Ổ đĩa nhóm thu thập hơn 17 triệu dữ liệu cá nhân đã bị phá hủy như thế nào?

Tôi khuyến khích độc giả của Zing truy cập Tủ sách Pháp luật để tìm hiểu thêm về Bộ luật Hình sự, trách nhiệm hình sự, 55 tội danh dễ nhầm lẫn trong Bộ luật Hình sự hoặc các quy định về phạt tiền, khiếu nại, tố cáo

truy tìm kẻ tung tin 4 giáo viên nổi loạn ở Thái Nguyên

Lãnh đạo huyện Định Hóa cho biết 4 cô gái này là người địa phương sang Trung Quốc làm ăn, không phải là giáo viên

11. 35 ngày 5 tháng 12 năm 2022

Trước khi đâm cụ già ở quán bar, nghi can từng vào trại cai nghiện 2 lần

Nguyễn Chí Cường, 25 tuổi, quê Quảng Nam, dùng dao đâm chết 2 người ở quán gần nhà sau khi xem World Cup

11. 10 5/12/2022

một số vụ cá cược bóng đá trị giá hàng tỷ đô la trong thời gian diễn ra World Cup

Tổng giá trị giao dịch xoay quanh các trận bóng đá lên đến hàng nghìn tỷ đồng tính đến đầu tháng 11, nhiều đường dây cá độ bóng đá qua mạng bị triệt phá

Pháp lệnh Dữ liệu Cá nhân (Quyền riêng tư) (PDPO) thiết lập khuôn khổ pháp lý về quyền riêng tư và bảo vệ dữ liệu của Hồng Kông. Tất cả các tổ chức thu thập, lưu giữ, xử lý hoặc sử dụng dữ liệu cá nhân (người dùng dữ liệu) phải tuân thủ PDPO và đặc biệt là sáu nguyên tắc bảo vệ dữ liệu (DPP) trong Phụ lục 1 của PDPO, là nền tảng mà PDPO dựa vào. Văn phòng Ủy viên Quyền riêng tư về Dữ liệu Cá nhân (PCPD), một cơ quan theo luật định độc lập, được thành lập để giám sát việc thực thi PDPO

Hồng Kông là khu vực tài phán châu Á đầu tiên ban hành luật bảo mật dữ liệu cá nhân toàn diện và thành lập cơ quan quản lý quyền riêng tư độc lập. Không giống như luật ở một số khu vực pháp lý khác trong khu vực, luật ở Hồng Kông áp dụng cho cả khu vực tư nhân và khu vực công. Hồng Kông đã ban hành các sửa đổi mới quan trọng đối với PDPO vào năm 2012 với trọng tâm chính là quy định và thực thi tiếp thị trực tiếp đối với việc sử dụng dữ liệu cá nhân

Bất chấp vai trò tiên phong của Hồng Kông trong luật bảo mật dữ liệu, mức độ hoạt động của PCPD đối với hướng dẫn và thực thi quy định tương đối bằng phẳng khi so sánh với nhiều khu vực tài phán khác. Ngoài ra, Hồng Kông đã không đưa ra luật an ninh mạng hoặc tội phạm mạng độc lập như các quốc gia châu Á khác đã làm. Một số cơ quan ngành, đặc biệt là Ủy ban Chứng khoán và Hợp đồng Tương lai Hồng Kông (SFC), đã tiếp tục thúc đẩy các quy định về an ninh mạng cho các ngành cụ thể

Vào tháng 1 năm 2020, Cục Hiến pháp và Đại lục của chính quyền Hồng Kông đã đưa ra một tài liệu thảo luận về việc xem xét PDPO, trong đó đề xuất sửa đổi PDPO, bao gồm

1. thông báo vi phạm dữ liệu bắt buộc;
2. yêu cầu chỉ định khoảng thời gian lưu giữ dữ liệu cá nhân được thu thập, sau đó phải được thông báo rõ ràng cho chủ thể dữ liệu trong chính sách quyền riêng tư;
3. các biện pháp trừng phạt nghiêm khắc hơn, sẽ áp dụng các hình phạt đối với doanh thu hàng năm trên toàn cầu của người sử dụng dữ liệu và trao quyền cho PCPD trực tiếp áp dụng các khoản phạt hành chính thay vì đưa ra thông báo cưỡng chế trước;
4. tăng quy định đối với các bộ xử lý dữ liệu để họ chịu trách nhiệm trực tiếp về các vi phạm và tuân theo các yêu cầu thông báo vi phạm tương tự áp dụng cho người dùng dữ liệu;
5. mở rộng định nghĩa về 'dữ liệu cá nhân', sao cho nó không chỉ nắm bắt các đối tượng dữ liệu có thể được xác định;
6. thực hiện các biện pháp chống doxxing

Như giải thích bên dưới, ngoại trừ các biện pháp chống doxxing đã được thực hiện kể từ ngày 8 tháng 10 năm 2021, các đề xuất sửa đổi khác vẫn đang được xem xét. Không có mốc thời gian về thời điểm những sửa đổi này sẽ được đưa ra để thảo luận thêm tại Hội đồng Lập pháp, được thông qua và thực hiện. Đây chắc chắn là một không gian để xem trong những năm tới

Chương này thảo luận về những phát triển gần đây về quyền riêng tư dữ liệu và an ninh mạng ở Hồng Kông từ tháng 7 năm 2021 đến tháng 6 năm 2022. Nó cũng sẽ thảo luận về khung pháp lý hiện hành về quyền riêng tư dữ liệu ở Hồng Kông, đặc biệt là sáu DPP và ý nghĩa của chúng đối với các tổ chức, cũng như các vấn đề cụ thể về quyền riêng tư dữ liệu như tiếp thị trực tiếp và các vấn đề liên quan đến đổi mới công nghệ, truyền dữ liệu quốc tế, an ninh mạng

