數(shù)字時(shí)代：通用數(shù)據(jù)保障條例及網(wǎng)絡(luò)風(fēng)險(xiǎn)

2019年04月08日

隨著世界日益趨向被數(shù)據(jù)主導(dǎo)，消費(fèi)者對(duì)保障私隱的意識(shí)日益提高。為應(yīng)對(duì)這個(gè)轉(zhuǎn)變，新的法規(guī)亦被制定實(shí)施。因此，企業(yè)應(yīng)密切留意監(jiān)管要求，并適時(shí)采取相應(yīng)措施以確保嚴(yán)格遵守相關(guān)條例。

中華人民共和國(guó)（中國(guó)）、香港、歐洲聯(lián)盟（歐盟）及美國(guó)等不同司法管轄區(qū)均對(duì)數(shù)據(jù)保護(hù)及私隱實(shí)施監(jiān)管要求。

監(jiān)管環(huán)境

中國(guó)

中國(guó)沒有單一的綜合數(shù)據(jù)保護(hù)及私隱法，但相關(guān)規(guī)條可在不同的法規(guī)中找到。此外，《網(wǎng)絡(luò)安全法》自2017年6月1日起實(shí)施，并成為首條針對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)及私隱的國(guó)家級(jí)法律。

香港

自1996年12月20日起，香港實(shí)行《個(gè)人資料（私隱）條例》以規(guī)管私隱保障。有關(guān)執(zhí)法權(quán)歸屬個(gè)人資料私隱專員公署。

歐盟

自2018年5月25日起，《一般數(shù)據(jù)保護(hù)規(guī)例》于歐盟直接具有約束力，并附帶2年寬限期，主要旨在給予大眾對(duì)其個(gè)人數(shù)據(jù)的控制權(quán)，并通過統(tǒng)一歐盟內(nèi)的規(guī)例以簡(jiǎn)化國(guó)際商務(wù)的監(jiān)管環(huán)境。

美國(guó)

在美國(guó)，不同特定地區(qū)存有多項(xiàng)針對(duì)私隱的聯(lián)邦及州法律。例如，《加州消費(fèi)者隱私法》將于2020年1月1日起生效，為消費(fèi)者引入新的隱私權(quán)，并迫使在加州開展業(yè)務(wù)的企業(yè)對(duì)其私隱保障政策作結(jié)構(gòu)性改革。

適用范圍

中國(guó)

《網(wǎng)絡(luò)安全法》適用于中國(guó)境內(nèi)的網(wǎng)絡(luò)建設(shè)、經(jīng)營(yíng)、維護(hù)和使用以及網(wǎng)絡(luò)安全的監(jiān)督及管理。

香港

《個(gè)人資料（私隱）條例》適用于獨(dú)自、聯(lián)同或與他人共同控制在香港或從香港所收集、持有、處理或使用的個(gè)人數(shù)據(jù)之?dāng)?shù)據(jù)用戶。

歐盟

《一般數(shù)據(jù)保護(hù)規(guī)例》適用于在歐盟擁有業(yè)務(wù)的數(shù)據(jù)處理者或管理人，以及在歐盟以外經(jīng)營(yíng)業(yè)務(wù)并向歐盟個(gè)別人士提供商品或服務(wù)、監(jiān)督其行為的人士。

美國(guó)

《加州消費(fèi)者隱私法》適用于達(dá)到以下至少其中一個(gè)門檻并位于加州的業(yè)務(wù)：（1）每年收入達(dá)$25,000,000美元或以上的業(yè)務(wù)；（2）每年購(gòu)買、接收、出售或分享50,000名或以上消費(fèi)者、家庭或設(shè)備的個(gè)人數(shù)據(jù)以作商業(yè)用途的業(yè)務(wù)；（3）其50%或以上的年收入是通過出售消費(fèi)者個(gè)人數(shù)據(jù)所賺得的。

