澳门个人资料保护办公室(下称“个资办”)早前与全球15个私隐执法机构开展第7届“私隐风险搜寻联合行动”(Privacy Sweep),以问卷方式初步评估部份澳门私营机构的个人资料处理风险。个资办期望透过是次行动,引导机构从“全球私隐执法网络”所订定的5项指标着手改善或优化有关个人资料保护的流程及意识,以及提供一些值得参考的做法。
现今国际上强调私隐问责 (Privacy Accountability),亦即推动机构提升对保护个人资料的意识,认识其所应负之责任,以及知悉违法后所带来的不良后果。为此,国际性组织“全球私隐执法网络”特意举办“私隐风险搜寻联合行动”,今届以资料外泄通报作为主题,回应欧盟《资料保护总规章》内有关强制资料外泄事故通报的义务。
虽然澳门第8/2005号法律《个人资料保护法》尚未有相关规定,但因应第13/2019号法律《网络安全法》的生效,关键基础设施私人营运者有义务在发生网络安全事故时,通报相关监管实体,以及每年向其提交网络安全报告。鉴于有关机制切合本次行动的主题,在考虑机构的性质及处理资料数量等因素的前提下,个资办选定了上述法律所定义的“关键基础设施私人营运者”中的银行业及保险业作为被评估对象。
个资办依据“全球私隐执法网络”所定的规则,从多个指标开展评估工作,例如对规范资料外泄法制框架的意识、处理资料外泄的内部程序、如何预防同类事件再次发生等。
评估结果显示,机构在各项指标的自我评分均有逾八成或以上为“非常好”或“满意”,反映被评机构普遍有信心应付资料外泄事故。虽然如此,个资办亦需强调,科技发展一日千里,机构必需时刻保持警惕,不断完善和优化资讯系统及相关政策,尤其是在处理庞大客户的个人资料时,必须避免发生资料外泄,否则有可能对当事人造成不可逆转的伤害,并因违反法律规定而承担相应之责任。
个资办期望透过是次行动,藉着引导机构从“全球私隐执法网络”所订定的五项指标着手完善或优化有关个人资料保护的流程及意识,以及提供一些值得参考的做法,例如有机构会要求在发生严重资料外泄时,必须在指定时间内向公司汇报,也会定期进行自我风险评估;在处理资料外泄的内部程序方面,制定适当的指引、施行细则等;设立个人资料保护专责人员或专门团队负责处理资料外泄事故;在实施有效管理方面,保存资料外泄或潜在外泄事故记录或日志,并持续监控机构以达到足够的资料保护标准等。此外,个资办亦节录了部分机构在私隐政策中对“违规事故/重大事故”的部份定义,以及预防资料外泄事故再次发生的大致可行流程,以供大众参考。
2019年“私隐风险搜寻联合行动”报告已上载至个资办网页www.gpdp.gov.mo的“下载区”内,欢迎市民阅览。