私隱專員建議，將私隱保障納入企業管治

香港個人資料私隱專員黃繼兒，今日就私營補習服務行業的個人資料系統發表視察報告。結果顯示，視察所涵蓋的三所私營補習服務機構所採取的保障個人資料措施，大致上可以接受，但從個別機構的職能中仍反映不足之處。

黃繼兒今日就私營補習服務行業的個人資料系統發表視察報告。資料圖片

黃繼兒指，從個別機構的職能中仍反映不足之處，包括不必要或過量收集個人資料、無限期保留資料、不恰當使用資料和個人資料的保安做得不足夠。私隱專員認為，視察結果反映該行業在保障個人資料私隱上仍有不少改善空間。報告向私營補習服務行業提出多項改善建議，讓業界完善其個人資料保障的政策及運作常規，並鼓勵業界將私隱保障提升至企業問責層面，與顧客建立互信基礎。

私隱專員根據《個人資料（私隱）條例》，對三所不同營商模式的補習服務機構的個人資料系統進行視察。視察發現，三所機構均視學童、家長及導師的個人資料為重要資產，原則上不會胡亂處理或濫用個人資料，亦致力確保該等資料得到妥善管理。其中以流動應用程式提供補習服務平台的機構，能利用其在資訊科技方面的優勢，審慎利用資訊科技工具分割及監控其電腦系統的存取權限，並將顧客私隱保障納入其產品及服務設計中，減低未獲授權查閱或洩露個人資料的風險。三所機構在營運過程及常規中均有採取保障個人資料的措施，但相關措施只在個別職能中體現，未能將私隱保障納入其企業管理中。

私隱專員建議，機構建立及全面執行私隱管理系統，採用私隱管理系統作為框架，輔以行之有效的檢討及監察程序，建立健全的私隱保障基建。私隱專員亦建議，將私隱保障納入企業管治，從管理層中委任保障資料主任管理相關事務；將私隱保障納入新產品及服務設計之中，並就個人資料私隱進行評估；訂立保留個人資料期限的政策，以及銷毁已超過保留期限的資料的程序及方式；以及制定全面的資訊保安政策，包括資訊科技系統及實體保安措施等。