爲了讓各個機構更容易了解對于資料保護的責任及須實行的措施,當局將現有條規等信息整理並集成一套標准守則,供機構作參考以進一步規範資料保護做法。
個人資料保護委員會專員陳傑豪昨天在于我國舉行的國際隱私專家協會(International Association of Privacy Professionals,簡稱IAPP)常年大會上宣布“資料保護問責守則”(Guide to Accountability)正式推出。
他致辭時說,隨著數碼科技迅速發展以及物聯網受到更廣泛應用,個人資料保護監管單位須與時並進,更新監管做法,委員會近兩年多來致力于呼籲機構自動自發負起責任保護個人資料,而不是僅爲遵守當局的准則而做出相應措施。
“整個商業環境因科技不斷改變,讓他們按照特定指示實行措施已不再實際,這類簡單一刀切的做法甚至弊大于利。我們因此整理出這套新守則,機構可按照守則做到對資料保護負責任。”
新推出的守則主要在三大層面引導機構保護個人資料,包括如何在機構內推行個人資料保護措施;在業界方面,鼓勵企業獲取資料保護認證,以爭取顧客信任;以及通過當局的監管框架,鼓勵企業如何正確處理個人資料泄露事件。
守則列出一系列例子供機構參考。例如,在機構層面,一家機構應委任一名高級管理層人員擔任資料保護官(Data Protection Officer,簡稱DPO),而不是隨意委任一名職員擔任這個職務。
守則解釋說:“高級管理層人員有必要將資料保護列入公司的商業監管框架內,然後確保公司貫徹有關的資料保護原則。”
目前,不是每一家公司理解應委任高管擔任資料保護官,而是會隨意委任一名職員擔任這個職務,而這名職員有時無法有效地確保整家公司貫徹資料保護做法和原則。守則也促請機構安排旗下各個階層的員工接受個人資料保護相關培訓。