數(shù)字時代:通用數(shù)據(jù)保障條例及網(wǎng)絡(luò)風(fēng)險
2019年04月08日
隨著世界日益趨向被數(shù)據(jù)主導(dǎo),消費者對保障私隱的意識日益提高。為應(yīng)對這個轉(zhuǎn)變,新的法規(guī)亦被制定實施。因此,企業(yè)應(yīng)密切留意監(jiān)管要求,并適時采取相應(yīng)措施以確保嚴(yán)格遵守相關(guān)條例。
中華人民共和國(中國)、香港、歐洲聯(lián)盟(歐盟)及美國等不同司法管轄區(qū)均對數(shù)據(jù)保護及私隱實施監(jiān)管要求。
監(jiān)管環(huán)境
中國
中國沒有單一的綜合數(shù)據(jù)保護及私隱法,但相關(guān)規(guī)條可在不同的法規(guī)中找到。此外,《網(wǎng)絡(luò)安全法》自2017年6月1日起實施,并成為首條針對網(wǎng)絡(luò)安全、數(shù)據(jù)保護及私隱的國家級法律。
香港
自1996年12月20日起,香港實行《個人資料(私隱)條例》以規(guī)管私隱保障。有關(guān)執(zhí)法權(quán)歸屬個人資料私隱專員公署。
歐盟
自2018年5月25日起,《一般數(shù)據(jù)保護規(guī)例》于歐盟直接具有約束力,并附帶2年寬限期,主要旨在給予大眾對其個人數(shù)據(jù)的控制權(quán),并通過統(tǒng)一歐盟內(nèi)的規(guī)例以簡化國際商務(wù)的監(jiān)管環(huán)境。
美國
在美國,不同特定地區(qū)存有多項針對私隱的聯(lián)邦及州法律。例如,《加州消費者隱私法》將于2020年1月1日起生效,為消費者引入新的隱私權(quán),并迫使在加州開展業(yè)務(wù)的企業(yè)對其私隱保障政策作結(jié)構(gòu)性改革。
適用范圍
中國
《網(wǎng)絡(luò)安全法》適用于中國境內(nèi)的網(wǎng)絡(luò)建設(shè)、經(jīng)營、維護和使用以及網(wǎng)絡(luò)安全的監(jiān)督及管理。
香港
《個人資料(私隱)條例》適用于獨自、聯(lián)同或與他人共同控制在香港或從香港所收集、持有、處理或使用的個人數(shù)據(jù)之?dāng)?shù)據(jù)用戶。
歐盟
《一般數(shù)據(jù)保護規(guī)例》適用于在歐盟擁有業(yè)務(wù)的數(shù)據(jù)處理者或管理人,以及在歐盟以外經(jīng)營業(yè)務(wù)并向歐盟個別人士提供商品或服務(wù)、監(jiān)督其行為的人士。
美國
《加州消費者隱私法》適用于達到以下至少其中一個門檻并位于加州的業(yè)務(wù):(1)每年收入達$25,000,000美元或以上的業(yè)務(wù);(2)每年購買、接收、出售或分享50,000名或以上消費者、家庭或設(shè)備的個人數(shù)據(jù)以作商業(yè)用途的業(yè)務(wù);(3)其50%或以上的年收入是通過出售消費者個人數(shù)據(jù)所賺得的。
大部份數(shù)據(jù)保護及私隱相關(guān)的法規(guī)僅受限于執(zhí)行該法規(guī)的國家或地區(qū),惟《一般數(shù)據(jù)保護規(guī)例》具有境外的法律效力,即倘若企業(yè)不是設(shè)于歐盟地區(qū),但其業(yè)務(wù)涉及處理身處歐盟的數(shù)據(jù)當(dāng)事人之個人數(shù)據(jù),而處理工作與提供商品或服務(wù)有關(guān),則在歐盟以外成立的企業(yè)將仍須受《一般數(shù)據(jù)保護規(guī)例》約束。于評估適用法規(guī)時,企業(yè)需加倍注意。
數(shù)據(jù)保護主任
在各個司法管轄區(qū)內(nèi),企業(yè)或須委任數(shù)據(jù)保護主任,以確保企業(yè)根據(jù)適用法規(guī)處理涉及私隱的個人數(shù)據(jù):
中國
根據(jù)國家信息安全技術(shù)標(biāo)準(zhǔn)及個人信息安全規(guī)范規(guī)定,如企業(yè)的主要業(yè)務(wù)涉及數(shù)據(jù)處理,而其擁有超過200名員工并處理超過500,000人的個人數(shù)據(jù),或預(yù)期于12個月內(nèi)處理超過500,000人的個人數(shù)據(jù),該企業(yè)則須委任數(shù)據(jù)保護主任。
香港