Năm xem xét

i Các phát triển về bảo mật và quyền riêng tư dữ liệu cá nhân

Kể từ năm 2019, các hoạt động doxxing đã trở nên tràn lan ở Hồng Kông. PCPD đã dành những nỗ lực đáng kể để hạn chế các hoạt động doxxing. Vào ngày 8 tháng 10 năm 2021, Pháp lệnh Dữ liệu Cá nhân (Quyền riêng tư) (Sửa đổi) 2021 (Sắc lệnh Sửa đổi 2021) có hiệu lực để chống lại các hành vi doxxing xâm phạm quyền riêng tư dữ liệu cá nhân. Theo Pháp lệnh sửa đổi năm 2021, bất kỳ người nào tiết lộ dữ liệu cá nhân của chủ thể dữ liệu mà không có sự đồng ý liên quan của chủ thể dữ liệu, với ý định hoặc đang liều lĩnh về việc liệu có (hoặc có khả năng) gây ra bất kỳ tác hại cụ thể nào đối với dữ liệu hay không . PCPD được trao quyền để thực hiện các cuộc điều tra hình sự và truy tố trực tiếp các tội phạm doxxing, thay vì phải chuyển vụ việc cho Cảnh sát Hồng Kông và Bộ Tư pháp. PCPD có thể đưa ra thông báo chấm dứt trong trường hợp tiết lộ dữ liệu cá nhân mà không có sự đồng ý của chủ thể dữ liệu, người tiết lộ có ý định hoặc đang liều lĩnh gây ra bất kỳ tác hại cụ thể nào đối với chủ thể dữ liệu hoặc bất kỳ thành viên gia đình nào của chủ thể dữ liệu

Từ giữa năm 2021 đến giữa năm 2022, PCPD đã sửa đổi lưu ý hướng dẫn cho lĩnh vực quản lý tài sản. PCPD cũng phát hành một số lưu ý hướng dẫn mới. Hướng dẫn Người sử dụng lao động về Thu thập và Sử dụng Dữ liệu Cá nhân của Người lao động trong Đại dịch Covid-19; . Hướng dẫn về Phát triển Đạo đức và Sử dụng Trí tuệ Nhân tạo; . Hướng dẫn về Phát triển Đạo đức và Sử dụng Trí tuệ Nhân tạo; . Không có ấn phẩm nào trong số này có giá trị ràng buộc về mặt pháp lý, nhưng việc không tuân theo các ghi chú hướng dẫn có thể dẫn đến các giả định tiêu cực trong bất kỳ thủ tục thực thi nào

Theo báo cáo thường niên được công bố vào tháng 8 năm 2021, trong năm báo cáo 2020 đến 2021, PCPD đã nhận được 2.200 khiếu nại, không bao gồm những khiếu nại liên quan đến doxxing. Con số này thấp hơn 66% so với năm báo cáo trước. Hầu hết các khiếu nại được đưa ra đối với các tổ chức thuộc khu vực tư nhân, dẫn đầu là các công ty tài chính, quản lý tài sản và tổ chức giáo dục. Các khiếu nại phổ biến nhất liên quan đến việc sử dụng và tiết lộ dữ liệu cá nhân không đúng cách, thu thập dữ liệu cá nhân không đúng cách, bảo mật dữ liệu cá nhân không đầy đủ và tiếp thị trực tiếp, chiếm 50%, 28. 4 phần trăm, 6. 9 phần trăm và 6. 1 phần trăm của các khiếu nại, tương ứng. Số lượng khiếu nại cao nhất liên quan đến công nghệ thông tin, với phần lớn về mạng xã hội trực tuyến và ứng dụng điện thoại thông minh. PCPD cũng đã nhận được 106 thông báo vi phạm dữ liệu, 35 từ khu vực công và 71 từ khu vực tư nhân, liên quan đến dữ liệu cá nhân của khoảng 850.000 cá nhân. Những sự cố vi phạm dữ liệu này liên quan đến hack, hệ thống, cấu hình sai, truy cập trái phép dữ liệu cá nhân của nhân viên nội bộ, mất tài liệu hoặc thiết bị di động, vô tình tiết lộ dữ liệu cá nhân qua fax, email hoặc bưu điện và vô tình xóa dữ liệu cá nhân, v.v.

Hơn nữa, trong năm báo cáo 2020 đến 2021, PCPD đã xử lý tổng cộng 957 trường hợp doxxing, giảm gần 80% so với 4.707 trường hợp trong năm báo cáo trước

Đối với các hành động thực thi, PCPD đã hoàn thành 3.402 khiếu nại và 1.225 khiếu nại đang được xử lý tính đến ngày 31 tháng 3 năm 2021. Trong số các trường hợp đã hoàn thành đó, 524 trường hợp liên quan đến doxxing, trong đó 59 khiếu nại bị nghi ngờ vi phạm Mục 64 của PDPO và đã được chuyển đến cảnh sát để điều tra hình sự và xem xét truy tố. Mười lăm khiếu nại liên quan đến việc nghi ngờ vi phạm lệnh cấm của tòa án có liên quan và đã được chuyển đến Bộ Tư pháp. Trong 2.878 trường hợp không doxxing, 1.909 trong số đó đã được kết luận sau khi đánh giá sơ bộ và 969 trường hợp được chấp nhận để xử lý tiếp. Trong số những vụ việc được chấp nhận để tiếp tục xử lý, 887 vụ việc (92%) đã được PCPD giải quyết thành công bằng hòa giải. Trong những trường hợp đó, các hành động khắc phục tương ứng đã được thực hiện bởi các bên bị khiếu nại, các khiếu nại đã được rút lại sau khi PCPD đã cung cấp thêm thông tin hoặc giải thích cho người khiếu nại, hoặc các hành động tiếp theo được thực hiện bởi các bên bị khiếu nại để giải quyết các mối quan tâm của người khiếu nại được chuyển tải bởi

PCPD không công bố một cách có hệ thống các quyết định hoặc báo cáo dựa trên kết quả điều tra của mình. Từ năm 2021 đến tháng 6 năm 2022, PCPD đã công bố năm báo cáo điều tra hoặc kiểm tra. Bao gồm các

1. việc kiểm tra hệ thống dữ liệu cá nhân của khách hàng của CLP Power Hong Kong Limited và Hongkong Electric Company, Limited;
2. một cuộc điều tra về các biện pháp an ninh mà các nhà hàng thực hiện để bảo vệ thông tin của khách hàng được thu thập nhằm mục đích tuân thủ các biện pháp chống đại dịch covid-19;
3. một cuộc điều tra về việc các công ty quản lý tài sản thu thập, lưu giữ, sử dụng và lưu trữ dữ liệu cá nhân của cư dân và khách truy cập không phù hợp;
4. điều tra hacker xâm nhập hệ thống email của Nikkei China (Hong Kong) Limited

ii Sự phát triển của tội phạm mạng và an ninh mạng

Hồng Kông không có (và tại thời điểm viết bài này, dường như không có kế hoạch thiết lập) luật an ninh mạng và tội phạm mạng độc lập. Sở cảnh sát Hồng Kông duy trì một trang tài nguyên về 'Tội phạm công nghệ và an ninh mạng', bao gồm một bản tóm tắt các luật liên quan về tội phạm máy tính. Những điều khoản cụ thể này liên quan đến Pháp lệnh Tội phạm, Pháp lệnh Viễn thông và các luật liên quan đến khiêu dâm và khiêu dâm trẻ em. Chính phủ cũng đã thành lập một trang web An ninh Thông tin (InfoSec) đưa ra nhiều điều khoản về tội phạm máy tính có trong Pháp lệnh Viễn thông, Pháp lệnh Trộm cắp và Pháp lệnh Tội phạm. Theo số liệu thống kê mới nhất do Lực lượng cảnh sát Hồng Kông công bố, đã có 7.838 vụ tội phạm máy tính vào năm 2018, với thiệt hại liên quan là 2 đô la Hồng Kông. 8 tỷ so với 5.567 trường hợp trong năm 2017 với mức lỗ 1 đô la Hồng Kông. 4 tỷ

