
近期,有不少私人及公營機構都發生個人資料外洩事故。本文將討論香港個人資料外洩所涉及的私隱法律及通報情序。
《個人資料(私隱)條例》第4 (1) 及 (2) 保障資料原則
保障資料原則4(1) 規定,資料使用者應採取所有合理可行的措施,確保其持有的個人資料免受未經授權或意外的存取、處理、刪除、遺失或使用。
保障資料原則 4(2) 規定,如果數據使用者委託資料處理者(無論是在香港境內還是境外)代表其處理個人數據,資料使用者必須採用合約或其他方式,以防止轉交給數據處理者處理的資料被未經授權或意外地存取、處理、刪除、遺失或使用。
違反保障資料原則的後果
個人資料私隱專員公署(“私隱專員公署”)可能會向違反相關資料保護原則的公司發出執行通知,要求該違規者停止違反相關原則並採取任何必要的補救措施。
不遵守私隱專員公署的執行通知是一種違法行為,可能會被處以罰款或監禁。此外,如果受害者因此類違規行為遭受損害,包括情感受傷,也有權透過民事訴訟向違規者索賠。
向私隱專員公署申報
雖然通知並非強制要求,但強烈建議資料使用者通知私隱專員公署,以有效管理此類事件。通知應以書面形式提交。建議資料使用者使用線上資料外洩通知表格向私隱專員公署報告任何資料外洩事件。除了線上表格外,資料使用者還可以下載紙本版本的資料外洩通知表進行填寫。填寫完表格後,資料使用者應透過以下管道提交表格及任何與資料外洩相關的文件:
- 通過電郵地址:dbn@pcpd.org.hk
- 通過郵寄/親自遞交:
地址:香港灣仔皇后大道東248號大新金融中心13樓1303室
接待處開放時間:周一至周五:上午8:45至下午12:45 & 下午1:50至下午5:40
- 通過傳真:傳真號碼:2877 7026
其他建議採取行動
- 收集資訊:資料使用者應立即收集所有與違規相關的信息,例如違規的日期、時間和地點,違規是如何被發現的,其原因,涉及的個人資料的類型和範圍以及受影響的資料主體數量;
- 採取控制措施:資料使用者應確定違規的原因,並採取措施控制違規 – 例如,關閉導致系統故障的系統,更改安全設定以防止進一步的未經授權訪問,並尋求技術協助以停止駭客活動;
- 聯絡相關方:在適當的情況下,資料使用者應考慮聯絡相關執法機構、監管機構(例如私隱專員公署)、網路公司和IT專家,以進行報告、諮詢和協助;
- 風險評估:應進行評估,以評估資料違規可能對資料主體和資料使用者造成的傷害程度,包括對個人安全、身分盜用和經濟損失的潛在威脅;以及
- 保存證據:應保存與資料違規相關的所有證據,以便進一步調查和糾正措施。