隐私专员公署更新资料外泄事故指引

本文由ACFE China校对翻译，如需转载，请提前告知。

2023年上半年科创潮汹涌拍岸，科技突破如雨后春笋，有目共睹。然而，眼前的发展所带来的固有风险亦引起全球关注。根据国际软件保安公司Check Point的报告，2023年第一季度的全球每周平均网络攻击次数较2022年同期增长7%。由此可见，个人资料隐私专员公署（「隐私专员公署」）认为现在是更新《资料外泄事故的处理及通报指引》（「《指引》」），并发出更新的《指引》的好时机，以协助机构在资料外泄「事故发生前」未雨绸缪，以及在资料外泄「事故发生后」作出适当处理，《指引》建议机构在事故发生前制订个人资料外泄事故应变计划，及在事故发生后采取步骤遏止伤害和损害扩大。

《指引》

资料外泄事故

资料外泄事故一般指资料使用者持有的个人资料怀疑或已经遭到外泄，令有关资料当事人的个人资料有被未获准许的或意外的查阅、处理、删除、丧失或使用的风险。资料外泄事故可构成违反《个人资料(隐私)条例》（《隐私条例》）附表1的保障资料第4原则。香港资料外泄事故的原因之中，较常见的包括网络攻击、系统配置错误，及遗失实体文件或可携式装置。

「事故发生前」─资料外泄事故应变计划

资料外泄事故可以令机构商誉受损、蒙受财务损失及业务中断，后果严重。因此，一套经过缜密考量的资料外泄事故应变计划对资料使用者极其重要，因为它可尽量减少及遏止事故的潜在影响。

一套全面的应变计划应概述发生资料外泄事故时须执行的程序，以及资料使用者由识别、遏止、评估以至管理事故所带来的影响的策略。计划应涵盖以下的资料：

• 描述启动应变计划的准则；

• 内部事故通报程序︰向高级管理层、保障资料主任及／或其他指定人员通报事故；

• 风险评估工作流程︰评估事故造成损害的可能性及严重性；

• 遏止策略︰遏止事故扩大及作出补救。

「事故发生后」─处理资料外泄事故

《指引》建议资料使用者应采取下述5个步骤，以大幅减少资料外泄事故的影响：

• 步骤1：立即收集重要资料；

• 步骤2：遏止事件扩大；

• 步骤3：评估事件可造成的损害；

• 步骤4：考虑作出资料外泄通报；

• 步骤5：记录事故。

资料外泄通报是资料使用者向相关人士，包括受影响资料当事人及隐私专员公署，作出的正式通知。视乎个案的情况，资料外泄通报可包括以下内容：

• 外泄日期、时间、持续时间及源头；

• 所涉及的个人资料类别；

• 所涉及的资料当事人的类别及大约数目；

• 对事故导致的损害作出的风险评估；

• 已采取的缓解措施。

一般来说，资料使用者在知悉事故后，不论内部调查的进度如何，都应在切实可行的情况下尽快向隐私专员公署及受影响的资料当事人作出通报。

资料使用者可直接透过电话、书面、电邮或亲身向资料当事人作出通报。如在有关情况下直接的资料外泄通报并不切实可行，可发出公告、报章广告，或于网站或社交媒体平台发出帖文。

资料使用者向隐私专员公署通报事故时，应使用公署的「资料外泄事故通报表格」。公署并不接受口头通报。为了鼓励及时通报事故，公署已于2023年6月推出网上资料外泄事故通报表格，提供更加方便的通报途径。填写网上表格时，资料使用者应小心填写所需的主要资料，包括：

• 资料使用者的基本资料；

• 事故的详情（包括所涉及个人资料的类别，以及估计受影响香港居民的人数）；

• 对事故的评估及所采取的补救行动（包括导致事故的原因、对资料当事人造成损害的风险，以及所采取的补救行动）。

结语

鉴于网络安全威胁不断加剧，技术发展日新月异，数据和数据安全的重要性实在毋庸置疑。隐私专员公署强烈建议资料使用者采用一套全面的资料外泄事故处理政策，作为其个人资料隐私管理系统的一部分。立即处理及通报资料外泄事故固然重要，但未雨绸缪，制订资料外泄事故应变计划应对突发事故，同样不容忽视。