香港并無法例規(guī)定企業(yè)須委任數(shù)據(jù)保護主任。然而,私隱專員于2014年2月發(fā)布了最佳實務(wù)指引,以鼓勵數(shù)據(jù)用戶委派人員監(jiān)察《個人資料(私隱)條例》的合規(guī)情況。
歐盟
根據(jù)《一般數(shù)據(jù)保護規(guī)例》,如該等企業(yè)為:(1)公共機構(gòu);(2)其核心業(yè)務(wù)的性質(zhì)、范圍或目的牽涉經(jīng)營數(shù)據(jù)處理,即須定期及有系統(tǒng)地監(jiān)控大量數(shù)據(jù);(3)其核心業(yè)務(wù)涉及處理大量敏感個人數(shù)據(jù),企業(yè)則必須委任數(shù)據(jù)保護主任。
美國
美國一般沒有委任數(shù)據(jù)保護主任的規(guī)定,但部分州法律及聯(lián)邦法律規(guī)定企業(yè)委派員工以監(jiān)管信息保安程序。
報告時限及罰則
如出現(xiàn)任何違反相關(guān)法規(guī)或數(shù)據(jù)泄露的情況,企業(yè)須及時向有關(guān)當(dāng)局及公眾做出報告及披露,不同法規(guī)的報告時限有所不同。
中國的《網(wǎng)絡(luò)安全法》:規(guī)定相關(guān)營辦商立即向主管部門報告。
香港的《個人資料(私隱)條例》:并無有關(guān)報告或披露時限的強制規(guī)定。
歐盟的《一般數(shù)據(jù)保護規(guī)例》:如有關(guān)違規(guī)情況對使用者私隱構(gòu)成不利影響,則須在72小時內(nèi)報告。
美國的《加州消費者隱私法》:如違反有關(guān)規(guī)例,須立即報告,并毋須事先通知。
此外,違反法規(guī)或泄露數(shù)據(jù)可能導(dǎo)致企業(yè)遭受重罰:
中國的《網(wǎng)絡(luò)安全法》:有關(guān)當(dāng)局可發(fā)出警告或沒收非法收入。亦可就有關(guān)違規(guī)行為處以相當(dāng)于非法收入1至10倍的罰款。如沒有產(chǎn)生非法收入,則最高可罰款人民幣100萬元。就嚴(yán)重違規(guī)情況而言,網(wǎng)絡(luò)營運或網(wǎng)站須予中止或關(guān)閉。相關(guān)許可證及牌照或會被注消,相關(guān)負(fù)責(zé)人及董事可能會面臨個人法律責(zé)任并須繳付罰款。
香港的《個人資料(私隱)條例》:私隱專員公署可發(fā)出執(zhí)法通知,要求數(shù)據(jù)用戶采取措施糾正違規(guī)行為。未能遵守執(zhí)法通知者即屬違法,最高可處以罰款50,000港元及最高監(jiān)禁兩年,如有關(guān)罪行在定罪后持續(xù),將處以每日罰款1,000港元。如屬再犯,將被處以額外及更高刑罰。
歐盟的《一般數(shù)據(jù)保護規(guī)例》:行政罰款可能高達2000萬歐元,或全球年度營業(yè)總額的4%。
美國的《加州消費者隱私法》:違規(guī)者須就每次違規(guī)被處以最多2,500美元的民事罰款,或就每次蓄意違規(guī)被處以7,500美元的民事罰款。
遵守法規(guī)
隨著數(shù)據(jù)保護重要性的關(guān)注日漸提高,保護個人數(shù)據(jù)免受未經(jīng)授權(quán)的存取對現(xiàn)今企業(yè)的風(fēng)險管理至關(guān)重要。企業(yè)在確保遵守私隱法規(guī)時,應(yīng)采取以下3個步驟。
第一步,缺口分析。企業(yè)應(yīng)就識別本企業(yè)適用法規(guī)及個人數(shù)據(jù)泄露的可能性進行全面風(fēng)險評估,以判斷所需的跟進措施。
第二,數(shù)據(jù)保護影響評估。管理層應(yīng)審閱并確保所有文件均已妥善準(zhǔn)備,且確定已遵守相關(guān)的私隱法規(guī)。數(shù)據(jù)保護主任可協(xié)助厘定與企業(yè)特定環(huán)境相關(guān)的文件。文件妥善準(zhǔn)備后,內(nèi)部審計職能可就有關(guān)措施的成效進行獨立審閱,以作為內(nèi)部審計控制的一部分。
最后,提高對私隱監(jiān)管的意識。企業(yè)應(yīng)向董事會及高級管理層匯報數(shù)據(jù)保護影響評估的結(jié)果。此外,參與數(shù)據(jù)處理的內(nèi)部持份者應(yīng)可存取定期狀況報告,包括內(nèi)部審計職能所收集的證據(jù)。此外,企業(yè)的內(nèi)部溝通及培訓(xùn)將有助提高控制者及處理者對自身執(zhí)行私隱法規(guī)義務(wù)的認(rèn)識。
