信息安全及私隐保障对云服务供应商有甚么影响?


在云服务的业务中,保护客户的资料及私隐是十分重要的工作,也逐渐成为企业成功的关键因素。对云服务供应商而言,显示有能力保护受委托处理的个人识别资料,便可得到客户的信任及信心。相反的话,可能削弱客户的忠诚度、产生负面的宣传效果、失去潜在商机及导致法律诉讼。

 

云服务供应商应该注意甚么?

 

云服务供应商应该采取切实可行的步骤,以确保受委托处理的个人识别资料一直受到保护,免遭在未获授权或无意的情况下被查阅、改动、处理、删除或作其他用途。很多时候,保护个人识别资料跟保护其他资料相似,包括保护资料的机密性、完整性及可用性。本文件所载的备忘事项,提供建议在云保护个人识别资料所采取的良好作业模式。云服务供应商可视乎本身作为资料处理者或资料使用者的身分以作参考。该备忘事项未必能尽錄所有项目。云服务供应商应经常检查本身的风险状况,并采取最适合的安全措施。

 

《个人资料(私隐)条例》实用指南

 

如需要更多有关处理个人资料的指引,云服务供应商可参考由香港电脑学会出版的《IT管理层及专业人员「个人资料(私隐)条例」实用指南》[1]

 

备忘事项的引言

 

在云计算上,资料处理设施不再完全由资料使用者拥有,令资料规管的角色和责任有所改变。本备忘事项阐述在云上处理个人识别资料的保护措施。

使用云计算平台及其服务并非把保护资料的责任转移给云服务供应商。当收集个人识别资料时,收集者控制了有关资料的生命周期,并须负责履行《个人资料(私隐)条例》所订明的责任。

 

词汇

 

本备忘事项所采用的词汇与《个人资料(私隐)条例》保持一致。

词汇 定义 例子*
资料当事人 指一名在世人士,其个人资料正在处理中。 信用卡申请人是资料当事人
资料使用者 指拥有从资料当事人收集得来的资料的一个实体。该实体在数据的整个生命周期内,负责保护收集得来的资料。 发卡银行是资料使用者。
资料处理者 指在收集、处理或储存个人识别资料时向资料使用者提供服务或产品的一个实体。 发卡银行选用的数据中心营办商是资料处理者。


* 使用处理信用卡申请个案作为例子

 

 

[1] 參考 http://www.hkcs.org.hk/en_hk/home/publication/PDPO/ 有关个人资料私隐专员公署出版的《IT 管理层及专业人员「个人资料(私隐)条例」实用指南》

 

 

 

上一页 页首