網絡安全:歐盟私隱新例 香港都關事

文章日期:2018年5月29日

【明報專訊】不知你最近上網時有沒有發現,很多網站都彈出了信息,請求你同意更新你的私隱政策?其中一個原因是要配合歐盟於5月25日正式生效的《通用數據保障條例》。你可能問,歐盟的私隱條例與我何干?即使你的機構並不在歐盟境內,依然可能受到該法例影響。

歐盟於私隱法例方面可謂領先全球,新法例全名為General Data Protection Regulation(簡稱GDPR),早於2016年通過,取代舊有資料保障條例,設有兩年實施期,今年5月25日正式生效。新例的生效範圍並不限於歐盟本土,只要任何人或機構管有歐盟公民的個人資料用作提供貨品或服務,或者記錄其行為(包括網站設有的Cookies),即使只是於香港開設網站,或者是酒店及物流等行業記錄到個人資料,都受規管。不難想像,以香港的國際化程度,即使只做本地生意,都可能接觸到持有歐盟國家護照的香港居民,而會接觸到旅客的行業就更不可避免受到影響。

泄漏資料 罰款可達1.8億港元

新法例要求機構委任資料保障主任(Data Protection Officer),監督及履行GDPR所要求的措施:包括定期評估資料保障的影響評估以識別存有的個人資料及其風險、確保有足夠的保障及預設措施、記錄處理資料的活動、制定資料處理政策。新法例更把管有個人資料的機構,分為對資料使用有決定權的控制者(Controller)及只負責處理的處理者(Processor),界定不同的責任,以應對現時十分普遍的外判服務模式。

值得注意的是,如果你的網站或系統存有歐洲公民的個人資料,一旦發現事故泄漏個人資料,根據GDPR,你必須於72小時內通知歐盟的監管機構。若觸犯法例,視乎情况嚴重,最高罰款為2000萬歐元(約1.83億港元)或機構於全球的4%營收,以較高者為準。

「提供個人資料」選項 不可預設同意

除了泄漏個人資料要罰款外,另一個網站容易違反的範圍為「預設設定」。GDPR對「同意」(Consent)的定義有更嚴格的規定,網站不可以把「同意提供個人資料」的選項預設為剔選同意,也不可以假定用戶不作任何選擇的情况下,等同於同意。換句話說,用戶必須自行剔選同意,才可當作得到授權。而「同意」是應當有自由選擇權利,若個人資料並非必要用作履行服務時,服務機構不可以將「同意」視作提供服務的必要條件。

香港私隱專員公署已於4月時推出小冊子《歐洲聯盟〈通用數據保障條例〉2016》供市民參考。同時,坊間不同機構都推出大大小小的GDPR講座及工作坊,分別以法律、科技等角度探討GDPR的影響和實踐方法。讀者如有興趣,可以留意本地各資訊保安及互聯網相關組織的最新消息。

文:羅浩林(香港互聯網協會副主席)

明報影片