Các cơ quan quản lý ngành đã tiếp tục thúc đẩy các quy định cụ thể về an ninh mạng, đặc biệt là các cơ quan quản lý tài chính. Cả SFC và Cơ quan tiền tệ Hồng Kông (HKMA) đã ban hành các thông tư về rủi ro an ninh mạng. Vào tháng 12 năm 2016, HKMA đã công bố chi tiết triển khai Sáng kiến ​​tăng cường an ninh mạng được thực hiện với sự cộng tác của ngành ngân hàng, ra mắt Khung năng lực nâng cao toàn ngành về an ninh mạng. Vào tháng 10 năm 2017, SFC đã xuất bản Hướng dẫn Giảm thiểu và Giảm nhẹ Rủi ro Hacking Liên quan đến Giao dịch qua Internet (Hướng dẫn) và ban hành hai thông tư cho các công ty được cấp phép tham gia giao dịch qua internet, một thông tư về các thông lệ tốt trong ngành để quản lý rủi ro CNTT và an ninh mạng; . Tháng 5/2018, SFC ban hành thông tư hướng dẫn trung gian nhận đơn hàng qua tin nhắn nhanh. Vào tháng 1 năm 2019, HKMA đã ban hành Bản cập nhật về Khung năng lực nâng cao về An ninh mạng. Vào tháng 6 năm 2019, Cơ quan Bảo hiểm Hồng Kông đã công bố Hướng dẫn về An ninh mạng (GL20), trong đó nêu rõ các tiêu chuẩn an ninh mạng tối thiểu mà tất cả các công ty bảo hiểm được ủy quyền (ngoại trừ công ty bảo hiểm cố định và công ty bảo hiểm tương hỗ hàng hải) phải tuân thủ. GL20 có hiệu lực từ ngày 1 tháng 1 năm 2020. Trong lĩnh vực chăm sóc sức khỏe, Ủy viên phụ trách Hồ sơ sức khỏe điện tử đã ban hành Quy tắc thực hành sử dụng Hồ sơ sức khỏe điện tử để chăm sóc sức khỏe (có hiệu lực từ ngày 10 tháng 10 năm 2019), đưa ra các khuyến nghị và thực hành tốt trong việc sử dụng Hệ thống chia sẻ hồ sơ sức khỏe điện tử, một cơ quan chính phủ . Trong khu vực công, Văn phòng Giám đốc Thông tin của Chính phủ cũng đã xuất bản các hướng dẫn về an ninh mạng cho các cơ quan chính phủ, các sở và ban ngành.

iii Những phát triển gần đây và việc tuân thủ quy định

Từ góc độ quy định, khuôn khổ tuân thủ chính cho các công ty và tổ chức vẫn là bảo vệ dữ liệu và quyền riêng tư. Chính phủ đã không thực hiện bất kỳ bước lập pháp bổ sung nào trong lĩnh vực tội phạm mạng và an ninh mạng mặc dù an ninh mạng vẫn là một thách thức đáng kể ở Hồng Kông. Các cơ quan quản lý lĩnh vực tài chính tiếp tục tích cực đối với an ninh mạng, với việc HKMA đưa ra các sáng kiến ​​đầy tham vọng. Đối với các công ty bên ngoài lĩnh vực tài chính, trọng tâm của họ sẽ vẫn là tuân thủ PDPO, đặc biệt là với các yêu cầu tiếp thị trực tiếp nghiêm ngặt. Các nhà cung cấp nền tảng Internet cũng có thể muốn đánh giá xem nội dung được đăng trên nền tảng có thể dẫn đến doxxing hay không để tránh rủi ro hình sự

khung pháp lý

i PDPO và sáu DPP

PDPO có hiệu lực vào ngày 20 tháng 12 năm 1996 và được sửa đổi bởi Pháp lệnh Dữ liệu Cá nhân (Quyền riêng tư) (Sửa đổi) 2012 (Sắc lệnh Sửa đổi 2012). Phần lớn các quy định của Pháp lệnh sửa đổi năm 2012 có hiệu lực vào ngày 1 tháng 10 năm 2012 và các quy định liên quan đến tiếp thị trực tiếp và hỗ trợ pháp lý có hiệu lực vào ngày 1 tháng 4 năm 2013

PCPD đã ban hành nhiều quy tắc thực hành và hướng dẫn để cung cấp cho các tổ chức hướng dẫn thực tế để tuân thủ các quy định của PDPO. Mặc dù các quy tắc thực hành và hướng dẫn chỉ được ban hành để làm ví dụ về thực hành tốt nhất và các tổ chức không bắt buộc phải tuân theo chúng, nhưng khi quyết định liệu một tổ chức có vi phạm PDPO hay không, PCPD sẽ xem xét nhiều yếu tố khác nhau, bao gồm cả việc liệu tổ chức có vi phạm hay không. . Đặc biệt, việc không tuân thủ một số quy định bắt buộc của quy tắc thực hành sẽ gây bất lợi cho tổ chức có liên quan trong bất kỳ trường hợp nào được đưa ra trước Ủy viên Quyền riêng tư. Ngoài ra, tòa án có quyền tính đến thực tế đó khi quyết định liệu có vi phạm PDPO hay không.

