Personal Data Protection In The Digital Era

随着数码化的蓬勃发展，网络攻击已成为大多数企业（尤其是提供线上服务和产品的企业）所面临的主要风险之一。网络攻击可以导致财务损失、声誉受损、监管处罚和其他损害。无论规模大小，机构均可能随时受到黑客的攻击。

举例而言，国泰航空有限公司（国泰航空）在2018年10月发生的数据泄漏事故记忆犹新，当中涉及外部人士未获授权查阅国泰航空的服务器，影响全球约940万名乘客。该事故不仅损害了国泰航空多年来建立的商誉，亦导致重大的财务损失。当时个人数据隐私专员公署（隐私公署）曾展开调查，并认为国泰航空违反了《个人数据（隐私）条例》（第486章）（《隐私条例》）的规定。此外，国泰航空亦在2020年被英国资讯专员办公室罚款50万英镑，并在2021年支付155万加元以就加拿大一宗集体诉讼达成和解。

事实上，当国泰航空事故被广泛报导时，已经响起了警号。近年来，个人数据在互联网上泄漏已成为用户所面对的前所未有的风险，而数据泄漏的宗数亦不断上升。Sophos Labs的一项年度全球研究访问了31个国家／地区中型机构的5,600名资讯科技专业人员，结果显示勒索软件攻击持续增加，并且变得更加复杂。该研究亦显示，在2021年全球66%的机构曾遭受勒索软件攻击，较2020年高出了29%。

从隐私公署处理的数据泄漏事故中，也观察到类似的趋势。在2019年和2020年，涉及勒索软件攻击的网络攻击事故，约占接报的数据泄漏事故的四分之一。这个比例去年上升至29%，而超过60万名香港市民亦受到各种网络安保事故影响。

数据泄漏可能由技术漏洞或人为疏忽造成。本文将重点关注技术风险，其中用户使用低强度密码、网络钓鱼、未修补漏洞、过时的操作系统和软件应用程序以及植入的恶意软件，是数据泄漏事故的一些常见原因。

从隐私公署处理的事故中，我们注意到网络钓鱼和未修补的漏洞是数据泄漏两个最常见的原因。我们在这方面的观察与香港电脑安保事故协调中心最近公布的2021年报的统计数据一致。该报告指出，网络钓鱼（占整体案例48%）是该中心2021年处理的安保事故的主要原因。

公署近年来进行的两次调查，也反映了这个现象。在国泰航空的案例中，我们认为，造成数据泄漏事故的因素之一，是国泰航空未能识别广为人知的资讯安保漏洞，并采取合理可行的措施来保障其服务器的安全，令人可乘机入侵其服务器。在另一宗有关传媒机构日经中国（香港）有限公司电邮系统遭入侵的案件中，隐私公署发现电邮系统受到攻击的原因之一，可能是相关用户密码因网络钓鱼攻击而外泄。

《隐私条例》附表1的保障资料第4(1)原则规定数据使用者须采取所有切实可行的步骤，以确保由数据使用者持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响，尤其须考虑：

(a) 该数据的种类及如该等事情发生便能做成的损害；

(b) 储存该数据的地点；

(c) 储存该数据的设备所包含（不论是自动化方法或其他方法）的安保措施；

(d) 为确保能查阅该数据的人的良好操守、审慎态度及办事能力而采取的措施；

(e) 为确保在安保良好的情况下传送该数据而采取的措施。

值得注意的是，数据保护第4(1)原则规定数据使用者有责任采取所有切实可行的步骤保障个人数据安全。数据使用者是否被视为已采取所有合理可行的步骤，将按个别情况进行审视。

在此背景下，加上数据安保受关注的程度日渐提升，我们希望为香港的数据使用者提供一些切实可行的数据安保建议，以助他们理解和遵从《隐私条例》的相关规定。因此，隐私公署最近公布了《资讯及通讯科技的安保措施指引》（《指引》）。

《指引》就以下六个关键领域提供了建议：

数据管治和机构性措施

《指引》建议数据使用者制订明确针对数据管治和数据安保的政策和程序，涵盖个别员工在维护资讯及通讯系统的角色和责任、数据安保风险评估、外判数据处理及数据安保工作等范畴。在人手调配方面，《指引》建议数据使用者应委任合适的领导人员（例如首席资讯主任、首席隐私主任或同等人员）负责个人资料保护。工作人员应在入职时及往后定期接受足够的培训，以确保他们熟悉《隐私条例》的规定，以及数据使用者的资料安保政策及程序。

风险评估

数据使用者应在启用新系统和新应用程序前，以及在启用后定期根据既定的政策和程序进行数据安保风险评估。缺乏相关专业知识的中小企应考虑聘用第三方专家，以进行安全风险评估。风险评估的结果应定期向高级管理层汇报，而在风险评估中发现的安保风险应及时处理。

技术上及操作上的安保措施

《指引》建议数据使用者应根据资讯及通讯科技和数据处理活动的性质、规模、复杂性，以及风险评估的结果，采取足够及有效的安保措施，以保护其控制或所持有的个人数据和资讯及通讯系统。《指引》为资料使用者建议了一系列技术上及操作上的安保措施，包括保护电脑网络、数据库管理、存取管控、资料匿名化和加密等。

数据处理者的管理

将处理个人数据的工作外判予承办商的做法日益普遍。当中数据处理者的例子包括云端服务和数据分析服务的供应商。根据《隐私条例》，数据使用者有责任采取合约规范方法或其他方法，保障转移予数据处理者的个人数据的安全，《指引》就数据使用者在聘用数据处理者时可采取的措施提供了一系列的建议。

数据安保事故发生后的补救措施

数据使用者在数据安保事故发生后采取及时和有效的补救措施，将减低个人数据被未获准许的或意外的查阅、处理或使用的风险，从而减轻对受影响人士可能造成的伤害。《指引》就数据使用者在发生数据安保事故时可采取的补救措施提供了一些常见例子。

监察、评估及改善

数据使用者可委派独立的专责小组（例如内部或外部审计团队）负责定期监察数据安保政策的遵从情况，以及定期评估数据安保措施的成效。《指引》建议，如发现违反政策的行为或安保措施成效不彰，应采取改善行动。

鉴于网络攻击的手段、形式和复杂程度快速演变，且社会对个人数据隐私的期望越来越高，数据安保将会是未来几年的焦点。事实上，稳健的数据安保系统是良好数据管治的核心元素。我希望《指引》能帮助香港的机构和企业，尤其是中小企，加强数据安保系统，从而减低资料安保风险，并提升他们在数码时代的竞争优势。

出处：香港律师会会刊（实践技能）

本文由ACFE China校对翻译，如需转载，请提前告知。