數字時代：通用數據保障條例及網絡風險

隨著世界日益趨向被數據主導，消費者對保障私隱的意識日益提高。為應對這個轉變，新的法規(guī)亦被制定實施。因此，企業(yè)應密切留意監(jiān)管要求，并適時采取相應措施以確保嚴格遵守相關條例。

 

中華人民共和國（中國）、香港、歐洲聯盟（歐盟）及美國等不同司法管轄區(qū)均對數據保護及私隱實施監(jiān)管要求。

 

監(jiān)管環(huán)境

中國

中國沒有單一的綜合數據保護及私隱法，但相關規(guī)條可在不同的法規(guī)中找到。此外，《網絡安全法》自2017年6月1日起實施，并成為首條針對網絡安全、數據保護及私隱的國家級法律。

 

香港

自1996年12月20日起，香港實行《個人資料（私隱）條例》以規(guī)管私隱保障。有關執(zhí)法權歸屬個人資料私隱專員公署。

 

歐盟

自2018年5月25日起，《一般數據保護規(guī)例》于歐盟直接具有約束力，并附帶2年寬限期，主要旨在給予大眾對其個人數據的控制權，并通過統(tǒng)一歐盟內的規(guī)例以簡化國際商務的監(jiān)管環(huán)境。

 

美國

在美國，不同特定地區(qū)存有多項針對私隱的聯邦及州法律。例如，《加州消費者隱私法》將于2020年1月1日起生效，為消費者引入新的隱私權，并迫使在加州開展業(yè)務的企業(yè)對其私隱保障政策作結構性改革。

 

適用范圍

中國

《網絡安全法》適用于中國境內的網絡建設、經營、維護和使用以及網絡安全的監(jiān)督及管理。

 

香港

《個人資料（私隱）條例》適用于獨自、聯同或與他人共同控制在香港或從香港所收集、持有、處理或使用的個人數據之數據用戶。

 

歐盟

《一般數據保護規(guī)例》適用于在歐盟擁有業(yè)務的數據處理者或管理人，以及在歐盟以外經營業(yè)務并向歐盟個別人士提供商品或服務、監(jiān)督其行為的人士。

 

美國

《加州消費者隱私法》適用于達到以下至少其中一個門檻并位于加州的業(yè)務：（1）每年收入達$25,000,000美元或以上的業(yè)務；（2）每年購買、接收、出售或分享50,000名或以上消費者、家庭或設備的個人數據以作商業(yè)用途的業(yè)務；（3）其50%或以上的年收入是通過出售消費者個人數據所賺得的。

 

大部份數據保護及私隱相關的法規(guī)僅受限于執(zhí)行該法規(guī)的國家或地區(qū)，惟《一般數據保護規(guī)例》具有境外的法律效力，即倘若企業(yè)不是設于歐盟地區(qū)，但其業(yè)務涉及處理身處歐盟的數據當事人之個人數據，而處理工作與提供商品或服務有關，則在歐盟以外成立的企業(yè)將仍須受《一般數據保護規(guī)例》約束。于評估適用法規(guī)時，企業(yè)需加倍注意。

 

數據保護主任

在各個司法管轄區(qū)內，企業(yè)或須委任數據保護主任，以確保企業(yè)根據適用法規(guī)處理涉及私隱的個人數據：

 

中國

根據國家信息安全技術標準及個人信息安全規(guī)范規(guī)定，如企業(yè)的主要業(yè)務涉及數據處理，而其擁有超過200名員工并處理超過500,000人的個人數據，或預期于12個月內處理超過500,000人的個人數據，該企業(yè)則須委任數據保護主任。

 

香港

香港并無法例規(guī)定企業(yè)須委任數據保護主任。然而，私隱專員于2014年2月發(fā)布了最佳實務指引，以鼓勵數據用戶委派人員監(jiān)察《個人資料（私隱）條例》的合規(guī)情況。

 

歐盟

根據《一般數據保護規(guī)例》，如該等企業(yè)為：（1）公共機構；（2）其核心業(yè)務的性質、范圍或目的牽涉經營數據處理，即須定期及有系統(tǒng)地監(jiān)控大量數據；（3）其核心業(yè)務涉及處理大量敏感個人數據，企業(yè)則必須委任數據保護主任。

 

美國

美國一般沒有委任數據保護主任的規(guī)定，但部分州法律及聯邦法律規(guī)定企業(yè)委派員工以監(jiān)管信息保安程序。

 

報告時限及罰則

如出現任何違反相關法規(guī)或數據泄露的情況，企業(yè)須及時向有關當局及公眾做出報告及披露，不同法規(guī)的報告時限有所不同。

 

中國的《網絡安全法》：規(guī)定相關營辦商立即向主管部門報告。

 

香港的《個人資料（私隱）條例》：并無有關報告或披露時限的強制規(guī)定。

 

歐盟的《一般數據保護規(guī)例》：如有關違規(guī)情況對使用者私隱構成不利影響，則須在72小時內報告。

 

美國的《加州消費者隱私法》：如違反有關規(guī)例，須立即報告，并毋須事先通知。

 

此外，違反法規(guī)或泄露數據可能導致企業(yè)遭受重罰：

 

中國的《網絡安全法》：有關當局可發(fā)出警告或沒收非法收入。亦可就有關違規(guī)行為處以相當于非法收入1至10倍的罰款。如沒有產生非法收入，則最高可罰款人民幣100萬元。就嚴重違規(guī)情況而言，網絡營運或網站須予中止或關閉。相關許可證及牌照或會被注消，相關負責人及董事可能會面臨個人法律責任并須繳付罰款。

