個人資料私隱專員公署刊發《資訊及通訊科技的保安措施指引》
背景
資料外洩事故在2023年仍然是一個嚴重的問題,並對香港的企業和市民構成威脅。香港個人資料私隱專員(「私隱專員」)指出,於2019及2020年,在專員公署處理的資料外洩報告中,約四分之一涉及網絡攻擊,包括勒索軟件攻擊。這個比例去年上升了29%,超過60萬名香港市民在各種網絡安全事故中受到影響。
根據報告的事故,私隱專員注意到網絡釣魚及未堵塞的漏洞是導致資料外洩的兩個最常見原因。就個人資料外洩事故而言,私隱專員有法定責任確保資料使用者遵守香港法例第486章《個人資料(私隱)條例》(《私隱條例》)的「保障資料原則」,其中,保障資料第4原則對資料使用者施加責任,須主動採取所有切實可行的資料保安措施,以保障個人資料安全。
在此背景下,私隱專員刊發了《資訊及通訊科技的保安措施指引》(「該指引」),為資料使用者提供一些切實可行的建議資料保安措施,協助資料使用者遵守保障資料第4原則及《私隱條例》的相關規定。
該指引概覽
該指引為資料使用者提供資訊及通訊科技的建議資料保安措施,提出7項主要建議:
1.
資料管治和機構性措施
2.
風險評估
3.
技術上及操作上的保安措施
4.
資料處理者的管理
5.
資料保安事故發生後的補救措施
6.
監察、評估及改善
7.
其他考慮:雲端服務、自攜裝置及便攜式儲存裝置。
私隱專員明白,資料使用者就保護個人資料採取的步驟會因情況而異,因此並非提出一刀切的處理方法,而是旨在提出一個建基於機構和管理層決心、資料保安以及資料外洩處理的一般應用框架。
主要建議
A.
資料管治和機構性措施
1.
私隱專員建議資料使用者(包括企業)針對資料管治和資料保安制訂明確的內部政策和程序,涵蓋以下範疇:
a.
員工的角色和責任
b.
資料保安風險評估
c.
查閱和輸出系統中的資料
d.
外判資料處理及資料保安
e.
應付資料保安事故
f.
銷毀資料
2. 資料使用者應根據當時普遍適用的情況,例如行業內的新標準和資料保安的新威脅,定期和及時地覆檢和修訂其有關資料管治和資料保安的政策和程序。
3.
人手——資料使用者應委任合適人員擔任領導位置(例如資料總監、私隱總監等)負責具體資料保安,並應制訂指引,訂明以下事項:
a.
資料使用者處理的個人資料從收集到銷毀的整個資料周期;
b.
有關人員的角色和責任;
c.
決策的權力分配;及
d.
有關查閱和轉移個人資料的問責和監督權。
4.
合乎比例的人員配置——負責資料保安人員的數量、資歷及技術能力,應與相關職能的性質、規模、複雜性及資料保安風險相稱。
5.
培訓——所有工作人員在入職時及往後應定期接受培訓,培訓內容應涵蓋(非詳盡無遺):
a.
密碼管理
b.
加密軟件
c.
便攜式儲存裝置和遙距存取工具
d.
永久銷毀資料
e.
詐騙風險
f.
只使用經核准軟件
g.
社交媒體和互聯網的使用
B.
風險評估
1.
資料使用者應在新系統和新應用程式啟用前,進行資料保安風險評估。如有需要(例如缺乏人手或專業知識的中小企),應聘用第三方專家進行風險評估。
2.
風險評估結果應定期向高級管理層匯報。
3.
如在風險評估中發現保安風險,應及時處理。
C.
技術上及操作上的保安措施
1.
根據風險評估結果,資料使用者應採取足夠及有效的保安措施,以保護其系統和資料。資料使用者應考慮以下技術上及操作上的保安措施(非詳盡無遺):
a. 保護電腦網絡——包括實體存取控制措施
b. 資料庫管理——將資料庫伺服器與網絡伺服器分開;資料集分區
c. 存取管控——採用「最小權限」的原則,授予用戶盡可能少的存取權限以完成工作,並將適當的角色分配給用戶
d. 防火牆和反惡意軟件
e. 保護網絡應用程式——避免在網上儲存不必要的個人資料
f.
加密——將傳輸中和存儲中的資料、流動裝置及便攜式儲存裝置中的資料加密,並有效地管理和保護加密密鑰
g. 電郵及檔案傳送——過濾濫發電郵;採用工具以防止透過電郵意外披露資料
h. 資料備份、銷毀及匿名化
D.
資料處理者的管理
1. 根據《私隱條例》,資料使用者即使將個人資料外判予第三方(包括雲端服務)處理,仍須遵守保障資料第4原則,並且可能須就第三方資料處理者任何違反保障資料原則/《私隱條例》的行為負責。
2.
資料使用者在聘用資料處理者時可考慮採取以下行動(非詳盡無遺):
a. 實施政策及程序確保只聘用稱職可靠的資料處理者(進行資料處理者盡職審查);
b. 進行評估以確保只有必要的個人資料被轉移至資料處理者;
c. 資料處理合同應明確規定資料處理者須採取的保安措施;
d. 要求資料處理者在發生資料保安事故時立即作出通知;及
e. 進行現場審核以確保資料處理者遵守資料處理合同,並要求資料處理者就違反合同的行為承擔後果。
E.
