數(shù)字時代：通用數(shù)據(jù)保障條例及網(wǎng)絡風險

隨著世界日益趨向被數(shù)據(jù)主導，消費者對保障私隱的意識日益提高。為應對這個轉(zhuǎn)變，新的法規(guī)亦被制定實施。因此，企業(yè)應密切留意監(jiān)管要求，并適時采取相應措施以確保嚴格遵守相關(guān)條例。

 

中華人民共和國（中國）、香港、歐洲聯(lián)盟（歐盟）及美國等不同司法管轄區(qū)均對數(shù)據(jù)保護及私隱實施監(jiān)管要求。

 

監(jiān)管環(huán)境

中國

中國沒有單一的綜合數(shù)據(jù)保護及私隱法，但相關(guān)規(guī)條可在不同的法規(guī)中找到。此外，《網(wǎng)絡安全法》自2017年6月1日起實施，并成為首條針對網(wǎng)絡安全、數(shù)據(jù)保護及私隱的國家級法律。

 

香港

自1996年12月20日起，香港實行《個人資料（私隱）條例》以規(guī)管私隱保障。有關(guān)執(zhí)法權(quán)歸屬個人資料私隱專員公署。

 

歐盟

自2018年5月25日起，《一般數(shù)據(jù)保護規(guī)例》于歐盟直接具有約束力，并附帶2年寬限期，主要旨在給予大眾對其個人數(shù)據(jù)的控制權(quán)，并通過統(tǒng)一歐盟內(nèi)的規(guī)例以簡化國際商務的監(jiān)管環(huán)境。

 

美國

在美國，不同特定地區(qū)存有多項針對私隱的聯(lián)邦及州法律。例如，《加州消費者隱私法》將于2020年1月1日起生效，為消費者引入新的隱私權(quán)，并迫使在加州開展業(yè)務的企業(yè)對其私隱保障政策作結(jié)構(gòu)性改革。

 

適用范圍

中國

《網(wǎng)絡安全法》適用于中國境內(nèi)的網(wǎng)絡建設、經(jīng)營、維護和使用以及網(wǎng)絡安全的監(jiān)督及管理。

 

香港

《個人資料（私隱）條例》適用于獨自、聯(lián)同或與他人共同控制在香港或從香港所收集、持有、處理或使用的個人數(shù)據(jù)之數(shù)據(jù)用戶。

 

歐盟

《一般數(shù)據(jù)保護規(guī)例》適用于在歐盟擁有業(yè)務的數(shù)據(jù)處理者或管理人，以及在歐盟以外經(jīng)營業(yè)務并向歐盟個別人士提供商品或服務、監(jiān)督其行為的人士。

 

美國

《加州消費者隱私法》適用于達到以下至少其中一個門檻并位于加州的業(yè)務：（1）每年收入達$25,000,000美元或以上的業(yè)務；（2）每年購買、接收、出售或分享50,000名或以上消費者、家庭或設備的個人數(shù)據(jù)以作商業(yè)用途的業(yè)務；（3）其50%或以上的年收入是通過出售消費者個人數(shù)據(jù)所賺得的。

 

大部份數(shù)據(jù)保護及私隱相關(guān)的法規(guī)僅受限于執(zhí)行該法規(guī)的國家或地區(qū)，惟《一般數(shù)據(jù)保護規(guī)例》具有境外的法律效力，即倘若企業(yè)不是設于歐盟地區(qū)，但其業(yè)務涉及處理身處歐盟的數(shù)據(jù)當事人之個人數(shù)據(jù)，而處理工作與提供商品或服務有關(guān)，則在歐盟以外成立的企業(yè)將仍須受《一般數(shù)據(jù)保護規(guī)例》約束。于評估適用法規(guī)時，企業(yè)需加倍注意。

 

數(shù)據(jù)保護主任

在各個司法管轄區(qū)內(nèi)，企業(yè)或須委任數(shù)據(jù)保護主任，以確保企業(yè)根據(jù)適用法規(guī)處理涉及私隱的個人數(shù)據(jù)：

 

中國

根據(jù)國家信息安全技術(shù)標準及個人信息安全規(guī)范規(guī)定，如企業(yè)的主要業(yè)務涉及數(shù)據(jù)處理，而其擁有超過200名員工并處理超過500,000人的個人數(shù)據(jù)，或預期于12個月內(nèi)處理超過500,000人的個人數(shù)據(jù)，該企業(yè)則須委任數(shù)據(jù)保護主任。

 

香港

香港并無法例規(guī)定企業(yè)須委任數(shù)據(jù)保護主任。然而，私隱專員于2014年2月發(fā)布了最佳實務指引，以鼓勵數(shù)據(jù)用戶委派人員監(jiān)察《個人資料（私隱）條例》的合規(guī)情況。