Như đã đề cập ở trên, sáu DPP của PDPO đặt ra các yêu cầu cơ bản mà người dùng dữ liệu phải tuân thủ trong việc xử lý dữ liệu cá nhân. Hầu hết các thông báo thực thi do PCPD gửi liên quan đến các vi phạm của sáu DPP. Mặc dù việc vi phạm các DPP không cấu thành hành vi phạm tội, nhưng PCPD có thể đưa ra thông báo cưỡng chế đối với người dùng dữ liệu vì vi phạm DPP và người dùng dữ liệu vi phạm thông báo cưỡng chế sẽ phạm tội

DPP1 – mục đích và cách thức thu thập dữ liệu cá nhân

Nguyên tắc

DPP1 quy định rằng dữ liệu cá nhân sẽ chỉ được thu thập nếu cần thiết cho mục đích hợp pháp liên quan trực tiếp đến chức năng hoặc hoạt động của người dùng dữ liệu. Hơn nữa, dữ liệu được thu thập phải đầy đủ nhưng không quá mức liên quan đến mục đích đó

Người dùng dữ liệu được yêu cầu thực hiện tất cả các bước khả thi để đảm bảo rằng vào hoặc trước khi thu thập dữ liệu cá nhân của chủ thể dữ liệu (hoặc vào hoặc trước khi sử dụng dữ liệu lần đầu đối với mục (d) bên dưới), chủ thể dữ liệu đã được thông báo về

1. mục đích thu thập;
2. các lớp người nhận dữ liệu;
3. liệu có bắt buộc phải cung cấp dữ liệu hay không và nếu có thì hậu quả của việc không cung cấp dữ liệu;
4. quyền yêu cầu truy cập và yêu cầu chỉnh sửa dữ liệu và chi tiết liên hệ của cá nhân sẽ xử lý các yêu cầu đó

Ý nghĩa đối với các tổ chức

Tuyên bố thu thập thông tin cá nhân (PICS) (hoặc tương đương) là tuyên bố do người dùng dữ liệu đưa ra nhằm mục đích tuân thủ các yêu cầu thông báo ở trên. Điều quan trọng là các tổ chức phải cung cấp PICS cho khách hàng của họ trước khi thu thập dữ liệu cá nhân của họ. Vào ngày 29 tháng 7 năm 2013, PCPD đã xuất bản Hướng dẫn Chuẩn bị Tuyên bố Thu thập Thông tin Cá nhân và Tuyên bố Chính sách Quyền riêng tư, đây là hướng dẫn cho người dùng dữ liệu khi chuẩn bị PICS của họ. Chúng tôi khuyến nghị rằng tuyên bố trong PICS giải thích mục đích của bộ sưu tập là gì không nên quá mơ hồ và quá rộng về phạm vi, đồng thời ngôn ngữ và cách trình bày của PICS phải thân thiện với người dùng. Hơn nữa, nếu có nhiều hơn một biểu mẫu để thu thập dữ liệu cá nhân, mỗi biểu mẫu phục vụ một mục đích khác nhau, thì PICS được sử dụng cho mỗi biểu mẫu phải được điều chỉnh cho phù hợp với mục đích cụ thể

DPP2 – độ chính xác và thời gian lưu giữ

Nguyên tắc

Theo DPP2, người dùng dữ liệu phải đảm bảo rằng dữ liệu cá nhân họ nắm giữ là chính xác và cập nhật và không được lưu giữ lâu hơn mức cần thiết để thực hiện mục đích

DPP2 quy định rằng nếu người dùng dữ liệu thuê một bộ xử lý dữ liệu, dù ở trong hay ngoài Hồng Kông, thì người dùng dữ liệu phải thông qua hợp đồng hoặc các biện pháp khác để ngăn không cho bất kỳ dữ liệu cá nhân nào được chuyển đến bộ xử lý dữ liệu lâu hơn mức cần thiết để xử lý dữ liệu. . 'Người xử lý dữ liệu' được định nghĩa là người xử lý dữ liệu cá nhân thay mặt cho người dùng dữ liệu và không xử lý dữ liệu cho mục đích riêng của mình

Theo Mục 26 của PDPO, người dùng dữ liệu phải thực hiện tất cả các bước có thể thực hiện được để xóa dữ liệu cá nhân được lưu giữ khi dữ liệu không còn cần thiết cho mục đích mà chúng được sử dụng, trừ khi bất kỳ hành động xóa nào như vậy bị cấm theo bất kỳ luật nào hoặc theo quy định của pháp luật. . Vi phạm Mục này là một hành vi phạm tội và người phạm tội phải chịu phạt tiền

Ý nghĩa đối với các tổ chức

PCPD đã xuất bản Hướng dẫn về xóa và ẩn danh dữ liệu cá nhân (sửa đổi vào tháng 4 năm 2014), cung cấp lời khuyên về thời điểm nên xóa dữ liệu cá nhân, cũng như cách dữ liệu cá nhân có thể bị xóa vĩnh viễn bằng phương pháp xóa kỹ thuật số và hủy vật lý. Ví dụ: khuyến nghị rằng phần mềm chuyên dụng, chẳng hạn như phần mềm phù hợp với tiêu chuẩn ngành (e. g. , tiêu chuẩn xóa của Bộ Quốc phòng Hoa Kỳ), được sử dụng để xóa vĩnh viễn dữ liệu trên nhiều loại thiết bị lưu trữ. Các tổ chức cũng nên áp dụng cách tiếp cận từ trên xuống đối với việc hủy dữ liệu và điều này đòi hỏi phải xây dựng các chính sách, hướng dẫn và thủ tục trên toàn tổ chức. Ngoài việc hủy dữ liệu, lưu ý hướng dẫn cũng quy định rằng dữ liệu có thể được ẩn danh đến mức không còn khả thi để xác định một cá nhân trực tiếp hoặc gián tiếp. Trong những trường hợp như vậy, dữ liệu sẽ không còn được coi là "dữ liệu cá nhân" theo PDPO. Tuy nhiên, người dùng dữ liệu vẫn nên tiến hành đánh giá thường xuyên để xác nhận xem dữ liệu ẩn danh có thể được xác định lại hay không và thực hiện hành động thích hợp để bảo vệ dữ liệu cá nhân

DPP3 – sử dụng dữ liệu cá nhân

Nguyên tắc

DPP3 quy định rằng dữ liệu cá nhân sẽ không được sử dụng cho mục đích mới nếu không có sự đồng ý theo quy định của chủ thể dữ liệu. 'Sự đồng ý theo quy định' có nghĩa là sự đồng ý rõ ràng được đưa ra một cách tự nguyện và không bị rút lại bằng thông báo bằng văn bản

Ý nghĩa đối với các tổ chức

Các tổ chức chỉ nên sử dụng, xử lý hoặc chuyển giao dữ liệu cá nhân của khách hàng phù hợp với mục đích và phạm vi được nêu trong PICS của họ. Nếu việc sử dụng được đề xuất có khả năng nằm ngoài mong đợi hợp lý của khách hàng, các tổ chức nên nhận được sự đồng ý rõ ràng từ khách hàng trước khi sử dụng dữ liệu cá nhân của họ cho mục đích mới

