背景

随着全球及香港的网络攻击个案大增，个人资料私隐专员公署（「私隐公署」）于2023年上半年（截至6月29日）收到的资料外泄事故数目较2022年下半年增加超过20% 至55宗。有鉴于此，私隐公署发出新的「资料外泄事故的处理及通报指引」（「该指引」），以协助机构为一旦发生的资料外泄事故作好准备。本文概述私隐公署提出的实务建议，以协助机构处理资料外泄事故，遏止事故造成的损害。

该指引的概览

私隐公署提醒公众，所有资料外泄事故均可能违反香港法例第486章《个人资料（私隐）条例》中关于个人资料保安的保障资料第 4原则。

该指引载列香港资料外泄事故的一些常见原因：

1.       网络攻击

2.       系统错置

3.       遗失实体文件或便携装置

4.       不当／错误地处置个人资料

5.       不慎以电邮或邮寄披露

 

私隐公署建议，公司应制定资料外泄应变计划，一旦发生资料外泄，公司可按照计划及时应对，以尽量减低及控制资料外泄的影响：

私隐公署提供的实务建议

资料外泄应变计划

私隐公署建议机构应制定全面的资料外泄应变计划，以确保迅速应对及有效处理资料外泄事故。

私隐公署建议应变计划应涵盖但不限于以下方面：

1.       说明甚么情况构成资料外泄：包括触发实施计划的例子及准则。

 

2.       内部事故通报程序：应联络谁人及向谁上报事故，并制定标准表格，以便报告所需资料。

 

3.       清楚界定资料外泄应变专责小组成员的角色和责任：谁人负责甚么工作，例如资讯科技部门负责识别潜在外泄资料的位置并采取补救措施；客户服务部门可处理受影响人士的事宜，并向客户及利益相关者提供最新资料。

 

4.       联络名单：载有所有资料外泄应变小组成员的联络资料，以便联络及沟通。

 

5.       风险评估工作流程，以评估资料外泄对受影响资料当事人可能造成的损害及严重性。

 

6.       控制及弥补该资料外泄事故的遏止策略。

 

7.       涵盖以下方面的沟通计划：

a.       决定是否应向受影响资料当事人、监管机构及其他相关人士通报的准则及门槛；

b.       必须提供的资料种类；

c.       机构内负责与利益相关者联络的人员；及

d.       通报方式。

 

8.       调查资料外泄事故并向高级管理层汇报结果的调查程序。

 

9.       制定纪录备存政策，以确保妥为记录事故，因为监管机构或执法机关可能要求备存纪录。

 

10.    制定事后检讨机制，识别需要改善的地方，以防止日后再次发生。

 

11.    制定培训或演习计划，以确保所有相关员工在处理资料外泄事故时能正确遵循程序。

处理资料外泄事故

私隐公署建议在处理资料外泄事故时采取以下步骤：

1.       立即收集重要资料：首先，公司（资料使用者）应迅速收集资料外泄事故的所有相关资料，以评估对资料当事人的影响，及确定适当的缓解措施。

 

2.       遏止资料外泄事故扩大：在发现资料外泄及进行初步评估后，资料使用者应立即采取行动，尽可能有效遏止资料外泄事故扩大。应采取补救行动，以减低受影响资料当事人可能受到的损害。

 

3.       评估损害风险：一旦收集到所有必要的资料，公司应确保其了解受影响人士可能受到损害的风险，采取措施以减低影响。

 

4.       考虑发出资料外泄通报：在决定是否向受影响的资料当事人、私隐公署及其他执法机构通报资料外泄事故时，公司应考虑资料外泄事故对受影响人士的潜在后果、严重或重大程度，以及该等后果发生的可能性，亦应妥为考虑不发出通报的后果。

 

5.       记录资料外泄事故：公司应保留事故的全面纪录，包括与事故有关的所有事实，例如事故的详情及影响，以及资料使用者采取的遏止及补救行动。如机构须遵守其他司法管辖区的法律及规例，则应同时了解该等法律及规例是否载有任何备存纪录的强制规定。

机构最佳做法

资料外泄事故可能会对公司的运营造成灾难性的影响，也会影响其他人士，包括公司的客户及利益相关者。因此，公司必须迅速而有效地处理资料外泄事故。

为此，公司需要根据私隐公署的建议制定稳健的资料外泄应变计划。

为采取适当的应变措施（包括考虑通报执法机构），公司必须评估资料外泄事故的严重程度及潜在风险，包括但不限于法律风险，因为受影响的客户或人士日后可能会提出申索，执法机构或监管机构亦可能会进行调查。

如属受监管机构（例如银行、保险机构、受证券及期货事务监察委员会（证监会）监管的持牌中介人等），尽管法律可能没有规定就资料外泄事故作出通报，但监管机构可能会根据其发出的相关指引或操守准则，要求受监管机构在事故发生后的若干时间内向监管机构及／或受影响客户或利益相关者通报资料外泄事故。

如果公司选择向受影响人士通报资料外泄事故，该通报应清晰、简明，并提供关于资料外泄事故的相关细节，例如涉及的资料类别及潜在后果。此外，公司应就个人减低风险的措施提供指引，例如更改密码或注意财务帐户。

整体而言，公司若考虑评估或调查资料外泄事故（尤其是涉及任何第三方服务供应商时），应考虑是否委托律师就有关问题提供法律意见，以及就有关调查结果及报告获取法律专业特权保障。由于资料外泄事故后，受影响人士可能会提出投诉或索偿，外界亦可能会作进一步调查或诉讼，因此在公司作出任何重要决定或采取任何补救措施之前，最好要求在法律专业特权的保障下寻求法律意见。

 

如有查询，欢迎与我们联络：

E: technology@onc.hk                                                       T: (852) 2810 1212 W: www.onc.hk                                                                    F: (852) 2804 6311 香港中环康乐广场8号交易广场第三期19楼

注意：以上内容涉及十分专门和复杂的法律知识及法律程序。本篇文章仅是对有关题目的一般概述，只供参考，不能构成任何个别个案的法律意见。如需进一步的法律咨询或协助，请联络我们的律师。

ONC柯伍陈律师事务所发行 © 2023