个人资料私隐专员(“私隐专员”)为(1) 机构、(2) 雇员和 (3) 视像会议软件使用者发布了指引,以加强员工在家工作安排时在使用、存储和处理个人资料时的资料安全和资料私隐措施。
在这篇文章中,我们简要地总结了私隐专员发布的三个实用指引(“指引”),并列出雇主需注意的主要要点。
机构指引
机构以资料使用者的身份收集、处理和使用个人资料时,必须遵守《个人资料(私隐)条例》(第486章)附表一规定的保障资料原则(“原则”)。简言之,该六个原则是:-
- 资料收集:必须合法地收集个人资料,而且收集个人资料的目的必须与资料使用者的活动直接相关;
- 个人资料的准确性及保留时间:资料使用者必须采取切实可行的步骤,确保资料准确无误,并且保留时间不会超过实际所需;
- 资料的使用:除非获得资料当事人的同意,否则资料只能用于收集资料时拟使用或相关的目的;
- 资料的保安:必须采取切实可行的步骤,保障个人资料不会未经授权地被查阅、处理、删除、丧失或使用;
- 公开性和透明度:资料使用者须对使用资料的政策及做法及收集资料的目的保持透明;及
- 查阅和更正:资料当事人有权查阅并要求更正其个人资料。若资料使用者拒绝资料当事人提出的查阅或改正的要求,便要提供理由。
私隐专员认为雇主对资料安全和雇员个人资料私隐负有主要责任。因此,私隐专员建议机构在实施在家工作安排时可考虑采取下列措施:
- 在制定政策之前,对资料保安和员工个人资料私隐进行风险评估;
- 复检和修订现行政策和做法,并在每种情况下就资料和文件传输、远程存取网络和资料、删除和销毁非必要的资料以及处理资料外泄等向雇员提供充分指导;
- 为员工提供在家工作安排的培训和支持以确保资料安全,并指派指定员工解决在家工作安排期间出现的问题;
- 为员工提供电子装置,并采取资料保护措施,如密码、防恶意程序软件、遥距存取、防止公司资料传输到个人设备;
- 鼓励使用虚拟专用网络实现对公司网络的安全遥距存取; 以及
- 实施遥距存取保安措施,例如仅根据实际需要授予存取权限和检查遥距存取纪录以识别可疑活动。
雇员指引
于在家工作安排期间,员工可以查阅雇主的资料,这些资料可能经过雇主无法控制的网络处理,令员工存在违反保障资料原则的风险,尤其是资料安全原则。因此,私隐专员建议采取下列措施,防范潜在风险:
- 要求雇员遵守雇主有关处理资料的政策;
- 建议在家工作安排期间以公司设备进行所有与工作相关的事项;
- 避免在公共场所工作,以防止披露个人资料和限阅信息。但是,如果在公共场所工作是不可避免的,员工应避免使用公共 Wi-Fi,转而使用流动热点分享,以及使用防窥滤片等安全措施;
- 使用 Wi-Fi 时,采取安全措施,如高强度密码、检查连接到网络的电子装置以及使用更新的安全协议;
- 要求雇员只用公司电子邮件帐户作所有与工作相关的通信; 以及
- 虽然不建议将纸本文件带出办公室,但如有必要带回家中工作,员工应寻求其上司的批准。在可行的情况下,在离开公司前应遮盖个人资料,且仅应从办公室带走必要的文件。此外,员工应在家里设置安全的档案柜,并且应遵循雇主既定的销毁程序。
视像会议软件用户指引
机构和雇员在家工作过程中普遍使用视像会议软件,为资料保安和个人资料私隐带来了额外的风险。为提供保障,私隐专员建议采取下列措施:
- 在选择特定的视像会议软件之前,鼓励机构评估与其使用相关的风险;
- 使用视像会议设施时,应使用高强度密码和安全的互联网网络;
- 视像会议的主持人应采取保安措施,如设置独特的会议ID、虚拟等候室以确保只限授权访问,并在录影和存储记录之前征得与会者的同意;和
- 与会者还应小心确保视像会议和屏幕共享功能期间的背景设置不会导致意外泄露个人资料和敏感信息。
总结
虽然《指引》并非法例,但它为机构提供了实施在家工作安排时的有用的指南。雇主应考虑复检其现有政策,并适当采取其他措施,以保护个人资料和其他机密信息。
雇主和机构可考虑寻求法律意见,以审查并修订其与个人资料私隐政策。如有雇佣法相关查询,请与尼克迪(kritikasethia@gallhk.com / +852 3405 7654)联系。
联系人
柯蒂嘉 (Kritika Sethia) , 法律分析师
+852 3405 7654
kritikasethia@gallhk.com
