如發生資料外洩事故,應怎樣處理?
背景
隨著全球及香港的網絡攻擊個案大增,個人資料私隱專員公署(「私隱公署」)於2023年上半年(截至6月29日)收到的資料外洩事故數目較2022年下半年增加超過20% 至55宗。有鑒於此,私隱公署發出新的「資料外洩事故的處理及通報指引」(「該指引」),以協助機構為一旦發生的資料外洩事故作好準備。本文概述私隱公署提出的實務建議,以協助機構處理資料外洩事故,遏止事故造成的損害。
該指引的概覽
私隱公署提醒公眾,所有資料外洩事故均可能違反香港法例第486章《個人資料(私隱)條例》中關於個人資料保安的保障資料第 4原則。
該指引載列香港資料外洩事故的一些常見原因:
1. 網絡攻擊
2. 系統錯置
3. 遺失實體文件或便攜裝置
4. 不當/錯誤地處置個人資料
5. 不慎以電郵或郵寄披露
私隱公署建議,公司應制定資料外洩應變計劃,一旦發生資料外洩,公司可按照計劃及時應對,以盡量減低及控制資料外洩的影響:
私隱公署提供的實務建議
資料外洩應變計劃
私隱公署建議機構應制定全面的資料外洩應變計劃,以確保迅速應對及有效處理資料外洩事故。
私隱公署建議應變計劃應涵蓋但不限於以下方面:
1. 說明甚麼情況構成資料外洩:包括觸發實施計劃的例子及準則。
2. 內部事故通報程序:應聯絡誰人及向誰上報事故,並制定標準表格,以便報告所需資料。
3. 清楚界定資料外洩應變專責小組成員的角色和責任:誰人負責甚麼工作,例如資訊科技部門負責識別潛在外洩資料的位置並採取補救措施;客戶服務部門可處理受影響人士的事宜,並向客戶及利益相關者提供最新資料。
4. 聯絡名單:載有所有資料外洩應變小組成員的聯絡資料,以便聯絡及溝通。
5. 風險評估工作流程,以評估資料外洩對受影響資料當事人可能造成的損害及嚴重性。
6. 控制及彌補該資料外洩事故的遏止策略。
7. 涵蓋以下方面的溝通計劃:
a. 決定是否應向受影響資料當事人、監管機構及其他相關人士通報的準則及門檻;
b. 必須提供的資料種類;
c. 機構內負責與利益相關者聯絡的人員;及
d. 通報方式。
8. 調查資料外洩事故並向高級管理層匯報結果的調查程序。
9. 制定紀錄備存政策,以確保妥為記錄事故,因為監管機構或執法機關可能要求備存紀錄。
10. 制定事後檢討機制,識別需要改善的地方,以防止日後再次發生。
11. 制定培訓或演習計劃,以確保所有相關員工在處理資料外洩事故時能正確遵循程序。
處理資料外洩事故
私隱公署建議在處理資料外洩事故時採取以下步驟:
1. 立即收集重要資料:首先,公司(資料使用者)應迅速收集資料外洩事故的所有相關資料,以評估對資料當事人的影響,及確定適當的緩解措施。
2. 遏止資料外洩事故擴大:在發現資料外洩及進行初步評估後,資料使用者應立即採取行動,盡可能有效遏止資料外洩事故擴大。應採取補救行動,以減低受影響資料當事人可能受到的損害。
3. 評估損害風險:一旦收集到所有必要的資料,公司應確保其了解受影響人士可能受到損害的風險,採取措施以減低影響。
4. 考慮發出資料外洩通報:在決定是否向受影響的資料當事人、私隱公署及其他執法機構通報資料外洩事故時,公司應考慮資料外洩事故對受影響人士的潛在後果、嚴重或重大程度,以及該等後果發生的可能性,亦應妥為考慮不發出通報的後果。
5. 記錄資料外洩事故:公司應保留事故的全面紀錄,包括與事故有關的所有事實,例如事故的詳情及影響,以及資料使用者採取的遏止及補救行動。如機構須遵守其他司法管轄區的法律及規例,則應同時了解該等法律及規例是否載有任何備存紀錄的強制規定。
機構最佳做法
資料外洩事故可能會對公司的運營造成災難性的影響,也會影響其他人士,包括公司的客戶及利益相關者。因此,公司必須迅速而有效地處理資料外洩事故。
為此,公司需要根據私隱公署的建議制定穩健的資料外洩應變計劃。
為採取適當的應變措施(包括考慮通報執法機構),公司必須評估資料外洩事故的嚴重程度及潛在風險,包括但不限於法律風險,因為受影響的客戶或人士日後可能會提出申索,執法機構或監管機構亦可能會進行調查。
如屬受監管機構(例如銀行、保險機構、受證券及期貨事務監察委員會(證監會)監管的持牌中介人等),儘管法律可能沒有規定就資料外洩事故作出通報,但監管機構可能會根據其發出的相關指引或操守準則,要求受監管機構在事故發生後的若干時間內向監管機構及/或受影響客戶或利益相關者通報資料外洩事故。
如果公司選擇向受影響人士通報資料外洩事故,該通報應清晰、簡明,並提供關於資料外洩事故的相關細節,例如涉及的資料類別及潛在後果。此外,公司應就個人減低風險的措施提供指引,例如更改密碼或注意財務帳戶。
整體而言,公司若考慮評估或調查資料外洩事故(尤其是涉及任何第三方服務供應商時),應考慮是否委託律師就有關問題提供法律意見,以及就有關調查結果及報告獲取法律專業特權保障。由於資料外洩事故後,受影響人士可能會提出投訴或索償,外界亦可能會作進一步調查或訴訟,因此在公司作出任何重要決定或採取任何補救措施之前,最好要求在法律專業特權的保障下尋求法律意見。
如有查詢,歡迎與我們聯絡: |
E: technology@onc.hk T: (852) 2810 1212 香港中環康樂廣場8號交易廣場第三期19樓 |
注意:以上內容涉及十分專門和複雜的法律知識及法律程序。本篇文章僅是對有關題目的一般概述,只供參考,不能構成任何個別個案的法律意見。如需進一步的法律諮詢或協助,請聯絡我們的律師。 |
ONC柯伍陳律師事務所發行 © 2023 |