服務條款及保安和私隱政策

 

  • 中小企公司須閱讀服務供應商的服務條款及保安和私隱政策,並應注意:
    • 公司可如何使用雲端服務(即使用限制條款、使用權或使用限制);
    • 資料是如何儲存及受到保護;
    • 服務供應商是否可以存取你的公司資料。如果可以的話,此類存取是怎樣被限制的;
    • 如何舉報保安事故;
    • 如何終止服務,以及在終止服務後,如何處理仍然保留在相關雲端平台上的資料;
    • 服務供應商會否在更改服務條款前預先發出通知;
    • 私隱政策是否遵從《個人資料(私隱)條例》[1]的保障資料原則;以及
    • 條款可適用於哪些司法管轄區(香港特別行政區或其他地區)。
  • 如不接納某些服務條款,應與服務供應商洽談。如物色不到能夠滿足所訂要求的服務供應商,應重新考慮是否需要使用雲端服務。
  • 了解帳戶資料會否在用戶不知情或未經用戶同意的情況下作“次要用途”,例如儲存在雲端平台上的資料可能會被用來製作切合用戶需要的廣告。

 

資料擁有權

 

  • 查核服務供應商是否保留權利,可使用、披露或公開用戶所擁有的資料。
  • 查核用戶能否保留所擁有資料的知識產權。
  • 查核即使資料從雲端平台上被刪除後,服務供應商會否保留使用該些資料的權利。
  • 了解用戶能否按本身意願把資料及服務轉移至另一服務供應商,以及是否有容易用的資料匯出功能供用戶使用。
  • 從雲端平台上刪除資料或停止使用該服務時,應檢查這些資料(包括任何儲存備份資料)是否可被永久刪除。

 

選擇服務供應商時的其他考慮因素

 

  • 了解使用雲端服務所涉及的風險和公司可接受的風險程度。
  • 選擇服務水準協議與你的業務重要性相符的服務供應商。
  • 選擇能清楚說明提供哪些保安功能的服務供應商,有獨立資訊保安管理認證(例如ISO/IEC 27001)者為佳。
  • 選擇不曾發生重大保安事故,或即使曾發生保安事故但能清楚解釋事發原因及補救辦法的服務供應商。
  • 選擇能透過以下途徑確保用戶資料得以保密的服務供應商:
    • 使用加密功能(例如保密插口層(SSL))以傳送資料;以及
    • 使用加密功能以保護儲存資料。(如供應商沒有提供加密功能,用戶應自行為資料加密,然後才儲存在雲端平台上,並須安全保管加密密碼匙。)
  • 選擇設有簡單清晰通報機制的服務供應商,以供舉報服務問題、保安事故和侵犯私隱事宜。
  • 選擇能定期提交服務管理報告及保安事故報告的服務供應商。
  • 要求提供服務終止時將退回的資料樣本,並確保有關資料可供讀取和在需要時可復原。
  • 檢查雲端服務和外部系統之間的互用性,並選擇在以下幾方面均符合要求的服務供應商:
    • 能提供標準和清晰的程式界面,讓其他獲授權網站或系統(例如你的內部系統)使用託管於雲端服務平台上的資料和系統功能。
    • 能存取和使用一些並非由雲端服務供應商管理的網站所提供的資料和功能。
    • 能追蹤在其他網站更新的資料,並可透過雲端服務自動更新相應資料。
    • 能通知另一個系統有關透過雲端服務所作的資料更新,或提供途徑讓其他系統查詢所作的資料更新。

 

 

[1] http://www.pcpd.org.hk/tc_chi/data_privacy_law/6_data_protection_principles/principles.html

 

 

上一頁 頁首