背景

隨著全球及香港的網絡攻擊個案大增，個人資料私隱專員公署（「私隱公署」）於2023年上半年（截至6月29日）收到的資料外洩事故數目較2022年下半年增加超過20% 至55宗。有鑒於此，私隱公署發出新的「資料外洩事故的處理及通報指引」（「該指引」），以協助機構為一旦發生的資料外洩事故作好準備。本文概述私隱公署提出的實務建議，以協助機構處理資料外洩事故，遏止事故造成的損害。

該指引的概覽

私隱公署提醒公眾，所有資料外洩事故均可能違反香港法例第486章《個人資料（私隱）條例》中關於個人資料保安的保障資料第 4原則。

該指引載列香港資料外洩事故的一些常見原因：

1.       網絡攻擊

2.       系統錯置

3.       遺失實體文件或便攜裝置

4.       不當／錯誤地處置個人資料

5.       不慎以電郵或郵寄披露

 

私隱公署建議，公司應制定資料外洩應變計劃，一旦發生資料外洩，公司可按照計劃及時應對，以盡量減低及控制資料外洩的影響：

私隱公署提供的實務建議

資料外洩應變計劃

私隱公署建議機構應制定全面的資料外洩應變計劃，以確保迅速應對及有效處理資料外洩事故。

私隱公署建議應變計劃應涵蓋但不限於以下方面：

1.       說明甚麼情況構成資料外洩：包括觸發實施計劃的例子及準則。

 

2.       內部事故通報程序：應聯絡誰人及向誰上報事故，並制定標準表格，以便報告所需資料。

 

3.       清楚界定資料外洩應變專責小組成員的角色和責任：誰人負責甚麼工作，例如資訊科技部門負責識別潛在外洩資料的位置並採取補救措施；客戶服務部門可處理受影響人士的事宜，並向客戶及利益相關者提供最新資料。

 

4.       聯絡名單：載有所有資料外洩應變小組成員的聯絡資料，以便聯絡及溝通。

 

5.       風險評估工作流程，以評估資料外洩對受影響資料當事人可能造成的損害及嚴重性。

 

6.       控制及彌補該資料外洩事故的遏止策略。

 

7.       涵蓋以下方面的溝通計劃：

a.       決定是否應向受影響資料當事人、監管機構及其他相關人士通報的準則及門檻；

b.       必須提供的資料種類；

c.       機構內負責與利益相關者聯絡的人員；及

d.       通報方式。

 

8.       調查資料外洩事故並向高級管理層匯報結果的調查程序。

 

9.       制定紀錄備存政策，以確保妥為記錄事故，因為監管機構或執法機關可能要求備存紀錄。

 

10.    制定事後檢討機制，識別需要改善的地方，以防止日後再次發生。

 

11.    制定培訓或演習計劃，以確保所有相關員工在處理資料外洩事故時能正確遵循程序。

處理資料外洩事故

私隱公署建議在處理資料外洩事故時採取以下步驟：

1.       立即收集重要資料：首先，公司（資料使用者）應迅速收集資料外洩事故的所有相關資料，以評估對資料當事人的影響，及確定適當的緩解措施。

 

2.       遏止資料外洩事故擴大：在發現資料外洩及進行初步評估後，資料使用者應立即採取行動，盡可能有效遏止資料外洩事故擴大。應採取補救行動，以減低受影響資料當事人可能受到的損害。

 

3.       評估損害風險：一旦收集到所有必要的資料，公司應確保其了解受影響人士可能受到損害的風險，採取措施以減低影響。

 

4.       考慮發出資料外洩通報：在決定是否向受影響的資料當事人、私隱公署及其他執法機構通報資料外洩事故時，公司應考慮資料外洩事故對受影響人士的潛在後果、嚴重或重大程度，以及該等後果發生的可能性，亦應妥為考慮不發出通報的後果。

 

5.       記錄資料外洩事故：公司應保留事故的全面紀錄，包括與事故有關的所有事實，例如事故的詳情及影響，以及資料使用者採取的遏止及補救行動。如機構須遵守其他司法管轄區的法律及規例，則應同時了解該等法律及規例是否載有任何備存紀錄的強制規定。

機構最佳做法

資料外洩事故可能會對公司的運營造成災難性的影響，也會影響其他人士，包括公司的客戶及利益相關者。因此，公司必須迅速而有效地處理資料外洩事故。

為此，公司需要根據私隱公署的建議制定穩健的資料外洩應變計劃。

為採取適當的應變措施（包括考慮通報執法機構），公司必須評估資料外洩事故的嚴重程度及潛在風險，包括但不限於法律風險，因為受影響的客戶或人士日後可能會提出申索，執法機構或監管機構亦可能會進行調查。

如屬受監管機構（例如銀行、保險機構、受證券及期貨事務監察委員會（證監會）監管的持牌中介人等），儘管法律可能沒有規定就資料外洩事故作出通報，但監管機構可能會根據其發出的相關指引或操守準則，要求受監管機構在事故發生後的若干時間內向監管機構及／或受影響客戶或利益相關者通報資料外洩事故。

如果公司選擇向受影響人士通報資料外洩事故，該通報應清晰、簡明，並提供關於資料外洩事故的相關細節，例如涉及的資料類別及潛在後果。此外，公司應就個人減低風險的措施提供指引，例如更改密碼或注意財務帳戶。

整體而言，公司若考慮評估或調查資料外洩事故（尤其是涉及任何第三方服務供應商時），應考慮是否委託律師就有關問題提供法律意見，以及就有關調查結果及報告獲取法律專業特權保障。由於資料外洩事故後，受影響人士可能會提出投訴或索償，外界亦可能會作進一步調查或訴訟，因此在公司作出任何重要決定或採取任何補救措施之前，最好要求在法律專業特權的保障下尋求法律意見。

 

如有查詢，歡迎與我們聯絡：

E: technology@onc.hk                                                       T: (852) 2810 1212 W: www.onc.hk                                                                    F: (852) 2804 6311 香港中環康樂廣場8號交易廣場第三期19樓

注意：以上內容涉及十分專門和複雜的法律知識及法律程序。本篇文章僅是對有關題目的一般概述，只供參考，不能構成任何個別個案的法律意見。如需進一步的法律諮詢或協助，請聯絡我們的律師。

ONC柯伍陳律師事務所發行 © 2023