跳過導航

個資辦公佈2019年“私隱風險搜尋聯合行動”報告的評估結果


澳門個人資料保護辦公室(下稱“個資辦”)早前與全球15個私隱執法機構開展第7屆“私隱風險搜尋聯合行動”(Privacy Sweep),以問卷方式初步評估部份澳門私營機構的個人資料處理風險。個資辦期望透過是次行動,引導機構從“全球私隱執法網絡”所訂定的5項指標着手改善或優化有關個人資料保護的流程及意識,以及提供一些值得參考的做法。

現今國際上強調私隱問責 (Privacy Accountability),亦即推動機構提升對保護個人資料的意識,認識其所應負之責任,以及知悉違法後所帶來的不良後果。為此,國際性組織“全球私隱執法網絡”特意舉辦“私隱風險搜尋聯合行動”,今屆以資料外洩通報作為主題,回應歐盟《資料保護總規章》內有關強制資料外洩事故通報的義務。

雖然澳門第8/2005號法律《個人資料保護法》尚未有相關規定,但因應第13/2019號法律《網絡安全法》的生效,關鍵基礎設施私人營運者有義務在發生網絡安全事故時,通報相關監管實體,以及每年向其提交網絡安全報告。鑑於有關機制切合本次行動的主題,在考慮機構的性質及處理資料數量等因素的前提下,個資辦選定了上述法律所定義的“關鍵基礎設施私人營運者”中的銀行業及保險業作為被評估對象。

個資辦依據“全球私隱執法網絡”所定的規則,從多個指標開展評估工作,例如對規範資料外洩法制框架的意識、處理資料外洩的內部程序、如何預防同類事件再次發生等。

評估結果顯示,機構在各項指標的自我評分均有逾八成或以上為“非常好”或“滿意”,反映被評機構普遍有信心應付資料外洩事故。雖然如此,個資辦亦需強調,科技發展一日千里,機構必需時刻保持警惕,不斷完善和優化資訊系統及相關政策,尤其是在處理龐大客戶的個人資料時,必須避免發生資料外洩,否則有可能對當事人造成不可逆轉的傷害,並因違反法律規定而承擔相應之責任。

個資辦期望透過是次行動,藉着引導機構從“全球私隱執法網絡”所訂定的五項指標着手完善或優化有關個人資料保護的流程及意識,以及提供一些值得參考的做法,例如有機構會要求在發生嚴重資料外洩時,必須在指定時間內向公司滙報,也會定期進行自我風險評估;在處理資料外洩的內部程序方面,制定適當的指引、施行細則等;設立個人資料保護專責人員或專門團隊負責處理資料外洩事故;在實施有效管理方面,保存資料外洩或潛在外洩事故記錄或日誌,並持續監控機構以達到足夠的資料保護標準等。此外,個資辦亦節錄了部分機構在私隱政策中對“違規事故/重大事故”的部份定義,以及預防資料外洩事故再次發生的大致可行流程,以供大眾參考。

2019年“私隱風險搜尋聯合行動”報告已上載至個資辦網頁www.gpdp.gov.mo的“下載區”內,歡迎市民閱覽。



此頁面有問題嗎?

幫助我們改進GOV.MO

* 必填項

提交