如今,雲端運算已被公司和個人廣泛使用。「雲端運算」並沒有一個獲普遍接受的定義,通常是指通過互聯網交付包括服務器,存儲,數據庫,網絡,軟件,分析和智能的計算服務,以提供更快的創新,靈活的資源和規模經濟。雲端運算的用戶通常只為所使用的雲端運算付費,這使他們能夠控制其運營成本,更高效地運行基礎架構並根據其業務特定需求和變化進行擴展。
聘用雲端服務供應商時,資料使用者須依從《個人資料(私隱)條例》(香港法例486條)(「條例」)的規定,包括附表1的保障資料原則(「原則」)。根據保障資料第2(3)、3、4原則及條例第65(2),無論個人資料由資料使用者儲存,還是外包給資料處理者轉移及儲存,資料使用者同樣有保護和防止濫用個人資料的職責。
根據條例的定義:-
資料使用者 (data user),就個人資料而言,指獨自或聯同其他人或與其他人共同控制該資料的收集、持有、處理或使用的人。
資料處理者 (data processor) ,就個人資料而言,指符合以下兩項說明的人:-
(a) 代另一人處理個人資料;及
(b) 並不為該人本身目的而處理該資料。
例如,就此而言餐廳獲得顧客個人資料作市場推廣將被視為資料使用者,餐廳聘用的移動網絡運營商轉移及儲存個人資料將被視為資料處理者。
保障資料第2(3)原則規定,如資料使用者聘用資料處理者(不論在香港或香港以外聘用),以代該資料使用者處理個人資料,該資料使用者須採取合約規範方法或其他方法,以防止轉移予該資料處理者的個人資料的保存時間超過處理該資料所需的時間。
保障資料第3原則規定,個人資料不應用於新目的,除非已取得資料當事人或其「有關人士」(如條例下的定義)的訂明的明確及自願的同意。
保障資料第4(1)原則規定,資料使用者須採取所有合理地切實可行的步驟,以確保由其持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響,尤其須考慮:
(a) 該資料的種類及如該等事情發生便能造成的損害;
(b) 儲存該資料的地點;
(c) 儲存該資料的設備所包含(不論是藉自動化方法或其他方法)的保安措施;
(d) 為確保能查閱該資料的人的良好操守、審慎態度及辦事能力而採取的措施;及
(e) 為確保在保安良好的情況下傳送該資料而採取的措施。
保障資料第4(2)原則規定,如資料使用者聘用(不論在香港或香港以外聘用)資料處理者,以代該資料使用者處理個人資料,該資料使用者須採取合約規範方法或其他方法,以防止轉移予該資料處理者作處理的個人資料未獲准許或意外地被查閱、處理、刪除、喪失或使用。
而且,條例第65(2)條規定,資料使用者的承辦商(例如雲端服務供應商)所作出的資料外洩或濫用的行為,會被視為亦是由該資料使用者及其承辦商作出的。因此,資料使用者須對其承辦商的作為負上責任。
在多個管轄區設有數據中心的雲端服務供應商,可能會以程式去優化儲存資源,而將資料使用者委託的個人資料由一個管轄區轉移至另一管轄區儲放及處理。資料使用者應查看資料處理者雲端運算承辦商的商業運作模式與控制有關的特點去選擇雲端運算承辦商,包括,1. 快速的跨境資料轉移; 2. 寬鬆的外判安排; 3. 標準服務及合約及4. 服務及調配模式。
條例第33條有關限制將個人資料移轉至香港以外地方的條文尚未生效。不過,位處香港的資料使用者把他們收集的個人資料移轉至香港以外地方,他們應確保有關資料可獲得一如在香港的同樣類似程度保障,以符合資料當事人把個人資料交託予他們的的期望。此外,資料當事人亦應獲告知資料的跨境安排,以知悉其個人資料會獲得怎樣的保障。
總結,採用雲端服務的資料使用者把個人資料交託予雲端服務供應商前,應確保有關供應商能有效地理這些問題。
