简介

企业和机构需要为行政和业务理由而收集及保存雇员、顾客、会员等的个人资料，他们是《个人资料（私隐）条例》（「该条例」）所指的「资料使用者」，因此他们有责任确保他们处理的资料安全。一旦遇到黑客入侵或意外遗失个人资料，他们必须保持冷静，采取适当的行动，将损失和损害减至最低。

最近，香港个人资料私隐专员公署（「私隐专员公署」）发出了《资料外泄事故的处理及通报指引》，列出在资料外泄事故发生时资料使用者可采取甚么行动。

甚么是资料外泄事故？

资料外泄事故是指储存的个人资料（例如手提电脑、USB记忆体、便携式硬碟、备份磁带、文件档案等）遗失、把资料误发给他人、载有个人资料的资料库遭黑客入侵等，令有关个人资料有被未获准许或意外查阅、处理、删除、遗失或使用的风险，而且可构成违反该条例「保障资料原则」的第4原则。

第4原则订明：

1.          「须采取所有切实可行的步骤，以确保由资料使用者持有的个人资料…… 受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响……；及

2.          …… 如资料使用者聘用资料处理者（不论是在香港或香港以外聘用），以代该资料使用者处理个人资料，该资料使用者须采取合约规范方法或其他方法，以防止转移予该资料处理者作处理的个人资料未获准许或意外地被查阅、处理、删除、丧失或使用。」

私隐专员可发出执行通知，指示资料使用者纠正违反该条例的事宜。此外，因资料外泄事故而受到损害的人士，亦可对有关资料使用者提出诉讼，追讨赔偿。

发生资料外泄事故应怎么办？

私隐专员公署建议在发生资料外泄事故时采取以下行动，以把资料当事人及资料使用者受到的损害减至最低：

1. 立即收集重要资料

资料使用者应收集重要资料，例如资料外泄事故发生的日期、时间、地点和原因，涉及的个人资料种类，受影响的资料当事人数目，以及如何发现资料外泄。

资料使用者亦可指派适当的人士或成立小组负责处理资料外泄事故，进行调查，以及统筹与公司内部有关部门之间及与外界人士之联络。

2. 联络相关人士及遏止事件扩大

若极有可能涉及身份盗窃或其他犯罪活动，资料使用者应考虑通知执法部门（例如警方），亦可征询私隐专员公署、互联网公司及／或资讯科技专家的意见及求助。

如果资料外泄事故是系统故障造成，则应立即停止有关系统操作。怀疑被用作或导致资料外泄的用户密码及查阅权利亦应更改，以免个人资料被进一步查阅及利用。

3. 评估风险

资料使用者应评估因资料外泄而造成损害的真实风险，并处理有关具体风险，例如人身安全受到威胁、身份盗窃、金钱损失、受辱或丧失尊严、名誉或关系受损以及失去业务机会。

4. 通知资料当事人

该条例并无规定资料使用者在发生资料外泄事故的情况下必须通知资料当事人。然而，私隐专员公署认为，如果能够识别受影响的资料当事人，资料使用者应考虑通知他们（「通报」）。如决定通报，则应尽快进行。

通报内容可包括以下资料：

·                事件的概述；

·                资料外泄的日期及时间；

·                资料外泄是由资料使用者还是处理个人资料的第三者造成；

·                涉及的个人资料类别；

·                对资料外泄造成的伤害作出的风险评估；

·                为防止资料进一步外泄而已采取或将采取的措施；

·                由资料使用者指派处理资料外泄事故的人士的联络资料；

·                资料当事人可如何保障自己免受外泄事故不利影响的资料及指引；及

·                是否已通知执法部门、私隐专员或其他有关人士。

通报可透过电话、书面、电邮或亲身作出。如未能即时识别受影响的资料当事人或涉及公众利益，透过网站或媒体作公开通报是较有效的方法。

防止再次发生

除采取上述行动外，资料使用者亦应检讨其个人资料处理程序或系统，以找出问题根源，或制定策略防止事故再次发生。就此而言，资料使用者可考虑是否需要处理以下事宜：

·                改善个人资料处理程序当中的保安问题；

·                按「有需要知道」基础限制有权查阅个人资料的人士；

·                改善资讯科技保安措施，以防止黑客入侵、未经准许或意外查阅、处理、删除、丧失或使用；

·                制定或修改有关的私隐政策及措施；

·                定期提供培训，提高雇员的私隐意识；

·                加强对雇员、代理及资料处理者的监察及监督机制；

·                审视与资料处理者签订的合约，确保已规定资料处理者防止资料外泄及立即通报任何资料外泄事故。

总结

资料使用者应建立一套完善政策及行动方案，以应付一旦发生的资料外泄事故。如资料使用者能在适当时候采取适当行动，便可将损害减至最低，亦可减低诉讼的风险，以及有助资料使用者重建商誉及声誉。

如有查询，欢迎与我们联络：

E: employment@onc.hk                      T: (852) 2810 1212 W: www.onc.hk                                     F: (852) 2804 6311 香港中环康乐广场8号交易广场第三期19楼

注意：以上内容涉及十分专门和复杂的法律知识及法律程序。本篇文章仅是对有关题目的一般概述，只供参考，不能构成任何个别个案的法律意见。如需进一步的法律咨询或协助，请联络我们的律师。

ONC柯伍陈律师事务所发行 © 2015