2018年9月,连同个人资料保护办公室(下称个资办)在内的全球18个私隐执法机构共同参与了由“全球私隐执法网络” (Global Privacy Enforcement Network, GPEN)所开展的第六届“私隐风险搜寻联合行动”(Privacy Sweep),藉此了解负责处理个人资料的实体是否采取特定措施去满足个资保护相关法律的要求。
今届联合行动以“私隐问责”为主题,这是一个公认的个人资料保护原则,一般而言,要求负责实体采取特定措施(包括业务运作、内部私隐框架及规范、培训及私隐保护意识、机构透明度、应急事故管理及资料审计追踪等方面)去满足与个人资料保护相关的法律要求,并透过内部政策贯彻及落实个人资料保护的各项主要原则。
为了配合是次行动,个资办于2018年9月向本澳13间涉及较多个人资料处理的专营或特许经营机构发出问卷,由其对自身的个人资料处理现况从既定的指标中作出评估,最终收回8份问卷。
依据“全球私隐执法网络”所定的规则,个资办分别从以下五个指标开展评估工作:
- 内部政策、程序及规范;
- 监控、培训及个人资料保护意识;
- 透明度;
- 应急事故的管理及反应;
- 风险管理及资料流通。
透过是次活动,经评估后发现被评估机构对于个人资料保护的意识普遍有所提高,包括自发地指派个人资料保护专责人员、制定资料外泄应对措施及程序,以及保存个人资料动向记录等,初步认为已能与国际对于个人资料保护的要求接轨,惟仍有进一步完善的空间,比如机构宜将道德规范融入至内部政策及个人资料处理中,以适应社会的发展需要。
随着社会不断发展,个人资料保护的要求亦不断提高,相对于过往只考虑资料处理的合法性,现今国际上的普遍观点认为负责实体在处理个人资料时更应遵从和合乎道德规范。有见及此,负责实体除需遵守《个人资料保护法》的规定外,也应多从资料当事人的角度出发,以良好行事方式订定政策。
个资办希望透过是次行动能为机构就“私隐问责”提供一定的参考价值,并引导机构从“全球私隐执法网络”所订定的五项指标着手改善或优化有关个人资料保护的流程及意识,以及提供一些值得参考的做法。
个资办已将“私隐风险搜寻”联合行动有关澳门情况的《“网上讨论区私隐风险搜寻”报告》上载至个资办网页www.gpdp.gov.mo,欢迎市民阅览。