 

歐盟

根據(jù)《一般數(shù)據(jù)保護規(guī)例》，如該等企業(yè)為：（1）公共機構(gòu)；（2）其核心業(yè)務的性質(zhì)、范圍或目的牽涉經(jīng)營數(shù)據(jù)處理，即須定期及有系統(tǒng)地監(jiān)控大量數(shù)據(jù)；（3）其核心業(yè)務涉及處理大量敏感個人數(shù)據(jù)，企業(yè)則必須委任數(shù)據(jù)保護主任。

 

美國

美國一般沒有委任數(shù)據(jù)保護主任的規(guī)定，但部分州法律及聯(lián)邦法律規(guī)定企業(yè)委派員工以監(jiān)管信息保安程序。

 

報告時限及罰則

如出現(xiàn)任何違反相關(guān)法規(guī)或數(shù)據(jù)泄露的情況，企業(yè)須及時向有關(guān)當局及公眾做出報告及披露，不同法規(guī)的報告時限有所不同。

 

中國的《網(wǎng)絡安全法》：規(guī)定相關(guān)營辦商立即向主管部門報告。

 

香港的《個人資料（私隱）條例》：并無有關(guān)報告或披露時限的強制規(guī)定。

 

歐盟的《一般數(shù)據(jù)保護規(guī)例》：如有關(guān)違規(guī)情況對使用者私隱構(gòu)成不利影響，則須在72小時內(nèi)報告。

 

美國的《加州消費者隱私法》：如違反有關(guān)規(guī)例，須立即報告，并毋須事先通知。

 

此外，違反法規(guī)或泄露數(shù)據(jù)可能導致企業(yè)遭受重罰：

 

中國的《網(wǎng)絡安全法》：有關(guān)當局可發(fā)出警告或沒收非法收入。亦可就有關(guān)違規(guī)行為處以相當于非法收入1至10倍的罰款。如沒有產(chǎn)生非法收入，則最高可罰款人民幣100萬元。就嚴重違規(guī)情況而言，網(wǎng)絡營運或網(wǎng)站須予中止或關(guān)閉。相關(guān)許可證及牌照或會被注消，相關(guān)負責人及董事可能會面臨個人法律責任并須繳付罰款。

 

香港的《個人資料（私隱）條例》：私隱專員公署可發(fā)出執(zhí)法通知，要求數(shù)據(jù)用戶采取措施糾正違規(guī)行為。未能遵守執(zhí)法通知者即屬違法，最高可處以罰款50,000港元及最高監(jiān)禁兩年，如有關(guān)罪行在定罪后持續(xù)，將處以每日罰款1,000港元。如屬再犯，將被處以額外及更高刑罰。

 

歐盟的《一般數(shù)據(jù)保護規(guī)例》：行政罰款可能高達2000萬歐元，或全球年度營業(yè)總額的4%。

 

美國的《加州消費者隱私法》：違規(guī)者須就每次違規(guī)被處以最多2,500美元的民事罰款，或就每次蓄意違規(guī)被處以7,500美元的民事罰款。

 

遵守法規(guī)

隨著數(shù)據(jù)保護重要性的關(guān)注日漸提高，保護個人數(shù)據(jù)免受未經(jīng)授權(quán)的存取對現(xiàn)今企業(yè)的風險管理至關(guān)重要。企業(yè)在確保遵守私隱法規(guī)時，應采取以下3個步驟。

 

第一步，缺口分析。企業(yè)應就識別本企業(yè)適用法規(guī)及個人數(shù)據(jù)泄露的可能性進行全面風險評估，以判斷所需的跟進措施。

 

第二，數(shù)據(jù)保護影響評估。管理層應審閱并確保所有文件均已妥善準備，且確定已遵守相關(guān)的私隱法規(guī)。數(shù)據(jù)保護主任可協(xié)助厘定與企業(yè)特定環(huán)境相關(guān)的文件。文件妥善準備后，內(nèi)部審計職能可就有關(guān)措施的成效進行獨立審閱，以作為內(nèi)部審計控制的一部分。

 

最后，提高對私隱監(jiān)管的意識。企業(yè)應向董事會及高級管理層匯報數(shù)據(jù)保護影響評估的結(jié)果。此外，參與數(shù)據(jù)處理的內(nèi)部持份者應可存取定期狀況報告，包括內(nèi)部審計職能所收集的證據(jù)。此外，企業(yè)的內(nèi)部溝通及培訓將有助提高控制者及處理者對自身執(zhí)行私隱法規(guī)義務的認識。