DPP4 – yêu cầu bảo mật dữ liệu

Nguyên tắc

DPP4 quy định rằng người dùng dữ liệu phải sử dụng tất cả các bước có thể thực hiện được để đảm bảo rằng dữ liệu cá nhân được lưu giữ được bảo vệ khỏi việc xử lý, xóa, mất hoặc sử dụng trái phép hoặc vô tình

DPP4 quy định rằng nếu người dùng dữ liệu thuê một bên xử lý dữ liệu (chẳng hạn như nhà cung cấp CNTT bên thứ ba để xử lý dữ liệu cá nhân của nhân viên hoặc khách hàng), dù ở trong hay ngoài Hồng Kông, thì người dùng dữ liệu đó phải áp dụng các biện pháp bảo vệ theo hợp đồng hoặc các biện pháp bảo vệ khác để . Điều này rất quan trọng, vì theo Mục 65(2) của PDPO, người dùng dữ liệu phải chịu trách nhiệm pháp lý đối với bất kỳ hành động nào được thực hiện hoặc thực hành do bộ xử lý dữ liệu của họ thực hiện

Ý nghĩa đối với các tổ chức

Trước việc sử dụng ngày càng nhiều các trung tâm dữ liệu của bên thứ ba và sự phát triển của gia công phần mềm CNTT, PCPD đã phát hành một tờ rơi thông tin có tựa đề 'Gia công phần mềm xử lý dữ liệu cá nhân cho các nhà xử lý dữ liệu' vào tháng 9 năm 2012. Theo tờ rơi này, người dùng dữ liệu nên kết hợp các điều khoản hợp đồng trong hợp đồng dịch vụ của họ với bộ xử lý dữ liệu để áp đặt nghĩa vụ đối với họ trong việc bảo vệ dữ liệu cá nhân được chuyển cho họ. Các biện pháp bảo vệ khác bao gồm lựa chọn bộ xử lý dữ liệu có uy tín và tiến hành kiểm toán hoặc kiểm tra bộ xử lý dữ liệu

PCPD cũng đã ban hành Hướng dẫn Sử dụng Thiết bị Lưu trữ Di động (sửa đổi vào tháng 7 năm 2014), hướng dẫn này giúp các tổ chức quản lý các rủi ro bảo mật liên quan đến việc sử dụng thiết bị lưu trữ di động. Các thiết bị lưu trữ di động bao gồm thẻ flash USB, máy tính bảng hoặc máy tính xách tay, điện thoại di động, điện thoại thông minh, ổ cứng di động và DVD. Do một lượng lớn dữ liệu cá nhân có thể được sao chép nhanh chóng và dễ dàng vào các thiết bị như vậy, quyền riêng tư có thể dễ dàng bị xâm phạm nếu việc sử dụng các thiết bị này không được hỗ trợ bởi các chính sách và thông lệ bảo vệ dữ liệu đầy đủ. Lưu ý hướng dẫn khuyến nghị nên thực hiện đánh giá rủi ro để hướng dẫn xây dựng chính sách toàn tổ chức nhằm quản lý rủi ro liên quan đến việc sử dụng thiết bị lưu trữ di động. Hơn nữa, với sự phát triển nhanh chóng của công nghệ, chính sách này nên được cập nhật và kiểm tra thường xuyên. Một số biện pháp kiểm soát kỹ thuật được đề xuất trong hướng dẫn bao gồm mã hóa dữ liệu cá nhân được lưu trữ trên thiết bị lưu trữ cá nhân và áp dụng các hệ thống phát hiện và chặn việc lưu thông tin nhạy cảm vào thiết bị lưu trữ bên ngoài

DPP5 – chính sách bảo mật

Nguyên tắc

DPP5 quy định rằng người dùng dữ liệu phải tiết lộ công khai loại dữ liệu cá nhân do họ nắm giữ, mục đích chính của việc nắm giữ dữ liệu cũng như các chính sách và thông lệ của họ về cách họ xử lý dữ liệu

Ý nghĩa đối với các tổ chức

Tuyên bố chính sách quyền riêng tư (PPS) (hoặc tương đương) là tuyên bố chung về chính sách quyền riêng tư của người dùng dữ liệu nhằm mục đích tuân thủ DPP5. Mặc dù PDPO không quy định về định dạng và cách trình bày PPS, nhưng các tổ chức nên có một chính sách bằng văn bản để truyền đạt hiệu quả chính sách và thực tiễn quản lý dữ liệu của họ. PCPD đã xuất bản một lưu ý hướng dẫn có tiêu đề Hướng dẫn chuẩn bị Tuyên bố thu thập thông tin cá nhân và Tuyên bố chính sách quyền riêng tư vào tháng 7 năm 2013, đây là hướng dẫn cho người dùng dữ liệu khi chuẩn bị PPS của họ. Đặc biệt, PPS nên có ngôn ngữ và cách trình bày thân thiện với người dùng. Hơn nữa, nếu PPS phức tạp và dài dòng, người sử dụng dữ liệu có thể cân nhắc sử dụng các tiêu đề thích hợp và áp dụng cách tiếp cận nhiều lớp trong trình bày

DPP6 – truy cập và chỉnh sửa dữ liệu

Nguyên tắc

Theo DPP6, chủ thể dữ liệu có quyền xác định xem người dùng dữ liệu có giữ bất kỳ dữ liệu cá nhân nào của họ hay không và yêu cầu một bản sao của dữ liệu cá nhân đó. Chủ thể dữ liệu cũng có quyền yêu cầu chỉnh sửa dữ liệu cá nhân của mình nếu dữ liệu không chính xác

Người dùng dữ liệu được yêu cầu phản hồi yêu cầu truy cập hoặc chỉnh sửa dữ liệu trong khoảng thời gian theo luật định là 40 ngày. Nếu người dùng dữ liệu không giữ dữ liệu được yêu cầu, họ vẫn phải thông báo cho người yêu cầu rằng họ không giữ dữ liệu trong vòng 40 ngày

