粤港澳大湾区数据跨境|香港私隐影响评估规则及实践
隐私影响评估(Privacy Impact Assessment,PIA)是组织实施数据保护的一项重要工具,旨在评估新计划、项目或政策对个人隐私的可能影响。隐私影响评估通常由组织、政府机构或其他实体在计划或实施新项目、政策或技术时进行,有助于确保在设计和实施新项目、政策或技术时充分考虑到个人隐私的保护,并采取适当的措施来管理潜在的隐私风险。
PIA已在全球多个国家和地区的数据保护法律法规中得到了普遍采用,例如,欧盟《通用数据保护条例》(GDPR)、美国《医疗保险可移植性与责任法案》(HIPAA)以及我国《个人信息保护法》等。
01
《私隐影响评估》资料单张
该单张解释了为何以及如何进行私隐影响评估,以及进行私隐影响评估的好处。
该单张指出,公营及私营机构的资料使用者应进行私隐影响评估,以管理涉及下述层面的计划所引致的私隐风险:
处理(无论是由资料使用者自行处理或其聘用的代理处理)或储存大量个人资料;
使用影响广泛人士的私隐侵犯程度高的技术;或
机构行事方式的重大改变,引致收集、处理或共用个人资料的数量及范围扩大。
《私隐管理系统最佳行事方式指引》
该指引第二部分“系统管控措施”规定,机构在推出新项目、产品或服务前进行私隐影响评估,能协助机构及早发现潜在的私隐风险,并做出改善,以防患于未然。
指引进一步明确了需要进行私隐情形评估的情形,包括:
当规范个人资料的法规有重大改动时;
机构对现行个人资料程序作出重大改动时;
机构引入新的处理个人资料程序时;
机构拟委托资料处理者代为处理个人资料时。
《保障个人资料私隐:流动应用程式开发商及其委托人须知》资料单张
该单张指出,“私隐影响评估是「私隐全面贯彻」的工具,能够有系统地于早期评估一个流程序或系统(如流动应用程序)的设计对个人资料私隐的影响,提出发现风险及避免目的或减少任何不利的影响”。
《收集及使用生物识别资料指引》
该指引规定,“鉴于生物辨识资料属敏感的资料,有意收集生物辨识资料的资料使用者须首先考虑有关收集是否必需的。为此,公署鼓励有关资料使用者进行私隐影响评估”。
该指引还列举开展收集及使用生物识别资料的私隐影响评估时应特别考虑的事项。
跨境资料转移指引:《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》
该指引规定,资料处理者的义务和责任包括对拟向接收方提供个人信息的活动开展个人信息保护影响评估。重点评估以下内容,并保存个人信息保护影响评估报告至少3年。
《开发及使用人工智能道德标准指引》
该指引提出就开发或使用人工智能进行全面的风险评估有系统地识别、分析及评估风险,其中包括私隐影响评估,并因应有关风险而采取适当的风险管理措施。
02
2023年12月21日,私隐专员公署发布了对于Carousell Limited公司资料外泄事故的调查报告。在该案件中,Carousell 公司的260万名用户的个人资料遭遇泄露,其中包括324,232个香港用户帐号的个人资料。
经调查发现,该起事故的发生原因是Carousell 公司在进行个人资料系统迁移过程中存在一个安全漏洞。“未有在系统迁移前进行私隐影响评估”被认定为事故发生的原因之一。
私隐专员公署就个人资料系统迁移提出建议:“进行私隐影响评估,特别是当系统或行事方式出现重大改变及引入新科技时进行有关评估。”
2023年8月至2024年2月期间,私隐专员公署向28间本地机构进行合规审查,以了解该些机构在开发或使用人工智能时收集、使用及处理个人资料的情况以及该些机构就人工智能的管治情况。调查发现,在10间机构当中,有8间机构在开发或使用人工智能产品及服务前进行了私隐影响评估。
私隐专员公署建议所有开发或使用人工智能的机构“就开发或使用人工智能进行全面的风险评估(包括私隐影响评估),有系统地识别、分析及评估风险,包括私隐风险,并因应有关风险而采取适当的风险管理措施,例如风险较高的人工智能系统须有较高程度的人为监督”。
03
1
建立关于私隐影响评估的管理机制
2
寻求专业意见
3
私隐影响评估的程序和内容
A. 资料处理周期分析
资料使用者在资料处理周期中必须遵守《私隐条例》的六项资料保障原则,包括个人资料的收集、准确性、保留、使用、保安(即安全)、政策透明度,以及查阅和更改。资料使用者可通过独立审视个人资料系统各流程遵从资料保障原则的情况进行适当的隐私风险管理。
保障资料第1原则─收集个人资料的目的及情况
