錢偉倫 香港國際數據保障學會創會會長 大灣區香港國際專業服務協會創會會長
新冠肺炎的爆發大大改變了人們生活的方式和消費模式,戴口罩及保持社交距離(social distancing)已經成為新常態。以前大家每天出門上班上課,現在會留家工作(work from home)或用視訊App線上會議、遙距上課。之前常外出用餐的大多都變成了「外賣族」或「自煮族」,肚子餓了就透過App外賣下單或買食材。人們亦越來越習慣線上購買日常用品,包括衣服鞋襪、食物飲品、電訊影音設備、傢俬電器等等。
根據彭博資料,今年疫情期間爆紅的視訊軟件「Zoom 」只用了3個月就已經吸納到一億用戶,之前Instagram達此目標 足足花了兩年時間!人們這樣的生活行為及習慣的轉變,除了造就應用程式和線上服務的急速增長外,同時亦製造了海量的用戶數據,隨之而來的就是數據洩漏的風險也會大大增加。用戶亦更加關注商戶及機構如何保障數據安全,以免發生如國泰航空於2018年3月被發現洩漏了約940萬名乘客的個人資料包括護照號碼、身份證號碼、信用卡號碼等等的事件。
事實上,很多國家或地方政府都已經制定了數據保護的法律法規,涵蓋個人數據私隱、數據保護的實施,及防止數據洩漏等等的範疇。根據香港《個人資料(私隱)條例》下的保障資料第4(1)(資料保安)原則,資料使用者應採取切實可行的措施保障個人資料不會因意外或未經授權下被查閱、處理、刪除、喪失或使用。歐盟的《通用數據保障條例》第5 (1)(f)條及我國內地的《網絡安全法》第42條都有類似的規管要求。
因此,商戶及機構應加強數據保護以減低數據洩漏或丟失的風險,可考慮採取以下的措施:
識別及分類:要識別及了解所有數據的類型並對其進行分類,以採用最合適的數據保護計劃。一些特別敏感的個人數據,包括生物辨識數據或個人身份及財務等資料需要更高級別的保護。
鎖定獲取數據的權限:採用「需要知道」和「需要使用」的原則,只儲存需要的個人資料,只有獲授權的人員才可存取或查閱有關的個人數據,訂立清晰的準則及授權程序。
採用有效的保安工具:在傳送過程中可將數據加密,並可因應數據的數量及敏感度而採取更多有效的保安措施,例如採用雙重或多重認證方式來核對獲取數據權限。
監察:要監察使用數據的情況及有否被未獲授權的下載或複製,若有任何不尋常情況,例如大量下載或刪改個人數據,應適時報告、補救及進行追溯檢討。
合適的數據保安政策、程序及實務指引:要有系統地制定、檢視及更新個人數據保安政策、程序及實務指引,並有效地傳達給所有職員,並提供途徑讓他們能搜尋相關資訊及提供適當培訓。
循規審核:要制定循規審核系統,以確保個人數據保安政策、程序及指引獲得遵從。
良好的保護數據政策及措施,不單可以減低因數據洩漏或丟失而被懲罰或訴訟的風險,亦可顯示商戶或機構良好的社會責任感及管治制度,以贏得公眾的信任及尊重。