市民对私隐的关注大增,除了在风眼的科企应用服务之外,一般企业亦有需要从内部着手加强私隐处理。从事该领域工作的执业律师分享,本港企业界对私隐的意识已有所提升,但相关工作仍有改善空间,特别是需要加强员工的培训。
高叶律师行合伙人邓嘉敏(受访者提供图片)
高叶律师行合伙人邓嘉敏曾任私隐专员公署等机构,现亦有为企业提供私隐方面的法律意见。她指出,私隐议题虽然一直存在,但近两年因线上服务愈来愈普及,关注自然升温,“特别是疫情影响,线上做交易以至工作变得必须,很多人以前较少接触线上服务,到现在才发现私隐是高风险问题。”她举例,律师业界以前亦不曾认真考虑要全面在家工作,到去年要推行,工作期间所涉及的个人、机密资料,其处理方式或需由头开始策划。
留下数码足迹 身份易被锁定
她指出,现时有关企业私隐热议有两项,首先是在家工作所引伸出来的私隐安全。“过往不是很多公司会把工作内容上传网络,现在公司要处理数据保安,成本颇大,员工亦要时间适应。”其二,是因个人社交生活愈来愈依赖网络,仍有很多市民觉得,在社交媒体公开部分个人信息无伤大雅,“其实任何分享都会留下数码足迹,收集这些数据便很容易锁定用户身份。”她强调,以往数据泄露事件多是涉及人为因素,但现在运用如数据抓取(Data scraping)等新兴技术,透过收集、配对,详细用户数据亦唾手可得,这些行为甚至不一定是非法的,“消费者绝对有需要在提交任何数据之前想清楚”。
近年发生多宗严重数据外泄事故,以及欧盟的《一般数据保护规范》(GDPR)实施,其实香港企业对私隐议题的认识已经有不少改进。邓嘉敏解释,至今GDPR的成效算是大,已有不少机构被罚款,证明条例有阻吓力,亦让企业加快留意运作上有否涉及私隐问题,“它能帮助企业自身做好数据处理工作。”
她续指,本港的私隐条例仍有很多需要修改的空间,例如在香港,数据外泄事故通报并非强制性,完全属于自愿性质。虽然如此,私隐专员建议涉及私隐安全事故时,港企要在合理情况下尽快向受影响人士通报,“相比欧盟的GDPR就有明确的72小时通报要求。”她指出,香港预料在可见将来会订立更详细的私隐法规,但立法毕竟需时,现阶段本港相关工作重点侧重于教育、宣传。但她强调,香港企业认同保护私隐绝对是大趋势,亦愈来愈多企业会就此议题寻求专业意见。
数码大趋势 宜加强教育宣传
数码时代不会逆转,企业需要加强员工对处理私隐议题的知识与敏感度,其中,企业有需要定期为员工提供私隐方面的训练,提供及时的知识,邓嘉敏说:“例如在员工迎新时,企业要提及私隐处理方式,当有新的私隐政策或指引,亦要尽快通知全体员工。”
她又提到,因应GDPR,不少企业都增设专门处理私隐数据的职位,“以前或只由行政、人力资源部门处理,但公众意识提高,亦有不少人会向企业索取相关资料,须在限时内答复,工作量不算少。”她解释,欧洲机构甚至会要求这些职位需具有关资历才可担任,亦有相关证书可修读,港企亦可参考有关做法。
完整考虑各环节 企业“看宽一点”
要应对私隐危机,由教育出发方是长久之计。高叶律师行合伙人邓嘉敏指出,企业对于私隐处理要“看宽一点”,从完整私隐周期去考虑问题,即收集数据、向客户披露数据的用途与储存方式、数据用完之后的妥善处理,各个环节均要兼顾。特别是储存与处理,“不应保存过多信息,例如会员会籍数据,过期后便应有机制马上删去。”
她续指,纵使企业警觉性已提高,但仍有很多改善空间,例如保护数据涉及网络保安技术,必须由相关IT专业人士协助,“黑客手法进步得很快,有做保安亦不一定安全,何况不做?”此外,要合理地对待、保护客户,例如私隐收集条文中,在重要项目选用细小字体,这类做法便不理想。
而消费者在使用任何服务时,都有责任看清楚相关条文,才可保障自己,如近月的社交平台争议后,公众才发现使用数码服务后数据有可能交予第三方,消费者不应贪方便,完全不去了解服务条款。此外,网安知识也需增强,“以社交平台为例,不要以为加密便算安全,透过屏幕截图数据亦有可能外泄”。
摘录自香港经济日报。
暂无读者评论!