簡介

企業和機構需要為行政和業務理由而收集及保存僱員、顧客、會員等的個人資料，他們是《個人資料（私隱）條例》（「該條例」）所指的「資料使用者」，因此他們有責任確保他們處理的資料安全。一旦遇到黑客入侵或意外遺失個人資料，他們必須保持冷靜，採取適當的行動，將損失和損害減至最低。

最近，香港個人資料私隱專員公署（「私隱專員公署」）發出了《資料外洩事故的處理及通報指引》，列出在資料外洩事故發生時資料使用者可採取甚麼行動。

甚麼是資料外洩事故？

資料外洩事故是指儲存的個人資料（例如手提電腦、USB記憶體、便攜式硬碟、備份磁帶、文件檔案等）遺失、把資料誤發給他人、載有個人資料的資料庫遭黑客入侵等，令有關個人資料有被未獲准許或意外查閱、處理、刪除、遺失或使用的風險，而且可構成違反該條例「保障資料原則」的第4原則。

第4原則訂明：

1.          「須採取所有切實可行的步驟，以確保由資料使用者持有的個人資料…… 受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響……；及

2.          …… 如資料使用者聘用資料處理者（不論是在香港或香港以外聘用），以代該資料使用者處理個人資料，該資料使用者須採取合約規範方法或其他方法，以防止轉移予該資料處理者作處理的個人資料未獲准許或意外地被查閱、處理、刪除、喪失或使用。」

私隱專員可發出執行通知，指示資料使用者糾正違反該條例的事宜。此外，因資料外洩事故而受到損害的人士，亦可對有關資料使用者提出訴訟，追討賠償。

發生資料外洩事故應怎麼辦？

私隱專員公署建議在發生資料外洩事故時採取以下行動，以把資料當事人及資料使用者受到的損害減至最低：

1. 立即收集重要資料

資料使用者應收集重要資料，例如資料外洩事故發生的日期、時間、地點和原因，涉及的個人資料種類，受影響的資料當事人數目，以及如何發現資料外洩。

資料使用者亦可指派適當的人士或成立小組負責處理資料外洩事故，進行調查，以及統籌與公司內部有關部門之間及與外界人士之聯絡。

2. 聯絡相關人士及遏止事件擴大

若極有可能涉及身份盜竊或其他犯罪活動，資料使用者應考慮通知執法部門（例如警方），亦可徵詢私隱專員公署、互聯網公司及／或資訊科技專家的意見及求助。

如果資料外洩事故是系統故障造成，則應立即停止有關系統操作。懷疑被用作或導致資料外洩的用戶密碼及查閱權利亦應更改，以免個人資料被進一步查閱及利用。

3. 評估風險

資料使用者應評估因資料外洩而造成損害的真實風險，並處理有關具體風險，例如人身安全受到威脅、身份盜竊、金錢損失、受辱或喪失尊嚴、名譽或關係受損以及失去業務機會。

4. 通知資料當事人

該條例並無規定資料使用者在發生資料外洩事故的情況下必須通知資料當事人。然而，私隱專員公署認為，如果能夠識別受影響的資料當事人，資料使用者應考慮通知他們（「通報」）。如決定通報，則應盡快進行。

通報內容可包括以下資料：

·                事件的概述；

·                資料外洩的日期及時間；

·                資料外洩是由資料使用者還是處理個人資料的第三者造成；

·                涉及的個人資料類別；

·                對資料外洩造成的傷害作出的風險評估；

·                為防止資料進一步外洩而已採取或將採取的措施；

·                由資料使用者指派處理資料外洩事故的人士的聯絡資料；

·                資料當事人可如何保障自己免受外洩事故不利影響的資料及指引；及

·                是否已通知執法部門、私隱專員或其他有關人士。 

通報可透過電話、書面、電郵或親身作出。如未能即時識別受影響的資料當事人或涉及公眾利益，透過網站或媒體作公開通報是較有效的方法。

防止再次發生

除採取上述行動外，資料使用者亦應檢討其個人資料處理程序或系統，以找出問題根源，或制定策略防止事故再次發生。就此而言，資料使用者可考慮是否需要處理以下事宜：

·                改善個人資料處理程序當中的保安問題；

·                按「有需要知道」基礎限制有權查閱個人資料的人士；

·                改善資訊科技保安措施，以防止黑客入侵、未經准許或意外查閱、處理、刪除、喪失或使用；

·                制定或修改有關的私隱政策及措施；

·                定期提供培訓，提高僱員的私隱意識；

·                加強對僱員、代理及資料處理者的監察及監督機制；

·                審視與資料處理者簽訂的合約，確保已規定資料處理者防止資料外洩及立即通報任何資料外洩事故。

總結

資料使用者應建立一套完善政策及行動方案，以應付一旦發生的資料外洩事故。如資料使用者能在適當時候採取適當行動，便可將損害減至最低，亦可減低訴訟的風險，以及有助資料使用者重建商譽及聲譽。