資料保安事故發生後的補救措施
1. 根據保障資料第4原則,一旦發生資料保安事故,資料使用者有責任及時採取有效的補救措施,以減低可能對資料當事人造成傷害的嚴重程度。
2.
私隱專員建議資料使用者在資料保安事故發生時採取以下補救措施:
a.
在切實可行的情況下立即停止受影響的資訊及通訊系統,並將其與互聯網和資料使用者的其他系統的連接中斷;
b.
立即更改涉嫌導致資料保安事故的用戶的密碼,或中止其存取權限;
c.
立即更改系統的配置,以管制對受影響資訊及通訊系統的存取;
d.
在沒有不當延誤的情況下通知受影響的人士,並向他們建議保障自己的可行辦法;
e.
在沒有不當延誤的情況下通知私隱公署及其他執法機構或監管機構( 如適用);
f.
適時修補保安漏洞;及
g. 在可行並且在不影響未來調查取證分析的情況下掃瞄資訊及通訊系統,以查找任何其他未知的保安漏洞。
F.
監察、評估及改善
1.
私隱專員建議資料使用者委派獨立的專責小組(例如內部或外部審計隊)負責定期監察資料保安政策及措施的遵從情況。如發現違反政策的行為或保安措施成效不彰,應採取改善行動(包括培訓)。
G.
其他考慮:雲端服務、自攜裝置及便攜式儲存裝置
1.
在雲端服務方面,私隱專員建議資料使用者採取以下措施:
a. 評估雲端服務供應商的能力,要求他們為雲端環境的保安管控正式提供保證;
b. 於雲端環境設立穩固的查閱管控和認證程序,例如嚴格的密碼政策、多重身份驗證、妥善的紀錄保存,以及定期覆檢存取權限;及
c. 檢視雲端的現有保安功能,並啟用合適的保安功能,不要只依賴預設的保安設置。
2.
在自攜裝置方面,私隱專員建議資料使用者採納以下措施及政策:
a. 盡可能避免將資料使用者收集的個人資料 存儲在自攜裝置設備內;
b. 控制對儲存在自攜裝置設備內的個人資料的存取(例如,除了員工智能電話的屏幕鎖之外,再需要另外登入才能查閱);
c. 使用並非自攜裝置設備內建的加密方法來加密存儲在其中的個人資料;及
d. 在自攜裝置設備上安裝適合的軟件,以便在丟失自攜裝置設備時可遙距刪除存儲在其中的資料。
3.
對於便攜式儲存裝置,例如硬盤或USB
記憶體,私隱專員建議資料使用者可實施以下措施:
a. 制訂政策,列明 (1) 允許使用便攜式儲存裝置的情況;(2) 可轉移到便攜式儲存裝置上的個人資料的類別及數量;(3) 使用便攜式儲存裝置的批准程序;及 (4) 轉移到便攜式儲存裝置的資料的加密要求等;
b.
使用端點保安軟件防止資料從資料使用者的資訊及通訊系統轉移到不安全(例如沒有加密功能)或未獲批准使用的便攜式儲存裝置上;
c. 保存便攜式儲存裝置的清單,並追蹤其使用和下落;及
d. 在每次使用便攜式儲存裝置之後妥善地刪除當中的資料。
實際策略及最佳行事方式
該指引並無法律效力,不遵從該指引的建議並不構成違反保障資料原則或《私隱條例》。然而,在針對資料外洩或投訴的調查中,私隱專員及其人員可根據該指引中的建議評估該條例的遵從情況。因此,資料使用者(包括企業)最好遵從指引的建議,以便在受到調查或投訴時證明已遵守保障資料原則。
每名資料使用者/每間公司的規模、業務(不論是否受監管)及其收集、使用和處理的資料各有不同,因此資料使用者/公司應自行評估其持有的資料、資料外洩的風險以及考慮如何最妥善地處理有關風險和需要。就技術標準及最佳行事方式而言,私隱專員建議資料使用者參考信譽良好的機構所制訂的標準和最佳行事方式,例如ISO/IEC 27000 系列的資訊安全管理系統標準,以及由其他司法管轄區發出的指引或建議,例如中國內地的《個人信息安全規範》(GB/T 35273-2020),當中按資料生命周期不同階段列出資料安全措施的技術標準。
除了技術及科技因素,人為因素同樣重要,而且往往容易成為網絡釣魚及垃圾郵件威脅的對象。因此,資料使用者應安排所有現職及新員工就相關資料安全政策及程序接受適當培訓並定期重溫。系統監測及滲透測試亦能確保員工及使用者在透過電郵及訊息溝通以及處理超連結和資料時遵守政策及程序。管理層對資料保安的重視以及由上而下保障資料安全的決心也非常重要。
該引提供清晰的建議,協助資料使用者加強其資料保安及應對措施,並遵守《私隱條例》的規定。面對不斷變化的網絡安全威脅,資料使用者需要持續評估風險及更新其現有的資料保安措施,以確保得到充分保護。
(本文由本所合夥人衞紹宗律師撰寫,初刊於OneTrust
DataGuidance網頁。)
如有查詢,歡迎與我們聯絡: |
E: technology@onc.hk T:
(852) 2810 1212 香港中環康樂廣場8號交易廣場第三期19樓 |
注意:以上內容涉及十分專門和複雜的法律知識及法律程序。本篇文章僅是對有關題目的一般概述,只供參考,不能構成任何個別個案的法律意見。如需進一步的法律諮詢或協助,請聯絡我們的律師。 |
ONC柯伍陳律師事務所發行 © 2023 |