资料单张分析.PDFVIP

资料单张 「自携装置」（BYOD） 摘要 「自携装置」是一项机构政策，容许雇员使用属于其个人的流动装置以查阅机构的资讯，当中包括机构 所收集的个人资料。在本单张内，由机构收集所得的个人资料将统称为「机构收集的个人资料」。 机构应留意下述与个人资料私隐有关的事宜： 1. 在容许使用「自携装置」时，机构实际上是把机构收集的个人资料从具保安的企业系统转移至保安程 度较低的雇员自携装置，且机构对该「自携装置」亦较难有效管控。机构必须要明白，尽管这些个人资 料是储存在雇员本身所拥有的自携装置内，但就该些个人资料而言，机构仍须继续负责遵守《个人资 料（私隐）条例》（「条例」）的规定。因此，机构应透过制定行政、实质及技术措施，来确保该些个人资料 受到保障，并透过书面政策、通知及培训强化这些措施。 2. 在保护由「自携装置」器材转移或收集所得的个人资料时，机构须留意，该「自携装置」器材亦载有雇 员本身、其家庭成员以至其他个別人士的私人资讯。任何机构所采取的保障措施亦应尊重这些私人 资讯。 3. 为履行条例下的责任，机构应考虑： (a) 是否已充分提醒雇员不要滥用下载或储存于「自携装置」器材内的机构收集的个人资料； (b) 是否已有足够的技术措施，容许「自携装置」器材查阅或储存机构收集的个人资料的同时，亦能尊 重私人资讯，例如： (i) 是否有其他方法代替将机构收集的个人资料直接储存到「自携装置」器材－－资料可否储存于 公司系统，只经由「自携装置」器材查阅（而非储存于「自携装置」器材内）？ (ii) 是否备有有效的控制系统供查阅个人资料－－雇员须以用户名称及密码登入后方可查阅机构 的个人资料，使与其共用该「自携装置」器材的家人及其他人士无法查阅有关资料；及 (iii) 是否有采取保安措施（包括独立加密），以保障经「自携装置」器材查阅或储存于「自携装置」器 材的机构收集的个人资料，令未获授权人士查阅「自携装置」器材时只接触到已加密的个人资 料。 4. 若机构计划容许使用「自携装置」，亦应考虑下述的良好行事方式： (a) 制定「自携装置」政策，详述其规管内容（例如机构与雇员的角色及责任、核准使用的程序等）； (b) 进行风险评估（例如决定如何落实「自携装置」政策及措施）； (c) 采用技术方案以减少或控制风险；及 (d) 设立监察及检讨机制，以确保当业务上有任何改变时，「自携装置」政策仍行之有效。 2016 8 「自携装置」（BYOD） 1 年 月 引言 大体来说，「自携装置」的做法会对保障资料原则 有下述影响： 「自携装置」的做法在机构中越来越普遍。当雇员 使用属于其个人的流动装置（例如智能电话及平板 (a) 保留及删除资料（第2原则） 电脑）来查阅雇主的公司资讯以执行职务，这些资 讯便会从具保安的企业系统转移至保安程度较低 机构须确定是否应该把个人资料保留在「自携装 的雇员自携装置。本单张重点指出机构在制定「自 置」器材内。如要这样做，机构须确定保留及删除 携装置」政策时所须留意的个人资料私隐风险，并 资料政策是否同样适用于这些保留在「自携装置」 建议就容许雇员以「自携装置」器材查阅载有个人 器材内的个人资料，以及这些政策如何有效地应 资料的企业系统以执行职务时的最佳行事方式。 用，例如延伸有关政策以涵盖「自携装置」器材内 的资料。 基于「自携装置」器材的不同特点，亦涉及处理不同 种类的机构资讯，加上资讯及通讯科技的急速发 (b) 控制个人资料的转移及其后的使用（第3原则） 展，本单张所指出的议题及措施未必放诸四海皆 准，因此读者须因应