如今,云端运算已被公司和个人广泛使用。「云端运算」并没有一个获普遍接受的定义,通常是指通过互联网交付包括服务器,存储,数据库,网络,软件,分析和智能的计算服务,以提供更快的创新,灵活的资源和规模经济。云端运算的用户通常只为所使用的云端运算付费,这使他们能够控制其运营成本,更高效地运行基础架构并根据其业务特定需求和变化进行扩展。
聘用云端服务供应商时,资料使用者须依从《个人资料(私隐)条例》(香港法例486条)(「条例」)的规定,包括附表1的保障资料原则(「原则」)。根据保障资料第2(3)、3、4原则及条例第65(2),无论个人资料由资料使用者储存,还是外包给资料处理者转移及储存,资料使用者同样有保护和防止滥用个人资料的职责。
根据条例的定义:-
资料使用者 (data user),就个人资料而言,指独自或联同其他人或与其他人共同控制该资料的收集、持有、处理或使用的人。
资料处理者 (data processor) ,就个人资料而言,指符合以下两项说明的人:-
(a) 代另一人处理个人资料;及
(b) 并不为该人本身目的而处理该资料。
例如,就此而言餐厅获得顾客个人资料作市场推广将被视为资料使用者,餐厅聘用的移动网络运营商转移及储存个人资料将被视为资料处理者。
保障资料第2(3)原则规定,如资料使用者聘用资料处理者(不论在香港或香港以外聘用),以代该资料使用者处理个人资料,该资料使用者须采取合约规范方法或其他方法,以防止转移予该资料处理者的个人资料的保存时间超过处理该资料所需的时间。
保障资料第3原则规定,个人资料不应用于新目的,除非已取得资料当事人或其「有关人士」(如条例下的定义)的订明的明确及自愿的同意。
保障资料第4(1)原则规定,资料使用者须采取所有合理地切实可行的步骤,以确保由其持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响,尤其须考虑:
(a) 该资料的种类及如该等事情发生便能造成的损害;
(b) 储存该资料的地点;
(c) 储存该资料的设备所包含(不论是藉自动化方法或其他方法)的保安措施;
(d) 为确保能查阅该资料的人的良好操守、审慎态度及办事能力而采取的措施;及
(e) 为确保在保安良好的情况下传送该资料而采取的措施。
保障资料第4(2)原则规定,如资料使用者聘用(不论在香港或香港以外聘用)资料处理者,以代该资料使用者处理个人资料,该资料使用者须采取合约规范方法或其他方法,以防止转移予该资料处理者作处理的个人资料未获准许或意外地被查阅、处理、删除、丧失或使用。
而且,条例第65(2)条规定,资料使用者的承办商(例如云端服务供应商)所作出的资料外泄或滥用的行为,会被视为亦是由该资料使用者及其承办商作出的。因此,资料使用者须对其承办商的作为负上责任。
在多个管辖区设有数据中心的云端服务供应商,可能会以程式去优化储存资源,而将资料使用者委托的个人资料由一个管辖区转移至另一管辖区储放及处理。资料使用者应查看资料处理者云端运算承办商的商业运作模式与控制有关的特点去选择云端运算承办商,包括,1. 快速的跨境资料转移; 2. 宽松的外判安排; 3. 标准服务及合约及4. 服务及调配模式。
条例第33条有关限制将个人资料移转至香港以外地方的条文尚未生效。不过,位处香港的资料使用者把他们收集的个人资料移转至香港以外地方,他们应确保有关资料可获得一如在香港的同样类似程度保障,以符合资料当事人把个人资料交托予他们的的期望。此外,资料当事人亦应获告知资料的跨境安排,以知悉其个人资料会获得怎样的保障。
总结,采用云端服务的资料使用者把个人资料交托予云端服务供应商前,应确保有关供应商能有效地理这些问题。