大部份數(shù)據(jù)保護(hù)及私隱相關(guān)的法規(guī)僅受限于執(zhí)行該法規(guī)的國(guó)家或地區(qū)，惟《一般數(shù)據(jù)保護(hù)規(guī)例》具有境外的法律效力，即倘若企業(yè)不是設(shè)于歐盟地區(qū)，但其業(yè)務(wù)涉及處理身處歐盟的數(shù)據(jù)當(dāng)事人之個(gè)人數(shù)據(jù)，而處理工作與提供商品或服務(wù)有關(guān)，則在歐盟以外成立的企業(yè)將仍須受《一般數(shù)據(jù)保護(hù)規(guī)例》約束。于評(píng)估適用法規(guī)時(shí)，企業(yè)需加倍注意。

數(shù)據(jù)保護(hù)主任

在各個(gè)司法管轄區(qū)內(nèi)，企業(yè)或須委任數(shù)據(jù)保護(hù)主任，以確保企業(yè)根據(jù)適用法規(guī)處理涉及私隱的個(gè)人數(shù)據(jù)：

中國(guó)

根據(jù)國(guó)家信息安全技術(shù)標(biāo)準(zhǔn)及個(gè)人信息安全規(guī)范規(guī)定，如企業(yè)的主要業(yè)務(wù)涉及數(shù)據(jù)處理，而其擁有超過200名員工并處理超過500,000人的個(gè)人數(shù)據(jù)，或預(yù)期于12個(gè)月內(nèi)處理超過500,000人的個(gè)人數(shù)據(jù)，該企業(yè)則須委任數(shù)據(jù)保護(hù)主任。

香港

香港并無法例規(guī)定企業(yè)須委任數(shù)據(jù)保護(hù)主任。然而，私隱專員于2014年2月發(fā)布了最佳實(shí)務(wù)指引，以鼓勵(lì)數(shù)據(jù)用戶委派人員監(jiān)察《個(gè)人資料（私隱）條例》的合規(guī)情況。

歐盟

根據(jù)《一般數(shù)據(jù)保護(hù)規(guī)例》，如該等企業(yè)為：（1）公共機(jī)構(gòu)；（2）其核心業(yè)務(wù)的性質(zhì)、范圍或目的牽涉經(jīng)營(yíng)數(shù)據(jù)處理，即須定期及有系統(tǒng)地監(jiān)控大量數(shù)據(jù)；（3）其核心業(yè)務(wù)涉及處理大量敏感個(gè)人數(shù)據(jù)，企業(yè)則必須委任數(shù)據(jù)保護(hù)主任。

美國(guó)

美國(guó)一般沒有委任數(shù)據(jù)保護(hù)主任的規(guī)定，但部分州法律及聯(lián)邦法律規(guī)定企業(yè)委派員工以監(jiān)管信息保安程序。

報(bào)告時(shí)限及罰則

如出現(xiàn)任何違反相關(guān)法規(guī)或數(shù)據(jù)泄露的情況，企業(yè)須及時(shí)向有關(guān)當(dāng)局及公眾做出報(bào)告及披露，不同法規(guī)的報(bào)告時(shí)限有所不同。

中國(guó)的《網(wǎng)絡(luò)安全法》：規(guī)定相關(guān)營(yíng)辦商立即向主管部門報(bào)告。

香港的《個(gè)人資料（私隱）條例》：并無有關(guān)報(bào)告或披露時(shí)限的強(qiáng)制規(guī)定。

歐盟的《一般數(shù)據(jù)保護(hù)規(guī)例》：如有關(guān)違規(guī)情況對(duì)使用者私隱構(gòu)成不利影響，則須在72小時(shí)內(nèi)報(bào)告。

美國(guó)的《加州消費(fèi)者隱私法》：如違反有關(guān)規(guī)例，須立即報(bào)告，并毋須事先通知。

此外，違反法規(guī)或泄露數(shù)據(jù)可能導(dǎo)致企業(yè)遭受重罰：

中國(guó)的《網(wǎng)絡(luò)安全法》：有關(guān)當(dāng)局可發(fā)出警告或沒收非法收入。亦可就有關(guān)違規(guī)行為處以相當(dāng)于非法收入1至10倍的罰款。如沒有產(chǎn)生非法收入，則最高可罰款人民幣100萬元。就嚴(yán)重違規(guī)情況而言，網(wǎng)絡(luò)營(yíng)運(yùn)或網(wǎng)站須予中止或關(guān)閉。相關(guān)許可證及牌照或會(huì)被注消，相關(guān)負(fù)責(zé)人及董事可能會(huì)面臨個(gè)人法律責(zé)任并須繳付罰款。

