备上安装适合的软件,以便在丢失自携装置设备时可遥距删除存储在其中的资料。
3.
对于便携式储存装置,例如硬盘或USB 记忆体,私隐专员建议资料使用者可实施以下措施:
a.
制订政策,列明 (1) 允许使用便携式储存装置的情况;(2) 可转移到便携式储存装置上的个人资料的类别及数量;(3) 使用便携式储存装置的批准程序;及 (4) 转移到便携式储存装置的资料的加密要求等;
b.
使用端点保安软件防止资料从资料使用者的资讯及通讯系统转移到不安全(例如没有加密功能)或未获批准使用的便携式储存装置上;
c.
保存便携式储存装置的清单,并追踪其使用和下落;及
d.
在每次使用便携式储存装置之后妥善地删除当中的资料。
实际策略及最佳行事方式
该指引并无法律效力,不遵从该指引的建议并不构成违反保障资料原则或《私隐条例》。然而,在针对资料外泄或投诉的调查中,私隐专员及其人员可根据该指引中的建议评估该条例的遵从情况。因此,资料使用者(包括企业)最好遵从指引的建议,以便在受到调查或投诉时证明已遵守保障资料原则。
每名资料使用者/每间公司的规模、业务(不论是否受监管)及其收集、使用和处理的资料各有不同,因此资料使用者/公司应自行评估其持有的资料、资料外泄的风险以及考虑如何最妥善地处理有关风险和需要。就技术标准及最佳行事方式而言,私隐专员建议资料使用者参考信誉良好的机构所制订的标准和最佳行事方式,例如ISO/IEC 27000 系列的资讯安全管理系统标准,以及由其他司法管辖区发出的指引或建议,例如中国内地的《个人信息安全规范》(GB/T 35273-2020),当中按资料生命周期不同阶段列出资料安全措施的技术标准。
除了技术及科技因素,人为因素同样重要,而且往往容易成为网络钓鱼及垃圾邮件威胁的对象。因此,资料使用者应安排所有现职及新员工就相关资料安全政策及程序接受适当培训并定期重温。系统监测及渗透测试亦能确保员工及使用者在透过电邮及讯息沟通以及处理超连结和资料时遵守政策及程序。管理层对资料保安的重视以及由上而下保障资料安全的决心也非常重要。
该引提供清晰的建议,协助资料使用者加强其资料保安及应对措施,并遵守《私隐条例》的规定。面对不断变化的网络安全威胁,资料使用者需要持续评估风险及更新其现有的资料保安措施,以确保得到充分保护。
(本文由本所合伙人卫绍宗律师撰写,初刊于OneTrust DataGuidance网页。)
|
如有查询,欢迎与我们联络: |
|
E: technology@onc.hk T:
(852) 2810 1212 香港中环康乐广场8号交易广场第三期19楼 |
|
注意:以上内容涉及十分专门和复杂的法律知识及法律程序。本篇文章仅是对有关题目的一般概述,只供参考,不能构成任何个别个案的法律意见。如需进一步的法律咨询或协助,请联络我们的律师。 |
|
ONC柯伍陈律师事务所发行 © 2023 |
