個資辦查企業防私隱外洩成效 五指標評估

銀行保險業護個資八成滿意

【本報消息】個人資料保護辦公室訊：澳門個人資料保護辦公室早前與全球十五個私隱執法機構開展第七屆“私隱風險搜尋聯合行動”(Privacy Sweep)，以問卷方式初步評估部分澳門私營機構的個人資料處理風險。個資辦期望透過是次行動，引導機構從“全球私隱執法網絡”所訂定的五項指標着手改善或優化有關個人資料保護的流程及意識，以及提供一些值得參考的做法。

現今國際上強調私隱問責(Privacy Accountability)，即推動機構提升對保護個人資料的意識，認識其所應負之責任，以及知悉違法後所帶來的不良後果。為此，國際性組織“全球私隱執法網絡”特意舉辦“私隱風險搜尋聯合行動”，今屆以資料外洩通報作為主題，回應歐盟《資料保護總規章》內有關強制資料外洩事故通報的義務。

按國際規則評估

雖然澳門第八／二○○五號法律《個人資料保護法》尚未有相關規定，但因應第十三／二○一九號法律《網絡安全法》的生效，關鍵基礎設施私人營運者有義務在發生網絡安全事故時，通報相關監管實體，以及每年向其提交網絡安全報告。鑑於有關機制切合本次行動的主題，在考慮機構的性質及處理資料數量等因素的前提下，個資辦選定了上述法律所定義的“關鍵基礎設施私人營運者”中的銀行業及保險業作為被評估對象。

個資辦依據“全球私隱執法網絡”所定的規則，從多個指標開展評估工作，例如對規範資料外洩法制框架的意識、處理資料外洩的內部程序、如何預防同類事件再次發生等。

冀優化資訊系統

評估結果顯示，機構在各項指標的自我評分均有逾八成或以上為“非常好”或“滿意”，反映被評機構普遍有信心應付資料外洩事故。雖然如此，個資辦亦需強調，科技發展一日千里，機構必須時刻保持警惕，不斷完善和優化資訊系統及相關政策，尤其是在處理龐大客戶的個人資料時，必須避免發生資料外洩，否則有可能對當事人造成不可逆轉的傷害，並因違反法律規定而承擔相應之責任。

個資辦期望透過是次行動，藉着引導機構從“全球私隱執法網絡”所訂定的五項指標着手完善或優化有關個人資料保護的流程及意識，以及提供一些值得參考的做法，例如有機構會要求在發生嚴重資料外洩時，必須在指定時間內向公司匯報，也會定期進行自我風險評估；在處理資料外洩的內部程序方面，制訂適當的指引、施行細則等；設立個人資料保護專責人員或專門團隊負責處理資料外洩事故；在實施有效管理方面，保存資料外洩或潛在外洩事故記錄或日誌，並持續監控機構以達到足夠的資料保護標準等。此外，個資辦亦節錄了部分機構在私隱政策中對“違規事故／重大事故”的部分定義，以及預防資料外洩事故再次發生的大致可行流程，以供大眾參考。

二○一九年“私隱風險搜尋聯合行動”報告已上載至個資辦網頁www.gpdp.gov.mo的“下載區”內，市民可閱覽。