香港的《個(gè)人資料（私隱）條例》：私隱專員公署可發(fā)出執(zhí)法通知，要求數(shù)據(jù)用戶采取措施糾正違規(guī)行為。未能遵守執(zhí)法通知者即屬違法，最高可處以罰款50,000港元及最高監(jiān)禁兩年，如有關(guān)罪行在定罪后持續(xù)，將處以每日罰款1,000港元。如屬再犯，將被處以額外及更高刑罰。

歐盟的《一般數(shù)據(jù)保護(hù)規(guī)例》：行政罰款可能高達(dá)2000萬歐元，或全球年度營(yíng)業(yè)總額的4%。

美國(guó)的《加州消費(fèi)者隱私法》：違規(guī)者須就每次違規(guī)被處以最多2,500美元的民事罰款，或就每次蓄意違規(guī)被處以7,500美元的民事罰款。

遵守法規(guī)

隨著數(shù)據(jù)保護(hù)重要性的關(guān)注日漸提高，保護(hù)個(gè)人數(shù)據(jù)免受未經(jīng)授權(quán)的存取對(duì)現(xiàn)今企業(yè)的風(fēng)險(xiǎn)管理至關(guān)重要。企業(yè)在確保遵守私隱法規(guī)時(shí)，應(yīng)采取以下3個(gè)步驟。

第一步，缺口分析。企業(yè)應(yīng)就識(shí)別本企業(yè)適用法規(guī)及個(gè)人數(shù)據(jù)泄露的可能性進(jìn)行全面風(fēng)險(xiǎn)評(píng)估，以判斷所需的跟進(jìn)措施。

第二，數(shù)據(jù)保護(hù)影響評(píng)估。管理層應(yīng)審閱并確保所有文件均已妥善準(zhǔn)備，且確定已遵守相關(guān)的私隱法規(guī)。數(shù)據(jù)保護(hù)主任可協(xié)助厘定與企業(yè)特定環(huán)境相關(guān)的文件。文件妥善準(zhǔn)備后，內(nèi)部審計(jì)職能可就有關(guān)措施的成效進(jìn)行獨(dú)立審閱，以作為內(nèi)部審計(jì)控制的一部分。

最后，提高對(duì)私隱監(jiān)管的意識(shí)。企業(yè)應(yīng)向董事會(huì)及高級(jí)管理層匯報(bào)數(shù)據(jù)保護(hù)影響評(píng)估的結(jié)果。此外，參與數(shù)據(jù)處理的內(nèi)部持份者應(yīng)可存取定期狀況報(bào)告，包括內(nèi)部審計(jì)職能所收集的證據(jù)。此外，企業(yè)的內(nèi)部溝通及培訓(xùn)將有助提高控制者及處理者對(duì)自身執(zhí)行私隱法規(guī)義務(wù)的認(rèn)識(shí)。

預(yù)防違反私隱法規(guī)的方法

企業(yè)在預(yù)防違反私隱及數(shù)據(jù)保護(hù)相關(guān)法規(guī)時(shí)，可考慮以下幾個(gè)方面的措施：

通知數(shù)據(jù)當(dāng)事人

企業(yè)應(yīng)發(fā)出私隱聲明。在收集數(shù)據(jù)之時(shí)或之前，數(shù)據(jù)當(dāng)事人應(yīng)采用明確或暗喻方式告知其有責(zé)任或可自愿提供數(shù)據(jù)，以及其未能提供責(zé)任上所需數(shù)據(jù)所承擔(dān)的后果。數(shù)據(jù)當(dāng)事人亦應(yīng)明確告知數(shù)據(jù)使用目的、數(shù)據(jù)有可能移交的對(duì)象、其要求存取及更正數(shù)據(jù)的權(quán)利，以及負(fù)責(zé)處理任何有關(guān)要求的人員。

