個(gè)人資料私隱專員(私隱專員)鍾麗玲於《香港律師》以「依循私隱專員公署的《雲(yún)端運(yùn)算指引》
在數(shù)碼時(shí)代保障個(gè)人資料私隱」為題發(fā)表文章��。文中介紹公署早前發(fā)布的《雲(yún)端運(yùn)算指引》�����,強(qiáng)調(diào)機(jī)構(gòu)作為資料使用者與雲(yún)端服務(wù)供應(yīng)商在雲(yún)端環(huán)境內(nèi)保障數(shù)據(jù)安全負(fù)有共同責(zé)任,概述《指引》中的建議措施���,協(xié)助機(jī)構(gòu)在使用雲(yún)端運(yùn)算時(shí)更有效地保障個(gè)人資料私隱�。
文章中指出�����,現(xiàn)時(shí)不同行業(yè)利用雲(yún)端服務(wù)來儲(chǔ)存����、處理及管理大量數(shù)據(jù),當(dāng)中包括敏感資訊及個(gè)人資料����。然而機(jī)構(gòu)對(duì)雲(yún)端服務(wù)日益增加的依賴亦引起對(duì)個(gè)人資料私隱的關(guān)注。近年數(shù)宗涉及雲(yún)端平臺(tái)的資料外洩事故曝露出系統(tǒng)的弱點(diǎn)��,可見風(fēng)險(xiǎn)絕對(duì)不容忽視���。
有見及此�����,個(gè)人資料私隱專員公署於2025年1月發(fā)布了《雲(yún)端運(yùn)算指引》�,闡釋《個(gè)人資料(私隱)條例》的相關(guān)要求,旨在協(xié)助採用雲(yún)端運(yùn)算的機(jī)構(gòu)加強(qiáng)保障個(gè)人資料私隱�����?����!吨敢放c律師的工作息息相關(guān)���,因不少律師行已採用或正逐步採用雲(yún)端系統(tǒng),以優(yōu)化管理及存取可能載有個(gè)人資料的文件和電郵�����。
儘管機(jī)構(gòu)作為資料使用者可以將處理資料的工作外判予雲(yún)端服務(wù)供應(yīng)商��,但機(jī)構(gòu)在持有�����、處理或使用個(gè)人資料時(shí)��,並不能「外判」它們?cè)凇端诫[條例》下的責(zé)任��。《私隱條例》亦訂明資料使用者不能將其責(zé)任轉(zhuǎn)委予他人���。
根據(jù)《私隱條例》����,如資料使用者聘用雲(yún)端運(yùn)算服務(wù)供應(yīng)商以代其處理個(gè)人資料��,資料使用者需採取合約規(guī)範(fàn)方法或其他方法��,以防止個(gè)人資料的保存時(shí)間超過處理該些資料所需的時(shí)間���,有關(guān)資料受未獲準(zhǔn)許的或意外的查閱�、處理�、刪除、喪失或使用所影響�����。
《私隱條例》第65(2)條亦訂明���,任何作為另一人的代理人並獲該另一人授權(quán)(不論是明示或默示的授權(quán)�����,亦不論是事前或事後授權(quán))的人所作出的任何作為或所從事的任何行為����,需視為亦是由該另一人作出或從事的。雲(yún)端服務(wù)供應(yīng)商所作出的任何個(gè)人資料外洩或?yàn)E用的行為����,視乎情況而定,可被視為是由該機(jī)構(gòu)以及它的服務(wù)供應(yīng)商作出的�����。
基於《私隱條例》的法律要求����,《指引》不僅強(qiáng)調(diào)機(jī)構(gòu)與雲(yún)端服務(wù)供應(yīng)商在雲(yún)端環(huán)境內(nèi)保障數(shù)據(jù)安全的共同責(zé)任�����,亦向機(jī)構(gòu)提供多方面的建議措施�����,讓它們?cè)谑褂秒?yún)端運(yùn)算時(shí)亦能更有效地保障個(gè)人資料私隱���,包括機(jī)構(gòu)應(yīng)謹(jǐn)慎評(píng)估與所選擇的服務(wù)及部署模式有關(guān)的風(fēng)險(xiǎn)���,以確保採取適當(dāng)?shù)臄?shù)據(jù)安全措施���。如當(dāng)雲(yún)端服務(wù)供應(yīng)商更新其服務(wù),以提供新服務(wù)特點(diǎn)或配置時(shí)�����,機(jī)構(gòu)應(yīng)及時(shí)作出相應(yīng)行動(dòng)��,更新相關(guān)軟件及調(diào)整適當(dāng)?shù)呐渲?��。機(jī)構(gòu)亦應(yīng)採取足夠及有效的安全措施���,防止儲(chǔ)存於雲(yún)端的個(gè)人資料受未獲準(zhǔn)許的或意外的查閱、處理��、刪除�、喪失或使用所影響。
機(jī)構(gòu)應(yīng)評(píng)估雲(yún)端平臺(tái)的服務(wù)及合約條款是否完全符合相關(guān)的保安及個(gè)人資料私隱保障的標(biāo)準(zhǔn)�����。機(jī)構(gòu)亦需要確定雲(yún)端服務(wù)供應(yīng)商是否有外判安排。如雲(yún)端服務(wù)供應(yīng)商聘用承判商�,機(jī)構(gòu)應(yīng)確保獲得服務(wù)供應(yīng)商在合約內(nèi)承諾,其保障及循規(guī)管控的水平同樣適用於承判商��。
雲(yún)端服務(wù)供應(yīng)商可能於不同司法管轄區(qū)設(shè)有數(shù)據(jù)中心��。當(dāng)機(jī)構(gòu)將個(gè)人資料轉(zhuǎn)移至香港以外的地方時(shí)���,需確保遵從《私隱條例》的規(guī)定����。特別是機(jī)構(gòu)需告知資料當(dāng)事人他的個(gè)人資料將會(huì)轉(zhuǎn)移至香港境外的接收者����,並指明個(gè)人資料將會(huì)用於甚麼目的。如轉(zhuǎn)移構(gòu)成新目的���,機(jī)構(gòu)必須取得資料當(dāng)事人明確及自願(yuàn)的同意。
即使個(gè)人資料可以遙距儲(chǔ)存在其他地方�����,機(jī)構(gòu)作為資料使用者仍需承擔(dān)責(zé)任。機(jī)構(gòu)及雲(yún)端服務(wù)供應(yīng)商必需攜手合作����,實(shí)施穩(wěn)妥而有效的保安措施,務(wù)求既可利用雲(yún)端運(yùn)算的優(yōu)勢(shì)��,同時(shí)亦保障雲(yún)端環(huán)境的個(gè)人資料私隱����。(記者區(qū)天海)