 

預防違反私隱法規(guī)的方法

企業(yè)在預防違反私隱及數(shù)據(jù)保護相關(guān)法規(guī)時，可考慮以下幾個方面的措施：

 

通知數(shù)據(jù)當事人

企業(yè)應發(fā)出私隱聲明。在收集數(shù)據(jù)之時或之前，數(shù)據(jù)當事人應采用明確或暗喻方式告知其有責任或可自愿提供數(shù)據(jù)，以及其未能提供責任上所需數(shù)據(jù)所承擔的后果。數(shù)據(jù)當事人亦應明確告知數(shù)據(jù)使用目的、數(shù)據(jù)有可能移交的對象、其要求存取及更正數(shù)據(jù)的權(quán)利，以及負責處理任何有關(guān)要求的人員。

 

征求同意

根據(jù)《網(wǎng)絡安全法》，如網(wǎng)絡產(chǎn)品及服務具有收集用戶數(shù)據(jù)的功能，該供貨商須明確通知其使用者并取得他們的同意。根據(jù)《一般數(shù)據(jù)保護規(guī)例》，用戶同意是數(shù)據(jù)處理的其中一項合法依據(jù)，另外還有其他五項依據(jù)。企業(yè)應經(jīng)常選擇最真實確切反映與有關(guān)人士的關(guān)系及數(shù)據(jù)處理用途的合法依據(jù)。如企業(yè)依賴取得同意的合法依據(jù)，則需征求數(shù)據(jù)當事人對「接受機制」的同意。企業(yè)不應使用預先勾選的方格或任何其他默認同意的方法。

 

數(shù)據(jù)保存

個人數(shù)據(jù)的保存時間，不得超過將其保存以貫徹該等數(shù)據(jù)被使用于或會被使用于的目的所需的時間。

 

數(shù)據(jù)保護

企業(yè)應采納設計及預設的數(shù)據(jù)保護機制，對高風險的數(shù)據(jù)處理進行數(shù)據(jù)保護影響評估。此外，還需特別考慮(a) 數(shù)據(jù)類型及可能造成的損害；(b) 儲存數(shù)據(jù)的地點；(c) 儲存數(shù)據(jù)的設備所包含的安全措施；(d) 為確保存取數(shù)據(jù)的人具有良好操守、審慎態(tài)度及辦事能力而采取的措施；(e) 為確保安全傳送數(shù)據(jù)而采取的措施；以保護個人數(shù)據(jù)。

 

如企業(yè)屬公共機構(gòu)（以司法身份行事的法院除外）；或其有系統(tǒng)地監(jiān)控大量人士（如進行在線行為跟蹤）；或其處理大量特殊類別數(shù)據(jù)或涉及刑事罪行及違法行的數(shù)據(jù)，則須根據(jù)《一般數(shù)據(jù)保護規(guī)例》委任數(shù)據(jù)保護主任。數(shù)據(jù)保護主任可受聘于多家企業(yè)。

 

如數(shù)據(jù)使用者在香港內(nèi)或以外聘用數(shù)據(jù)處理者代為處理個人數(shù)據(jù)，該數(shù)據(jù)使用者必須以合同或其他方式，防止處理的數(shù)據(jù)未經(jīng)授權(quán)被意外存取、處理、刪除、喪失、使用或轉(zhuǎn)移。

 

監(jiān)管

企業(yè)應實施技術(shù)及組織措施，以確保遵守法規(guī)。此外，企業(yè)可尋求專業(yè)法律意見，協(xié)助遵守私隱法規(guī)。

 

為遵守數(shù)據(jù)保護監(jiān)管要求，有關(guān)加強網(wǎng)絡安全的若干要訣包括：

 

防衛(wèi)線

?防火墻邊界及互聯(lián)網(wǎng)閘道

?訪問控制

?惡意軟件防護

?修補程序管理及軟件更新

?數(shù)據(jù)加密

?就數(shù)據(jù)共享、儲存及處置方面的風險培訓員工

 

云端運算

?與云端運算服務供貨商就有關(guān)訪問控制、信息保留及刪除數(shù)據(jù)等條款訂立合同

 

數(shù)據(jù)處置

?選擇信息技術(shù)資產(chǎn)處置公司

?對處置過程進行風險評估

 

來源：

DLA Diper - 世界各地的數(shù)據(jù)保護法規(guī)介紹

《一般數(shù)據(jù)保護規(guī)例》網(wǎng)頁

《加州消費者隱私法》網(wǎng)頁

lawinfochina.com -《網(wǎng)絡安全法》

電子版香港法例 - 《個人資料（私隱）條例》