征求同意

根據(jù)《網(wǎng)絡(luò)安全法》，如網(wǎng)絡(luò)產(chǎn)品及服務(wù)具有收集用戶數(shù)據(jù)的功能，該供貨商須明確通知其使用者并取得他們的同意。根據(jù)《一般數(shù)據(jù)保護(hù)規(guī)例》，用戶同意是數(shù)據(jù)處理的其中一項(xiàng)合法依據(jù)，另外還有其他五項(xiàng)依據(jù)。企業(yè)應(yīng)經(jīng)常選擇最真實(shí)確切反映與有關(guān)人士的關(guān)系及數(shù)據(jù)處理用途的合法依據(jù)。如企業(yè)依賴取得同意的合法依據(jù)，則需征求數(shù)據(jù)當(dāng)事人對(duì)「接受機(jī)制」的同意。企業(yè)不應(yīng)使用預(yù)先勾選的方格或任何其他默認(rèn)同意的方法。

數(shù)據(jù)保存

個(gè)人數(shù)據(jù)的保存時(shí)間，不得超過將其保存以貫徹該等數(shù)據(jù)被使用于或會(huì)被使用于的目的所需的時(shí)間。

數(shù)據(jù)保護(hù)

企業(yè)應(yīng)采納設(shè)計(jì)及預(yù)設(shè)的數(shù)據(jù)保護(hù)機(jī)制，對(duì)高風(fēng)險(xiǎn)的數(shù)據(jù)處理進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估。此外，還需特別考慮(a) 數(shù)據(jù)類型及可能造成的損害；(b) 儲(chǔ)存數(shù)據(jù)的地點(diǎn)；(c) 儲(chǔ)存數(shù)據(jù)的設(shè)備所包含的安全措施；(d) 為確保存取數(shù)據(jù)的人具有良好操守、審慎態(tài)度及辦事能力而采取的措施；(e) 為確保安全傳送數(shù)據(jù)而采取的措施；以保護(hù)個(gè)人數(shù)據(jù)。

如企業(yè)屬公共機(jī)構(gòu)（以司法身份行事的法院除外）；或其有系統(tǒng)地監(jiān)控大量人士（如進(jìn)行在線行為跟蹤）；或其處理大量特殊類別數(shù)據(jù)或涉及刑事罪行及違法行的數(shù)據(jù)，則須根據(jù)《一般數(shù)據(jù)保護(hù)規(guī)例》委任數(shù)據(jù)保護(hù)主任。數(shù)據(jù)保護(hù)主任可受聘于多家企業(yè)。

如數(shù)據(jù)使用者在香港內(nèi)或以外聘用數(shù)據(jù)處理者代為處理個(gè)人數(shù)據(jù)，該數(shù)據(jù)使用者必須以合同或其他方式，防止處理的數(shù)據(jù)未經(jīng)授權(quán)被意外存取、處理、刪除、喪失、使用或轉(zhuǎn)移。

監(jiān)管

企業(yè)應(yīng)實(shí)施技術(shù)及組織措施，以確保遵守法規(guī)。此外，企業(yè)可尋求專業(yè)法律意見，協(xié)助遵守私隱法規(guī)。

為遵守?cái)?shù)據(jù)保護(hù)監(jiān)管要求，有關(guān)加強(qiáng)網(wǎng)絡(luò)安全的若干要訣包括：

防衛(wèi)線

?防火墻邊界及互聯(lián)網(wǎng)閘道

?訪問控制

?惡意軟件防護(hù)

?修補(bǔ)程序管理及軟件更新

?數(shù)據(jù)加密

?就數(shù)據(jù)共享、儲(chǔ)存及處置方面的風(fēng)險(xiǎn)培訓(xùn)員工

云端運(yùn)算

?與云端運(yùn)算服務(wù)供貨商就有關(guān)訪問控制、信息保留及刪除數(shù)據(jù)等條款訂立合同