Ý nghĩa đối với các tổ chức

Do một số lượng đáng kể các tranh chấp theo PDPO liên quan đến các yêu cầu truy cập dữ liệu, PCPD đã xuất bản một lưu ý hướng dẫn có tiêu đề Xử lý đúng yêu cầu truy cập dữ liệu và tính phí yêu cầu truy cập dữ liệu của người dùng dữ liệu (sửa đổi vào tháng 7 năm 2020) để giải quyết các vấn đề liên quan . Ví dụ: mặc dù người dùng dữ liệu có thể tính phí để tuân thủ yêu cầu truy cập dữ liệu, nhưng người dùng dữ liệu chỉ được phép tính phí người yêu cầu đối với các chi phí 'liên quan trực tiếp và cần thiết' để tuân thủ yêu cầu truy cập dữ liệu. Người dùng dữ liệu nên cung cấp giải thích bằng văn bản về cách tính phí cho người yêu cầu nếu khoản phí đó là đáng kể. Hơn nữa, người dùng dữ liệu không nên tính phí chủ thể dữ liệu cho chi phí tìm kiếm tư vấn pháp lý liên quan đến việc tuân thủ yêu cầu truy cập dữ liệu

ii Tiếp thị trực tiếp

Quy định về tiếp thị trực tiếp của Hồng Kông đáng được các tổ chức tham gia vào các hoạt động như vậy đặc biệt quan tâm. Không giống như vi phạm DPP, vi phạm các điều khoản tiếp thị trực tiếp của PDPO là tội hình sự, có thể bị phạt tiền và phạt tù. PCPD đã thể hiện sự sẵn sàng thực hiện các biện pháp thực thi trong lĩnh vực này và chuyển các vi phạm đặc biệt nghiêm trọng để truy tố hình sự

Các điều khoản tiếp thị trực tiếp theo PDPO

Có hiệu lực từ ngày 1 tháng 4 năm 2013, PDPO đã áp đặt một chế độ chặt chẽ hơn để điều chỉnh việc thu thập và sử dụng dữ liệu cá nhân để bán và cho các mục đích tiếp thị trực tiếp

Theo các điều khoản tiếp thị trực tiếp đó, người dùng dữ liệu phải nhận được sự đồng ý rõ ràng của chủ thể dữ liệu trước khi họ sử dụng hoặc chuyển dữ liệu cá nhân của chủ thể dữ liệu cho mục đích tiếp thị trực tiếp. Các tổ chức phải cung cấp một kênh phản hồi (e. g. , email, cơ sở trực tuyến hoặc một địa chỉ cụ thể để thu thập phản hồi bằng văn bản) cho chủ thể dữ liệu mà qua đó chủ thể dữ liệu có thể truyền đạt sự đồng ý của họ đối với mục đích sử dụng. Việc chuyển dữ liệu cá nhân cho một bên khác (bao gồm cả các công ty con hoặc chi nhánh của tổ chức) cho các mục đích tiếp thị trực tiếp, dù có lợi hay không, sẽ cần có sự đồng ý rõ ràng bằng văn bản từ chủ thể dữ liệu

Hướng dẫn về Tiếp thị Trực tiếp

PCPD đã xuất bản Hướng dẫn mới về Tiếp thị trực tiếp vào tháng 1 năm 2013 để hỗ trợ các doanh nghiệp tuân thủ các yêu cầu của các điều khoản tiếp thị trực tiếp sửa đổi của PDPO

Tiếp thị trực tiếp cho các tập đoàn

Theo Hướng dẫn mới về Tiếp thị Trực tiếp, Ủy viên Quyền riêng tư đã tuyên bố rằng trong các trường hợp rõ ràng khi dữ liệu cá nhân được thu thập từ các cá nhân có năng lực kinh doanh hoặc nhân viên của họ và sản phẩm hoặc dịch vụ rõ ràng là dành cho mục đích sử dụng độc quyền của công ty, thì

Ủy viên Quyền riêng tư sẽ xem xét các yếu tố sau để xác định liệu các điều khoản tiếp thị trực tiếp có được thi hành hay không

1. các trường hợp dữ liệu cá nhân được thu thập. ví dụ: liệu dữ liệu cá nhân có liên quan được thu thập với tư cách cá nhân hay doanh nghiệp của cá nhân đó;
2. bản chất của sản phẩm hoặc dịch vụ. cụ thể là chúng được sử dụng cho công ty hay cho cá nhân;
3. cho dù nỗ lực tiếp thị được nhắm mục tiêu vào doanh nghiệp hay cá nhân

Lượng dữ liệu cá nhân được thu thập

Mặc dù Ủy viên về Quyền riêng tư đã bày tỏ rằng tên và thông tin liên hệ của khách hàng là đủ cho mục đích tiếp thị trực tiếp, nhưng trong Hướng dẫn mới về Tiếp thị trực tiếp có quy định rằng dữ liệu cá nhân bổ sung có thể được thu thập cho các mục đích tiếp thị trực tiếp (e. g. , lập hồ sơ và phân khúc khách hàng) nếu khách hàng chọn cung cấp dữ liệu trên cơ sở tự nguyện. Theo đó, nếu một tổ chức có ý định thu thập thêm dữ liệu cá nhân từ khách hàng của mình cho mục đích tiếp thị trực tiếp, thì tổ chức đó phải thông báo cho khách hàng của mình rằng việc cung cấp bất kỳ dữ liệu cá nhân nào khác để cho phép tổ chức thực hiện các mục đích cụ thể, chẳng hạn như lập hồ sơ và phân khúc khách hàng, là hoàn toàn

Hình phạt cho việc không tuân thủ

Không tuân thủ các điều khoản tiếp thị trực tiếp của PDPO là một hành vi phạm tội và hình phạt cao nhất là phạt tiền 1 triệu đô la Hồng Kông và phạt tù 5 năm

tin nhắn rác

Các hoạt động tiếp thị trực tiếp dưới hình thức liên lạc điện tử (ngoài các cuộc gọi tiếp thị trực tiếp giữa người với người) được quy định bởi Pháp lệnh về tin nhắn điện tử không được yêu cầu (UEMO). Theo UEMO, các doanh nghiệp không được gửi tin nhắn điện tử thương mại đến bất kỳ số điện thoại hoặc số fax nào đã đăng ký trong sổ đăng ký không gọi. Điều này bao gồm tin nhắn văn bản được gửi qua SMS, tin nhắn điện thoại được ghi âm trước, fax và email. Ngoài ra, UEMO cấm sử dụng các kỹ thuật vô đạo đức để mở rộng phạm vi tiếp cận của tin nhắn điện tử thương mại, gian lận và các hoạt động bất hợp pháp khác liên quan đến việc gửi nhiều tin nhắn điện tử thương mại. Vi phạm UEMO có thể bị phạt từ 100.000 đô la Hồng Kông đến 1 triệu đô la Hồng Kông và tối đa 5 năm tù