资料使用者须以合法和公平的方式,收集他人的个人资料,其目的应直接与其职能或活动有关。
须采取所有切实可行的方法告知资料当事人收集其个人资料的目的,以及资料可能会被转移给什么类别的人。
收集的资料是必须的,但不超乎必要的限度。
保障资料第 2 原则─个人资料的准确性及保留期间
资料使用者须采取所有切实可行的步骤,以确保持有的个人资料准确无误,且资料的保存时间不应超过达到原来收集目的所需的时间。
保障资料第 3 原则─个人资料的使用
除非得到资料当事人自愿和明确的同意,否则个人资料只限用于收集时述明的目的或直接相关的目的。
保障资料第 4 原则─个人资料的保安
资料使用者须采取所有切实可行的步骤,保障个人资料不受未获准许的或意外的查阅、处理、删除、丧失或使用。
保障资料第 5 原则─资料的透明度
资料使用者须采取切实可行的步骤来公开其处理个人资料的政策和行事方式,并交代其持有的个人资料类别和用途。
保障资料第 6 原则─查阅及改正资料
资料当事人有权要求查阅其个人资料;
若发现有关个人资料不准确,有权要求更正。
B. 私隐风险分析
通过资料处理周期的分析,资料使用者可以识别私隐关注的主要范围。
资料使用者接下来须就每项资料保障原则评估潜在的隐私风险,应主要考虑的因素包括:
资料使用者的职能及活动;
所涉个人资料的性质;
受影响人士的数目;
如资料当事人的个人资料被不当地处理,可能对资料当事人造成的伤害程度;
资料使用者是否有聘用资料处理者代其处理资料;及
资料使用者须遵守的实务守则、指引、政策及规例中所规定的私隐标准和规则。
在就收集及使用生物识别资料进行私隐影响评估时,应特别考虑:
收集生物识别资料的需要
评估“为何需要收集生物识别资料”以及“是否可以解决现有系统的问题以满足需要,而不是收集生物识别资料”。
侵犯程度最少的选择
如有其他系统可以达到与收集生物识别资料同样的目的,应考虑该系统,并评估其对隐私的侵犯程度;
收集敏感程度较低及/或较少数量的生物识别资料来达到同样目的,以减少对有关人士的隐私侵犯程度。
谁人的生物识别资料应被收集及可被收集
如要收集大批人士的生物识别资料,需要有更强的理据;学龄儿童或自理能力较低的人士需要在资料私隐上有更大的保障。
收集资料的程度
资料使用者只需收集足够的资料以达致其目的,而无需收集有关人士广泛或详尽的生物识别资料。
在依据《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》开展个人信息保护影响评估时,应特别考虑:
个人信息处理者和接收方处理个人信息的目的、方式等的合法性、正当性、必要性;
对个人信息主体权益的影响及安全风险;
接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障跨境提供的个人信息安全。
C. 避免或减缓私隐风险
资料处理者应避免或减缓私隐风险,或裁取适当的减缓措施,保障个人资料免被任意或未经准许的查阅、处理、删除、丧失或使用。如有关的风险并没有方法可以解决,应评估所带来的影响及是否可承受有关风险。
D. 私隐影响评估报告
资料使用者应以报告形式清楚罗列前述的私隐影响评估工作,以及评估结果、建议和就私隐风险建议采用的私隐保障措施。
报告内容可包括:
有关计划的描述;
资料处理周期分析,重点述明收集及处理个人资料的情况和程度(包括资料处理者或其聘用的资料处理者处理);
已识别的私隐风险;
适当处理或缓减这些风险的方法,并详细解释如何考虑其他私隐侵犯程度较低的方案及为何不采用该方案。
延申阅读
1. 重磅!《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》发布(附要点与逐条对比)
01
02
03
数据信任与治理
“数据信任与治理”由下一代互联网国家工程中心运营。放眼全球数据治理前沿理论与实践进展,探索可信数据治理的中国模式,促进数据要素有序流通,释放数字经济红利。
TDG focuses on the cutting-edge theory and practice of global data governance, explores the Chinese model of trusted data governance, promotes global data flow, and fulfills the potential of the digital economy.