服务条款及安全和私隐政策

 

  • 中小企公司须阅读服务提供商的服务条款及安全和私隐政策,并应注意:
    • 公司可如何使用云服务(即使用限制条款、使用权或使用限制);
    • 资料是如何储存及受到保护;
    • 服务提供商是否可以存取你的公司资料。如果可以的话,此类存取是怎样被限制的;
    • 如何举报安全事故;
    • 如何终止服务,以及在终止服务后,如何处理仍然保留在相关云上的资料;
    • 服务提供商会否在更改服务条款前预先发出通知;
    • 私隐政策是否遵从《个人资料(私隐)条例》[1]的保障资料原则;以及
    • 条款可适用于哪些司法管辖区(香港特别行政区或其他地区)。
  • 如不接纳某些服务条款,应与服务提供商洽谈。如物色不到能够满足所订要求的服务提供商,应重新考虑是否需要使用云服务。
  • 了解帐户资料会否在用户不知情或未经用户同意的情况下作“次要用途”,例如储存在云上的资料可能会被用来制作切合用户需要的广告。

 

资料拥有权

 

  • 查核服务提供商是否保留权利,可使用、披露或公开用户所拥有的资料。
  • 查核用户能否保留所拥有资料的知识产权。
  • 查核即使资料从云上被删除后,服务提供商会否保留使用该些资料的权利。
  • 了解用户能否按本身意愿把资料及服务转移至另一服务提供商,以及是否有容易用的资料汇出功能供用户使用。
  • 从云上删除资料或停止使用该服务时,应检查这些资料(包括任何储存备份资料)是否可被永久删除。

 

选择服务提供商时的其他考虑因素

 

  • 了解使用云服务所涉及的风险和公司可接受的风险程度。
  • 选择服务水准协议与你的业务重要性相符的服务提供商。
  • 选择能清楚说明提供哪些安全功能的服务提供商,有独立信息安全管理认证(例如ISO/IEC 27001)者为佳。
  • 选择不曾发生重大安全事故,或即使曾发生安全事故但能清楚解释事发原因及补救办法的服务提供商。
  • 选择能透过以下途径确保用户资料得以保密的服务提供商:
    • 使用加密功能(例如安全套接层(SSL))以传送资料;以及
    • 使用加密功能以保护储存资料。(如供应商没有提供加密功能,用户应自行为资料加密,然后才储存在云上,并须安全保管用以加密的密钥。)
  • 选择设有简单清晰通报机制的服务提供商,以供举报服务问题、安全事故和侵犯私隐事宜。
  • 选择能定期提交服务管理报告及安全事故报告的服务提供商。
  • 要求提供服务终止时将退回的资料样本,并确保有关资料可供读取和在需要时可复原。
  • 检查云服务和外部系统之间的互用性,并选择在以下几方面均符合要求的服务提供商:
    • 能提供标准和清晰的程式界面,让其他获授权网站或系统(例如你的内部系统)使用托管于云服务平台上的资料和系统功能。
    • 能存取和使用一些并非由云服务提供商管理的网站所提供的资料和功能。
    • 能追踪在其他网站更新的资料,并可透过云服务自动更新相应资料。
    • 能通知另一个系统有关透过云服务所作的资料更新,或提供途径让其他系统查询所作的资料更新。

 

 

[1] http://www.pcpd.org.hk/sc_chi/data_privacy_law/6_data_protection_principles/principles.html

 

 

上一页 页首