Chỉ có hai vụ truy tố theo UEMO. Đầu năm 2014, Văn phòng Cơ quan Truyền thông (OFCA) đã truy tố một công ty du lịch vì đã gửi tin nhắn fax thương mại đến các số điện thoại đã đăng ký trong sổ đăng ký không gọi. Đây là vụ truy tố đầu tiên kể từ khi UEMO có hiệu lực vào năm 2007. Vụ án đã được xét xử trước Tòa sơ thẩm, nhưng bị cáo không bị kết án vì thiếu bằng chứng. Vào tháng 1 năm 2017, một người gửi fax thương mại đã bị truy tố theo UEMO vì không tuân thủ các yêu cầu hủy đăng ký từ người nhận thư điện tử thương mại của anh ta. OFCA đã gửi thông báo thực thi vào tháng 10 năm 2015, yêu cầu người gửi ngừng gửi tin nhắn điện tử trái với UEMO. Người gửi đã không tuân thủ thông báo cưỡng chế và bị buộc phải trả khoản tiền phạt 7.500 đô la Hồng Kông và 60.000 đô la Hồng Kông cho OFCA cho các chi phí và phí tổn của cuộc điều tra

Các cuộc gọi tiếp thị qua điện thoại giữa người với người

Mặc dù Ủy viên Quyền riêng tư trước đây đã đề xuất thiết lập một sổ đăng ký không gọi điện trên toàn lãnh thổ đối với các cuộc gọi tiếp thị trực tiếp giữa người với người, nhưng điều này đã không được chính phủ theo đuổi trong lần sửa đổi gần đây của PDPO. Tuy nhiên, theo các điều khoản tiếp thị trực tiếp của PDPO, các tổ chức phải đảm bảo rằng họ không sử dụng dữ liệu cá nhân của khách hàng hoặc khách hàng tiềm năng để thực hiện các cuộc gọi tiếp thị qua điện thoại mà không có sự đồng ý của họ. Các tổ chức cũng nên kiểm tra xem tên của những khách hàng đã chọn không tham gia các cuộc gọi tiếp thị qua điện thoại không được giữ lại trong danh sách cuộc gọi của họ.

Vào ngày 5 tháng 8 năm 2014, Ủy viên Quyền riêng tư đã ban hành một thông báo ngắn gọn trên phương tiện truyền thông để thúc giục cơ quan quản lý chính phủ sửa đổi UEMO để mở rộng danh sách không gọi để bao gồm các cuộc gọi giữa người với người. Vào ngày 9 tháng 4 năm 2019, Cục Phát triển Kinh tế và Thương mại Hồng Kông đã công bố kế hoạch sửa đổi UEMO để mở rộng khung pháp lý bao gồm các cuộc gọi tiếp thị trực tiếp giữa người với người, bao gồm cả việc thiết lập một danh sách không gọi điện mới và áp đặt . Vào ngày 8 tháng 6 năm 2022, chính phủ đã ban hành một thông cáo báo chí nêu phản hồi của Bộ trưởng Thương mại và Phát triển Kinh tế, ông Edward Yau, về khả năng sửa đổi UEMO. Bộ trưởng chỉ ra rằng chính phủ đã 'không duy trì đủ ngày tháng để đánh giá tình hình của các cuộc gọi tiếp thị trực tiếp giữa người với người' và thời gian biểu cụ thể cho các sửa đổi luật được đề xuất vẫn chưa được công bố

Thực thi

Sau khi PCPD giới thiệu truy tố, các tòa án Hồng Kông đã đưa ra các hình phạt đầu tiên đối với các vi phạm tiếp thị trực tiếp vào năm 2015. Vào tháng 9 năm 2015, Tòa sơ thẩm đã kết án Hong Kong Broadband Network Limited (HKBN) vì vi phạm yêu cầu của PDPO rằng người dùng dữ liệu ngừng sử dụng dữ liệu cá nhân của một cá nhân trong hoạt động tiếp thị trực tiếp theo yêu cầu của cá nhân đó. Tòa án phạt 30.000 HKD. Trong một vụ kiện riêng tại tòa án từ tháng 9 năm 2015, Links International Relocation Limited đã nhận tội vi phạm tiếp thị trực tiếp PDPO vì không cung cấp thông tin bắt buộc cho người tiêu dùng trước khi sử dụng dữ liệu cá nhân của họ trong tiếp thị trực tiếp. Tòa án đã phạt công ty 10.000 đô la Hồng Kông

Các bản án bổ sung và tiền phạt tiếp theo đối với các vi phạm tiếp thị trực tiếp. Các trường hợp gần đây nhất do PCPD khởi xướng dẫn đến bị phạt và kết án liên quan đến hai công ty viễn thông, SmarTone Mobile Communications Limited và HKBN. Vào ngày 12 tháng 9 năm 2019, SmartTone Mobile Communications Limited đã nhận tội không tuân thủ yêu cầu từ chủ thể dữ liệu là ngừng sử dụng dữ liệu cá nhân của cô ấy trong hoạt động tiếp thị trực tiếp, dẫn đến khoản tiền phạt 84.000 đô la Hồng Kông. Vào ngày 20 tháng 5 năm 2020, HKBN đã bị phạt 12.000 đô la Hồng Kông vì sử dụng dữ liệu cá nhân của chủ thể dữ liệu trong hoạt động tiếp thị trực tiếp mà không được sự đồng ý và vì không tuân thủ yêu cầu của chủ thể dữ liệu là ngừng sử dụng dữ liệu cá nhân của mình trong hoạt động tiếp thị trực tiếp. Vào ngày 7 tháng 9 năm 2021, một đại lý bất động sản đã bị phạt 15.000 đô la Hồng Kông vì không tuân thủ yêu cầu của chủ thể dữ liệu là ngừng sử dụng dữ liệu cá nhân của anh ta trong hoạt động tiếp thị trực tiếp. Với số lượng lớn các vụ truy tố tội phạm bởi PCPD liên quan đến các vi phạm tiếp thị trực tiếp, chúng tôi hy vọng các vụ truy tố tiếp thị trực tiếp sẽ tiếp tục là một lĩnh vực thực thi tích cực

Ngoài ra, các tòa án Hồng Kông đã ban hành ngày càng nhiều lệnh cấm chống lại các hoạt động doxxing và các bản án hình sự liên quan đến doxxing theo PDPO

iii Luật đổi mới công nghệ và quyền riêng tư

Công cụ tìm kiếm, cookie, theo dõi trực tuyến và quảng cáo theo hành vi

Mặc dù không có yêu cầu cụ thể nào ở Hồng Kông về việc sử dụng công cụ tìm kiếm, cookie, theo dõi trực tuyến hoặc quảng cáo theo hành vi, nhưng các tổ chức triển khai theo dõi trực tuyến liên quan đến việc thu thập dữ liệu cá nhân của người dùng trang web phải tuân thủ các yêu cầu theo PDPO, bao gồm sáu . Các công nghệ nâng cao quyền riêng tư nên được áp dụng để giảm thiểu rủi ro lộ dữ liệu cá nhân, chẳng hạn như mã hóa hoặc băm để duy trì tính bảo mật của dữ liệu, giao thức loại trừ rô-bốt để ngăn các công cụ tìm kiếm lập chỉ mục các trang web, xác minh chống rô-bốt để ngăn cơ sở dữ liệu được tải xuống hàng loạt bởi

PCPD đã xuất bản một tờ rơi thông tin có tựa đề 'Theo dõi hành vi trực tuyến' (được sửa đổi vào tháng 4 năm 2014), cung cấp thông lệ khuyến nghị cho các tổ chức triển khai theo dõi trực tuyến trên trang web của họ. Cụ thể, các tổ chức nên thông báo cho người dùng loại thông tin nào đang được họ theo dõi, liệu có bên thứ ba nào đang theo dõi thông tin hành vi của họ hay không và cung cấp cho người dùng cách từ chối theo dõi.