 

香港的《個人資料（私隱）條例》：私隱專員公署可發(fā)出執(zhí)法通知，要求數據用戶采取措施糾正違規(guī)行為。未能遵守執(zhí)法通知者即屬違法，最高可處以罰款50,000港元及最高監(jiān)禁兩年，如有關罪行在定罪后持續(xù)，將處以每日罰款1,000港元。如屬再犯，將被處以額外及更高刑罰。

 

歐盟的《一般數據保護規(guī)例》：行政罰款可能高達2000萬歐元，或全球年度營業(yè)總額的4%。

 

美國的《加州消費者隱私法》：違規(guī)者須就每次違規(guī)被處以最多2,500美元的民事罰款，或就每次蓄意違規(guī)被處以7,500美元的民事罰款。

 

遵守法規(guī)

隨著數據保護重要性的關注日漸提高，保護個人數據免受未經授權的存取對現今企業(yè)的風險管理至關重要。企業(yè)在確保遵守私隱法規(guī)時，應采取以下3個步驟。

 

第一步，缺口分析。企業(yè)應就識別本企業(yè)適用法規(guī)及個人數據泄露的可能性進行全面風險評估，以判斷所需的跟進措施。

 

第二，數據保護影響評估。管理層應審閱并確保所有文件均已妥善準備，且確定已遵守相關的私隱法規(guī)。數據保護主任可協助厘定與企業(yè)特定環(huán)境相關的文件。文件妥善準備后，內部審計職能可就有關措施的成效進行獨立審閱，以作為內部審計控制的一部分。

 

最后，提高對私隱監(jiān)管的意識。企業(yè)應向董事會及高級管理層匯報數據保護影響評估的結果。此外，參與數據處理的內部持份者應可存取定期狀況報告，包括內部審計職能所收集的證據。此外，企業(yè)的內部溝通及培訓將有助提高控制者及處理者對自身執(zhí)行私隱法規(guī)義務的認識。

 

預防違反私隱法規(guī)的方法

企業(yè)在預防違反私隱及數據保護相關法規(guī)時，可考慮以下幾個方面的措施：

 

通知數據當事人

企業(yè)應發(fā)出私隱聲明。在收集數據之時或之前，數據當事人應采用明確或暗喻方式告知其有責任或可自愿提供數據，以及其未能提供責任上所需數據所承擔的后果。數據當事人亦應明確告知數據使用目的、數據有可能移交的對象、其要求存取及更正數據的權利，以及負責處理任何有關要求的人員。

 

征求同意

根據《網絡安全法》，如網絡產品及服務具有收集用戶數據的功能，該供貨商須明確通知其使用者并取得他們的同意。根據《一般數據保護規(guī)例》，用戶同意是數據處理的其中一項合法依據，另外還有其他五項依據。企業(yè)應經常選擇最真實確切反映與有關人士的關系及數據處理用途的合法依據。如企業(yè)依賴取得同意的合法依據，則需征求數據當事人對「接受機制」的同意。企業(yè)不應使用預先勾選的方格或任何其他默認同意的方法。

 

數據保存

個人數據的保存時間，不得超過將其保存以貫徹該等數據被使用于或會被使用于的目的所需的時間。

 

數據保護

企業(yè)應采納設計及預設的數據保護機制，對高風險的數據處理進行數據保護影響評估。此外，還需特別考慮(a) 數據類型及可能造成的損害；(b) 儲存數據的地點；(c) 儲存數據的設備所包含的安全措施；(d) 為確保存取數據的人具有良好操守、審慎態(tài)度及辦事能力而采取的措施；(e) 為確保安全傳送數據而采取的措施；以保護個人數據。

 

如企業(yè)屬公共機構（以司法身份行事的法院除外）；或其有系統(tǒng)地監(jiān)控大量人士（如進行在線行為跟蹤）；或其處理大量特殊類別數據或涉及刑事罪行及違法行的數據，則須根據《一般數據保護規(guī)例》委任數據保護主任。數據保護主任可受聘于多家企業(yè)。

 

如數據使用者在香港內或以外聘用數據處理者代為處理個人數據，該數據使用者必須以合同或其他方式，防止處理的數據未經授權被意外存取、處理、刪除、喪失、使用或轉移。

 

監(jiān)管

企業(yè)應實施技術及組織措施，以確保遵守法規(guī)。此外，企業(yè)可尋求專業(yè)法律意見，協助遵守私隱法規(guī)。

 

為遵守數據保護監(jiān)管要求，有關加強網絡安全的若干要訣包括：

 

防衛(wèi)線

?防火墻邊界及互聯網閘道

?訪問控制

?惡意軟件防護

?修補程序管理及軟件更新

?數據加密

?就數據共享、儲存及處置方面的風險培訓員工

 

云端運算

?與云端運算服務供貨商就有關訪問控制、信息保留及刪除數據等條款訂立合同

 

數據處置

?選擇信息技術資產處置公司

?對處置過程進行風險評估

 

來源：

DLA Diper - 世界各地的數據保護法規(guī)介紹

《一般數據保護規(guī)例》網頁

《加州消費者隱私法》網頁

lawinfochina.com -《網絡安全法》

電子版香港法例 - 《個人資料（私隱）條例》