資訊保安及私隱保障對雲端服務供應商有甚麼影響?

 

在雲端服務的業務中,保護客戶的資料及私隱是十分重要的工作,也逐漸成為企業成功的關鍵因素。對雲端服務供應商而言,顯示有能力保護受委託處理的個人識別資料,便可得到客戶的信任及信心。相反的話,可能削弱客戶的忠誠度、產生負面的宣傳效果、失去潛在商機及導致法律訴訟。

 

雲端服務供應商應該注意甚麼?

 

雲端服務供應商應該採取切實可行的步驟,以確保受委託處理的個人識別資料一直受到保護,免遭在未獲授權或無意的情況下被查閱、改動、處理、刪除或作其他用途。很多時候,保護個人識別資料跟保護其他資料相似,包括保護資料的機密性、完整性及可用性。本文件所載的備忘事項,提供建議在雲端平台保護個人識別資料所採取的良好作業模式。雲端服務供應商可視乎本身作為資料處理者或資料使用者的身分以作參考。該備忘事項未必能盡錄所有項目。雲端服務供應商應經常檢查本身的風險狀況,並採取最適合的保安措施。

 

《個人資料(私隱)條例》實用指南

 

如需要更多有關處理個人資料的指引,雲端服務供應商可參考由香港電腦學會出版的《IT管理層及專業人員「個人資料(私隱)條例」實用指南》[1]

 

備忘事項的引言

 

在雲端運算上,資料處理設施不再完全由資料使用者擁有,令資料規管的角色和責任有所改變。本備忘事項闡述在雲端平台上處理個人識別資料的保護措施。

使用雲端運算平台及其服務並非把保護資料的責任轉移給雲端服務供應商。當收集個人識別資料時,收集者控制了有關資料的生命周期,並須負責履行《個人資料(私隱)條例》所訂明的責任。

 

詞彙

 

本備忘事項所採用的詞彙與《個人資料(私隱)條例》保持一致。

詞彙 定義 例子*
資料當事人 指一名在世人士,其個人資料正在處理中。 信用卡申請人是資料當事人。
資料使用者 指擁有從資料當事人收集得來的資料的一個實體。該實體在數據的整個生命周期內,負責保護收集得來的資料。 發卡銀行是資料使用者。
資料處理者 指在收集、處理或儲存個人識別資料時向資料使用者提供服務或產品的一個實體。 發卡銀行選用的數據中心營辦商是資料處理者。


* 使用處理信用卡申請個案作為例子

 

 

[1] 參考 http://www.hkcs.org.hk/en_hk/home/publication/PDPO/ 有關個人資料私隱專員公署出版的《IT 管理層及專業人員「個人資料(私隱)條例」實用指南》

 

 

上一頁 頁首