備忘事項

 

下表列出當涉及個人識別資料時,在資訊保安及私隱保障方面的良好作業模式。本列表為雲端服務供應商提供高層次的指引,以供在推行管理、運作及技術措施時參考使用。

 

保護個人識別資料的良好作業模式 雲端服務供應商 擔任資料使用者 的角色 雲端服務供應商 擔任資料處理者 的角色
政策管理    
  • 遵守《個人資料(私隱)條例》,特別是保障資料原則[1]
  • 了解及遵從收集和儲存個人識別資料所在的司法管轄區所適用的私隱法例,因為雲端平台可能超越香港特別行政區的司法管轄權範圍。
  • 進行私隱影響評估[2],以助識別及偵測任何對私隱造成的風險,包括在雲端平台上收集及儲存的個人識別資料,在未獲授權或無意的情況下被查閱、修改、處理、刪除或作出其他用途。
  • 在機構內部制訂及執行清晰的保護資料或私隱保障政策,以符合收集、處理及儲存個人識別資料所在的司法管轄區的個人資料私隱法例。
  • 定期進行風險評估及檢討,以確保有關保安風險受到妥善管理。
  • 制訂妥善的合約條款(或至少評估合約條款的需要),以規管有關保護個人識別資料的行為。
收集(保障資料第1原則)    
  • 以公平和合法的方式收集個人資料,而這些資料只可作與雲端服務功能和活動直接相關的用途。
 
  • 只可在有實際需要時收集個人資料。所收集的資料不應超越原有收集的目的。
 
  • 每當在網上收集個人識別資料時,必須向有關人士提供收集個人資料聲明。
 
  • 通知客戶有關其個人資料會作何種用途,以及該等資料可能轉移予何人。
 
保留及準確性(保障資料第2原則)    
  • 保持個人資料準確、適時更新和穩妥,而保留期不應超過實際需要。
 
  • 客戶所交託的個人資料的保留期不應超過實際需要。
 
使用及處理(保障資料第3原則)    
  • 須先徵求和取得客戶的同意,才可將他們的個人資料作資料收集目的以外的用途。
 
  • 切勿將客戶交託的個人資料作任何未經客戶同意的用途。
 
保安防護 - 程序和步驟(保障資料第4原則)    
  • 記錄儲存於雲端平台上的個人識別資料的種類。
 
  • 編製一份儲存了個人識別資料的軟件系統及位置清單,以助有效地進行監察。
 
  • 避免把個人識別資料儲存於過多不同的應用程式及位置,因此舉可能增加保安風險,並會加重監察及偵測未獲授權查閱資料方面的工作。
  • 訂出一份認可電腦設備清單,包括可用以管理雲端操作的流動裝置及其相應的保安要求。
  • 制訂有關申請及審批資料查閱權的正式程序及詳細步驟。
  • 制訂快速應變通訊方法以處理保安事故(包括懷疑被入侵的事故)。
  • 定期覆檢電腦/網絡設備的記錄和審計追蹤記錄,以檢查是否存在異常情況和可能出現的攻擊。
  • 透過持續監察及保安保證覆檢,不斷改善資料保護措施。
保安防護 - 技術措施(保障資料第4原則)    
  • 為個人識別資料加密或提供加密功能,讓客戶為其儲存在雲端平台上的個人識別資料加密。無論在甚麼情況下加密,都要小心保護加密密碼匙。
  • 為透過開放網絡傳輸的個人識別資料加密。
  • 應用或提供嚴格的認證方法,例如雙重認證,確保客戶通過認證才可查閱雲端平台上的個人識別資料。
  • 在網絡通訊閘安裝保安裝置,例如防火牆、入侵偵測/防禦系統,以保護雲端服務免受外來攻擊。
 
  • 確保電腦設備:
    • 已安裝防病毒軟件及最新的電腦病毒定義檔案,啓動實時偵測功能和對系統進行定期全面掃描;以及
    • 使用中的操作系統及軟件已安裝最新保安修補程式。
 
  • 定期檢查系統保安漏洞,在切實可行情況下盡快實行補救措施。
 
  • 定時進行資料備份及測試資料復原程式。
  • 電腦設備內的個人識別資料未被完全刪除之前,禁止重用或棄置該電腦設備。
 
遵行規定(保障資料第5原則)    
  • 可以透過私隱政策聲明,告知客戶在保護其個人資料上所作出的承諾及推行的相關措施。
查閱與改正(保障資料第6原則)    
  • 開發及利用記錄管理系統以處理客戶查閱及改正個人資料的要求。
 
分判商的管理    
  • 只有在提供所需服務的情況下,才可以把客戶的個人識別資料向分判商披露。分判商不得使用個人識別資料作任何其他用途。
  • 對於處理儲存在雲端平台上的個人識別資料的分判商或任何第三方,規定他們須制訂適切的資訊科技保安機制及相關程序。
  • 監察所有可查閱儲存於雲端平台上的個人識別資料的分判商,並備存一份載列該等分判商的清單。
員工管理    
  • 就儲存在雲端平台上的個人識別資料而言,應訂明員工在資源控制上所擔任的工作和職責。例如,指定一名管理人員負責執行決策,授權查閱儲存在雲端平台上的個人識別資料。
  • 指派員工處理儲存在雲端平台上的個人識別資料及採用職務分工原則。
  • 制訂嚴格的密碼政策及確保員工沒有使用共用帳戶。
  • 根據個別員工的職責,定期覆檢他們的查閱權限,以確定或重新確定其是否適合進行查閱。例如,當機構內某名員工離職或調任到機構的其他單位,該員的所有查閱權限及帳戶必須予以撤銷。
  • 向負責處理儲存在雲端平台上的個人識別資料的員工提供充足的指導及培訓。

 

 

[1] 參考 http://www.pcpd.org.hk/tc_chi/data_privacy_law/6_data_protection_principles/principles.html 有關《個人資料(私隱)條例》的保障資料原則

[2] 參考 http://www.pcpd.org.hk/tc_chi/resources_centre/publications/files/PIAleaflet_c.pdf 有關個人資料私隱專員公署出版的《私隱影響評估》資料單張

 

 

上一頁 頁首