去年「私隱風險搜尋聯合行動」報告評估

【特訊】澳門個人資料保護辦公室（下稱「個資辦」）早前與全球15個私隱執法機構開展第7屆「私隱風險搜尋聯合行動」（Privacy Sweep），以問卷方式初步評估部份澳門私營機構的個人資料處理風險。個資辦期望透過是次行動，引導機構從「全球私隱執法網絡」所訂定的5項指標着手改善或優化有關個人資料保護的流程及意識，以及提供一些值得參考的做法。

現今國際上強調私隱問責 (Privacy Accountability)，亦即推動機構提升對保護個人資料的意識，認識其所應負之責任，以及知悉違法後所帶來的不良後果。為此，國際性組織「全球私隱執法網絡」特意舉辦「私隱風險搜尋聯合行動」，今屆以資料外洩通報作為主題，回應歐盟《資料保護總規章》內有關強制資料外洩事故通報的義務。

雖然澳門第8/2005號法律《個人資料保護法》尚未有相關規定，但因應第13/2019號法律《網絡安全法》的生效，關鍵基礎設施私人營運者有義務在發生網絡安全事故時，通報相關監管實體，以及每年向其提交網絡安全報告。鑑於有關機制切合本次行動的主題，在考慮機構的性質及處理資料數量等因素的前提下，個資辦選定了上述法律所定義的「關鍵基礎設施私人營運者」中的銀行業及保險業作為被評估對象。

個資辦依據「全球私隱執法網絡」所定的規則，從多個指標開展評估工作，例如對規範資料外洩法制框架的意識、處理資料外洩的內部程序、如何預防同類事件再次發生等。

評估結果顯示，機構在各項指標的自我評分均有逾八成或以上為「非常好」或「滿意」，反映被評機構普遍有信心應付資料外洩事故。雖然如此，個資辦亦需強調，科技發展一日千里，機構必需時刻保持警惕，不斷完善和優化資訊系統及相關政策，尤其是在處理龐大客戶的個人資料時，必須避免發生資料外洩，否則有可能對當事人造成不可逆轉的傷害，並因違反法律規定而承擔相應之責任。

個資辦期望透過是次行動，藉着引導機構從「全球私隱執法網絡」所訂定的五項指標着手完善或優化有關個人資料保護的流程及意識，以及提供一些值得參考的做法，例如有機構會要求在發生嚴重資料外洩時，必須在指定時間內向公司滙報，也會定期進行自我風險評估；在處理資料外洩的內部程序方面，制定適當的指引、施行細則等；設立個人資料保護專責人員或專門團隊負責處理資料外洩事故；在實施有效管理方面，保存資料外洩或潛在外洩事故記錄或日誌，並持續監控機構以達到足夠的資料保護標準等。此外，個資辦亦節錄了部分機構在私隱政策中對「違規事故／重大事故」的部份定義，以及預防資料外洩事故再次發生的大致可行流程，以供大眾參考。

2019年「私隱風險搜尋聯合行動」報告已上載至個資辦網頁www.gpdp.gov.mo的「下載區」內，歡迎市民閱覽。