EN

6 分钟 2020年4月10日
Woman looking at the skyscrapers

应对新型冠状病毒肺炎: 数据保护风险和管控策略.

作者 郑宝玉 Kareena Teh

合伙人

直线︰+852 2629 3207 | 手机︰+852 9661 5325 | kareena.teh@eylaw.com.hk

6 分钟 2020年4月10日
Related topics 最新视野

由于新型冠状病毒肺炎的爆发,许多公司一直在密切关注员工的个人信息和健康资料。还有一些公司一直在采取灵活的工作安排,以最大限度地减少由于员工和客户密切接触而导致的健康风险,从而促进了数百万次的在线互动和交易。

些活动造成了额外的数据安全风险,如果管理不当,可能会导致违规以及由此造成的声誉和业务损失、监管执法行动甚至诉讼。

 

在本文中,我们提出了推荐的方案以应对新型冠状病毒肺炎所带来的额外数据安全风险。

设计数据保护方案以降低数据安全风险

设计数据保护规范的第一步是识别正在收集、处理和使用的资料类型。

在新型冠状病毒肺炎的疫情下,至少有四种类型的收集资料需要保护:

  • 员工个人信息:包括员工姓名、员工身份证、地址、亲属和位置信息。
  • 员工健康资料:包括员工的健康资料和健康历史,如收集员工是否有特定症状等信息。
  • 客户的个人和机密资料:这包括客户的个人和机密信息,如客户的姓名、身份证/护照号码、工作和居住地址、电子邮件地址、电话号码和银行账户信息。
  • 公司的敏感和机密信息:包括所有权商业机密,以及根据内地法律可能被视为敏感信息的关键信息基础设施和/或国家机密,以及所有其他敏感和机密信息。

在确定了正在收集、处理和使用的资料类型后,我们建议各公司制定专门的保密和安全方案或重新审查现有方案,以确保降低因新型冠状病毒肺炎爆发而导致的资料泄露的风险。

我们建议在制定这些规范时,应当考虑以下列出的五个关键注意事项。

关键注意事项一:遵守个人资料保护原则

有关制定个人资料保护方案,最重要的一个方面是确保您收集和处理的个人资料符合所有适用的个人资料保护原则。

从香港的角度来看,遵守《个人资料(私隐)条例》是关键。这些原则包括,但不限于:

  • 确保在新型冠状病毒肺炎疫情中收集的个人资料是必要的、充足的,但不是过度的。
  • 确保收集的个人资料是准确的,并且保存的时间不超过实现该资料正在或将要用于的目的(包括任何直接相关的目的)所需的时间。
  • 确保资料当事人知晓使用资料的目的,以及资料可能被转移到哪些类别的人,通常是通过个人资料保护政策或个人资料收集声明来告知资料当事人。
  • 在将数据当事人的数据用于与收集数据时的目的没有直接关系的目的时,应确保获得数据当事人自愿和明确的同意。在新冠肺炎爆发的背景下,如果您的员工是确诊的患者和/或确诊患者的密切接触者,可能有必要在未经员工同意的情况下披露员工的个人信息和/或健康信息。虽然根据《个人资料(私隐)条例》第59条,如披露资料是为了防止资料当事人或任何个人的身体健康和精神健康受到严重伤害,则可豁免上述获得同意的要求,但该等豁免有严格的适用条件,任何披露均应审慎考虑。
  • 确保您拥有随时可提供的个人数据的声明和政策,该声明和政策应规定在新冠肺炎疫情的背景下,收集和使用个人数据。
  • 确保有适当的程序来处理数据访问和数据更正的请求。需要注意的是,如果情况属于《个人资料(私隐)条例》第59条下的“健康豁免”或《个人资料(私隐)条例》第53条下的“职工规划”,则可获豁免遵从查阅资料的要求(非改正资料要求)。

关键注意事项二: 实施在家工作安排的保密措施

有关制定个人资料保护方案,第二个同等重要的方面在于对您的工作采取保密措施,以保护您公司的敏感和机密信息(可能包括客户和员工数据),而这些信息现在可以通过在家办公的环境中进行访问,安全性远不如办公室环境,特别是当您的员工与其他非员工一起生活和工作时。需要考虑实施的其他一些预防措施包括:

  • 要求对笔记本电脑使用强制性隐私屏蔽罩。
  • 接听其他人的电话时,在可能的情况下,在不同的房间接听。
  • 使用耳机进行机密通话。
  • 确保含有贵公司机密信息的纸质文件在使用后得到安全处理和/或保存。

关键注意事项三:实施数据安全措施

拥有资料保护方案,应该解决的第三个关键方面是制定安全措施来保护所有类型的数据,包括个人数据、健康数据、客户数据、公司的敏感数据和专有数据等。这些措施应该包括考虑以下问题:

  • 为防止未经授权或意外访问、处理、使用、擦除或丢失数据而采取的技术措施,值得注意的是,在家工作的安排中,员工在没有办公室安全措施的情况下也可以访问公司的网络。
  • 采取适当的数据备份措施,防止因安全问题或系统故障造成的数据意外丢失。
  • 防范网络欺诈、诈骗、钓鱼电子邮件等措施,包括核实转账请求身份的验证程序。
  • 针对数据泄露的紧急情况和行动计划。

关键注意事项四: 遵守跨境数据传输法律法规

您的方案应该涵盖的第四个方面是遵守跨境数据传输要求,同时考虑到您托管数据的司法管辖区和数据传输到的司法管辖区。内地和欧洲等司法管辖区关于数据传输的要求特别严格。需要考虑和解决的一些关键问题包括:

  • 由于新冠肺炎推动的海关封关和旅行限制,跨境转移是否变得必要或可能变得更加普遍?
  • 您是否遵守了有关跨境数据传输的所有适用的境外法律法规?例如,您有没有考虑过《欧盟通用数据保护条例》下的个人数据保护、处理和传输规则的适用性,并遵守了吗?
  • 您有没有考虑过公司的服务是否可以纳入并被视为内地《网络安全法下》的“关键信息基础设施”,如果考虑到了,您是否遵守了有关跨境数据传输的相关规定?
  • 您有没有考虑过您是否正在处理可能被归类为国家机密的信息和文件,根据国家保密规定,是否允许将相关过程联网?

关键注意事项五: 符合行业特定法规

如果您的业务受到监管,您还需要确保您的方案符合特定行业的法规。此外,如果您转向创新业务,以此克服和/或缓解在新冠肺炎疫情期间,中断提供服务的情况,您需要注意,特定的法规可能适用于所提供的某些服务领域,包括那些涉及非面对面客户业务的领域。您的方案需要考虑的一些关键问题包括:

  • 您是否检查并遵守了有关非面对面处理客户业务的具体规定?
  • 您是否检查并遵守了有关文件电子签名的具体规定以及其他具体行业的规定,如关于非面对面身份验证的规定?

结语

由于新型冠状病毒肺炎的爆发,许多公司一直在密切关注员工的个人信息和健康资料。还有一些公司一直在采取灵活的工作安排,以最大限度地减少由于员工和客户密切接触而导致的健康风险,从而促进了数百万次的在线互动和交易。这些活动造成了额外的数据安全风险,如果管理不当,可能会导致违规以及由此造成的声誉和业务损失、监管执法行动甚至诉讼。在本文中,我们提出了推荐的方案以应对新型冠状病毒肺炎所带来的额外数据安全风险。

关于本文

作者 郑宝玉 Kareena Teh

合伙人

直线︰+852 2629 3207 | 手机︰+852 9661 5325 | kareena.teh@eylaw.com.hk

Related topics 最新视野