2018年9月,連同個人資料保護辦公室(下稱個資辦)在內的全球18個私隱執法機構共同參與了由“全球私隱執法網絡” (Global Privacy Enforcement Network, GPEN)所開展的第六屆“私隱風險搜尋聯合行動”(Privacy Sweep),藉此了解負責處理個人資料的實體是否採取特定措施去滿足個資保護相關法律的要求。
今屆聯合行動以“私隱問責”為主題,這是一個公認的個人資料保護原則,一般而言,要求負責實體採取特定措施(包括業務運作、內部私隱框架及規範、培訓及私隱保護意識、機構透明度、應急事故管理及資料審計追蹤等方面)去滿足與個人資料保護相關的法律要求,並透過內部政策貫徹及落實個人資料保護的各項主要原則。
為了配合是次行動,個資辦於2018年9月向本澳13間涉及較多個人資料處理的專營或特許經營機構發出問卷,由其對自身的個人資料處理現況從既定的指標中作出評估,最終收回8份問卷。
依據“全球私隱執法網絡”所定的規則,個資辦分別從以下五個指標開展評估工作:
- 內部政策、程序及規範;
- 監控、培訓及個人資料保護意識;
- 透明度;
- 應急事故的管理及反應;
- 風險管理及資料流通。
透過是次活動,經評估後發現被評估機構對於個人資料保護的意識普遍有所提高,包括自發地指派個人資料保護專責人員、制定資料外洩應對措施及程序,以及保存個人資料動向記錄等,初步認為已能與國際對於個人資料保護的要求接軌,惟仍有進一步完善的空間,比如機構宜將道德規範融入至內部政策及個人資料處理中,以適應社會的發展需要。
隨着社會不斷發展,個人資料保護的要求亦不斷提高,相對於過往只考慮資料處理的合法性,現今國際上的普遍觀點認為負責實體在處理個人資料時更應遵從和合乎道德規範。有見及此,負責實體除需遵守《個人資料保護法》的規定外,也應多從資料當事人的角度出發,以良好行事方式訂定政策。
個資辦希望透過是次行動能為機構就“私隱問責”提供一定的參考價值,並引導機構從“全球私隱執法網絡”所訂定的五項指標着手改善或優化有關個人資料保護的流程及意識,以及提供一些值得參考的做法。
個資辦已將“私隱風險搜尋”聯合行動有關澳門情況的《“網上討論區私隱風險搜尋”報告》上載至個資辦網頁www.gpdp.gov.mo,歡迎市民閱覽。