私隐专员于《香港律师》发表文章 建议提升数据安全

个人资料私隐专员（私隐专员）钟丽玲。

个人资料私隐专员（私隐专员）钟丽玲于《香港律师》以“依循私隐专员公署的《云端运算指引》 在数码时代保障个人资料私隐”为题发表文章。文中介绍公署早前发布的《云端运算指引》，强调机构作为资料使用者与云端服务供应商在云端环境内保障数据安全负有共同责任，概述《指引》中的建议措施，协助机构在使用云端运算时更有效地保障个人资料私隐。

文章中指出，现时不同行业利用云端服务来储存、处理及管理大量数据，当中包括敏感资讯及个人资料。然而机构对云端服务日益增加的依赖亦引起对个人资料私隐的关注。近年数宗涉及云端平台的资料外泄事故曝露出系统的弱点，可见风险绝对不容忽视。

有见及此，个人资料私隐专员公署于2025年1月发布了《云端运算指引》，阐释《个人资料（私隐）条例》的相关要求，旨在协助采用云端运算的机构加强保障个人资料私隐。《指引》与律师的工作息息相关，因不少律师行已采用或正逐步采用云端系统，以优化管理及存取可能载有个人资料的文件和电邮。

尽管机构作为资料使用者可以将处理资料的工作外判予云端服务供应商，但机构在持有、处理或使用个人资料时，并不能“外判”它们在《私隐条例》下的责任。《私隐条例》亦订明资料使用者不能将其责任转委予他人。

根据《私隐条例》，如资料使用者聘用云端运算服务供应商以代其处理个人资料，资料使用者需采取合约规范方法或其他方法，以防止个人资料的保存时间超过处理该些资料所需的时间，有关资料受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。

《私隐条例》第65（2）条亦订明，任何作为另一人的代理人并获该另一人授权（不论是明示或默示的授权，亦不论是事前或事后授权）的人所作出的任何作为或所从事的任何行为，需视为亦是由该另一人作出或从事的。云端服务供应商所作出的任何个人资料外泄或滥用的行为，视乎情况而定，可被视为是由该机构以及它的服务供应商作出的。

基于《私隐条例》的法律要求，《指引》不仅强调机构与云端服务供应商在云端环境内保障数据安全的共同责任，亦向机构提供多方面的建议措施，让它们在使用云端运算时亦能更有效地保障个人资料私隐，包括机构应谨慎评估与所选择的服务及部署模式有关的风险，以确保采取适当的数据安全措施。如当云端服务供应商更新其服务，以提供新服务特点或配置时，机构应及时作出相应行动，更新相关软件及调整适当的配置。机构亦应采取足够及有效的安全措施，防止储存于云端的个人资料受未获准许的或意外的查阅、处理、删除、丧失或使用所影响。

机构应评估云端平台的服务及合约条款是否完全符合相关的保安及个人资料私隐保障的标准。机构亦需要确定云端服务供应商是否有外判安排。如云端服务供应商聘用承判商，机构应确保获得服务供应商在合约内承诺，其保障及循规管控的水平同样适用于承判商。

云端服务供应商可能于不同司法管辖区设有数据中心。当机构将个人资料转移至香港以外的地方时，需确保遵从《私隐条例》的规定。特别是机构需告知资料当事人他的个人资料将会转移至香港境外的接收者，并指明个人资料将会用于甚么目的。如转移构成新目的，机构必须取得资料当事人明确及自愿的同意。

即使个人资料可以遥距储存在其他地方，机构作为资料使用者仍需承担责任。机构及云端服务供应商必需携手合作，实施稳妥而有效的保安措施，务求既可利用云端运算的优势，同时亦保障云端环境的个人资料私隐。（记者区天海）