預(yù)防違反私隱法規(guī)的方法
企業(yè)在預(yù)防違反私隱及數(shù)據(jù)保護相關(guān)法規(guī)時,可考慮以下幾個方面的措施:
通知數(shù)據(jù)當(dāng)事人
企業(yè)應(yīng)發(fā)出私隱聲明。在收集數(shù)據(jù)之時或之前,數(shù)據(jù)當(dāng)事人應(yīng)采用明確或暗喻方式告知其有責(zé)任或可自愿提供數(shù)據(jù),以及其未能提供責(zé)任上所需數(shù)據(jù)所承擔(dān)的后果。數(shù)據(jù)當(dāng)事人亦應(yīng)明確告知數(shù)據(jù)使用目的、數(shù)據(jù)有可能移交的對象、其要求存取及更正數(shù)據(jù)的權(quán)利,以及負(fù)責(zé)處理任何有關(guān)要求的人員。
征求同意
根據(jù)《網(wǎng)絡(luò)安全法》,如網(wǎng)絡(luò)產(chǎn)品及服務(wù)具有收集用戶數(shù)據(jù)的功能,該供貨商須明確通知其使用者并取得他們的同意。根據(jù)《一般數(shù)據(jù)保護規(guī)例》,用戶同意是數(shù)據(jù)處理的其中一項合法依據(jù),另外還有其他五項依據(jù)。企業(yè)應(yīng)經(jīng)常選擇最真實確切反映與有關(guān)人士的關(guān)系及數(shù)據(jù)處理用途的合法依據(jù)。如企業(yè)依賴取得同意的合法依據(jù),則需征求數(shù)據(jù)當(dāng)事人對「接受機制」的同意。企業(yè)不應(yīng)使用預(yù)先勾選的方格或任何其他默認(rèn)同意的方法。
數(shù)據(jù)保存
個人數(shù)據(jù)的保存時間,不得超過將其保存以貫徹該等數(shù)據(jù)被使用于或會被使用于的目的所需的時間。
數(shù)據(jù)保護
企業(yè)應(yīng)采納設(shè)計及預(yù)設(shè)的數(shù)據(jù)保護機制,對高風(fēng)險的數(shù)據(jù)處理進行數(shù)據(jù)保護影響評估。此外,還需特別考慮(a) 數(shù)據(jù)類型及可能造成的損害;(b) 儲存數(shù)據(jù)的地點;(c) 儲存數(shù)據(jù)的設(shè)備所包含的安全措施;(d) 為確保存取數(shù)據(jù)的人具有良好操守、審慎態(tài)度及辦事能力而采取的措施;(e) 為確保安全傳送數(shù)據(jù)而采取的措施;以保護個人數(shù)據(jù)。
如企業(yè)屬公共機構(gòu)(以司法身份行事的法院除外);或其有系統(tǒng)地監(jiān)控大量人士(如進行在線行為跟蹤);或其處理大量特殊類別數(shù)據(jù)或涉及刑事罪行及違法行的數(shù)據(jù),則須根據(jù)《一般數(shù)據(jù)保護規(guī)例》委任數(shù)據(jù)保護主任。數(shù)據(jù)保護主任可受聘于多家企業(yè)。
如數(shù)據(jù)使用者在香港內(nèi)或以外聘用數(shù)據(jù)處理者代為處理個人數(shù)據(jù),該數(shù)據(jù)使用者必須以合同或其他方式,防止處理的數(shù)據(jù)未經(jīng)授權(quán)被意外存取、處理、刪除、喪失、使用或轉(zhuǎn)移。
監(jiān)管
企業(yè)應(yīng)實施技術(shù)及組織措施,以確保遵守法規(guī)。此外,企業(yè)可尋求專業(yè)法律意見,協(xié)助遵守私隱法規(guī)。
為遵守數(shù)據(jù)保護監(jiān)管要求,有關(guān)加強網(wǎng)絡(luò)安全的若干要訣包括:
防衛(wèi)線
?防火墻邊界及互聯(lián)網(wǎng)閘道
?訪問控制
?惡意軟件防護
?修補程序管理及軟件更新
?數(shù)據(jù)加密
?就數(shù)據(jù)共享、儲存及處置方面的風(fēng)險培訓(xùn)員工
云端運算
?與云端運算服務(wù)供貨商就有關(guān)訪問控制、信息保留及刪除數(shù)據(jù)等條款訂立合同
數(shù)據(jù)處置
?選擇信息技術(shù)資產(chǎn)處置公司
?對處置過程進行風(fēng)險評估
來源:
DLA Diper - 世界各地的數(shù)據(jù)保護法規(guī)介紹
《一般數(shù)據(jù)保護規(guī)例》網(wǎng)頁
《加州消費者隱私法》網(wǎng)頁
lawinfochina.com -《網(wǎng)絡(luò)安全法》
電子版香港法例 - 《個人資料(私隱)條例》