Trong trường hợp cookie được sử dụng để thu thập thông tin hành vi, các tổ chức nên đặt trước ngày hết hạn hợp lý cho cookie, mã hóa nội dung của cookie bất cứ khi nào thích hợp và không triển khai các kỹ thuật bỏ qua cài đặt trình duyệt trên cookie trừ khi họ có thể

PCPD cũng xuất bản Hướng dẫn dành cho Người dùng Dữ liệu về Thu thập và Sử dụng Dữ liệu Cá nhân qua Internet (sửa đổi vào tháng 4 năm 2014), hướng dẫn này khuyên các tổ chức tuân thủ PDPO khi tham gia vào việc thu thập, hiển thị hoặc truyền dữ liệu cá nhân qua Internet

Điện toán đám mây

PCPD đã xuất bản tờ thông tin 'Điện toán đám mây' vào tháng 11 năm 2012, cung cấp lời khuyên cho các tổ chức về các yếu tố họ nên xem xét trước khi tham gia vào điện toán đám mây. Ví dụ: các tổ chức nên xem xét liệu nhà cung cấp đám mây có thỏa thuận hợp đồng phụ với các nhà thầu khác hay không và có những biện pháp nào để đảm bảo các nhà thầu phụ này và nhân viên của họ tuân thủ PDPO. Ngoài ra, khi giao dịch với các nhà cung cấp đám mây chỉ cung cấp các dịch vụ và hợp đồng tiêu chuẩn, người dùng dữ liệu phải đánh giá xem các dịch vụ và hợp đồng có đáp ứng tất cả các tiêu chuẩn bảo vệ quyền riêng tư và bảo mật dữ liệu cá nhân mà họ yêu cầu hay không

Vào ngày 30 tháng 7 năm 2015, PCPD đã xuất bản tờ rơi thông tin sửa đổi 'Điện toán đám mây' để tư vấn cho người dùng đám mây về quyền riêng tư, tầm quan trọng của việc đánh giá đầy đủ các lợi ích và rủi ro của dịch vụ đám mây và ý nghĩa của việc bảo vệ quyền riêng tư của dữ liệu cá nhân. Tờ rơi mới bao gồm lời khuyên cho các tổ chức về những loại đảm bảo hoặc hỗ trợ mà họ nên nhận được từ các nhà cung cấp dịch vụ đám mây để bảo vệ dữ liệu cá nhân được ủy thác cho họ

giám sát nhân viên

Vào tháng 4 năm 2016, PCPD đã xuất bản Nguyên tắc Bảo mật sửa đổi. Giám sát và Quyền riêng tư Dữ liệu Cá nhân tại Nơi làm việc để hỗ trợ người sử dụng lao động hiểu các bước họ có thể thực hiện để đánh giá mức độ phù hợp của việc giám sát nhân viên đối với doanh nghiệp của họ và cách họ có thể phát triển các phương pháp tuân thủ quyền riêng tư trong việc quản lý dữ liệu cá nhân thu được từ việc giám sát nhân viên. Các hướng dẫn được áp dụng cho các hoạt động giám sát nhân viên, theo đó dữ liệu cá nhân của nhân viên được thu thập ở dạng được ghi lại bằng các phương tiện sau. điện thoại, email, internet và video

Người sử dụng lao động phải đảm bảo rằng họ không vi phạm các DPP của PDPO trong khi giám sát các hoạt động của nhân viên. PCPD đã cung cấp một số hướng dẫn bổ sung về giám sát các hoạt động của nhân viên và đã khuyến nghị người sử dụng lao động thực hiện những điều sau

1. đánh giá nhu cầu giám sát nhân viên và tác động của nó đối với quyền riêng tư dữ liệu cá nhân. Nhà tuyển dụng được khuyến nghị thực hiện quy trình đánh giá ba bước có hệ thống
   • 'đánh giá' các rủi ro mà việc giám sát nhân viên nhằm mục đích quản lý và cân nhắc rủi ro đó với lợi ích thu được;
   • 'các lựa chọn thay thế' để giám sát nhân viên và các tùy chọn khác có sẵn cho người sử dụng lao động có thể hiệu quả về chi phí và thiết thực như nhau nhưng ít xâm phạm quyền riêng tư của nhân viên hơn;
   • 'trách nhiệm giải trình' của người sử dụng lao động đang giám sát nhân viên và liệu người sử dụng lao động có chịu trách nhiệm pháp lý về việc không tuân thủ PDPO trong việc giám sát và thu thập dữ liệu cá nhân của nhân viên hay không;
2. giám sát dữ liệu cá nhân thu được từ giám sát nhân viên. Khi thiết kế các chính sách giám sát và quy trình quản lý dữ liệu, người sử dụng lao động nên áp dụng quy trình có hệ thống ba bước
   • 'sự rõ ràng' trong việc phát triển và thực hiện các chính sách giám sát nhân viên, mục đích của việc giám sát nhân viên;
   • 'giao tiếp' với nhân viên để tiết lộ cho họ bản chất và lý do giám sát nhân viên trước khi thực hiện giám sát nhân viên;
   • 'kiểm soát' đối với việc lưu giữ, xử lý và sử dụng dữ liệu giám sát nhân viên để bảo vệ dữ liệu cá nhân của nhân viên

Vào tháng 3 năm 2022, PCPD cũng đã ban hành Hướng dẫn cho Chủ lao động về Thu thập và Sử dụng Dữ liệu Cá nhân của Nhân viên trong Đại dịch Covid-19 (Hướng dẫn tháng 3 năm 2022). Mặc dù Hướng dẫn tháng 3 năm 2022 không ràng buộc về mặt pháp lý, nhưng nó đưa ra một số hướng dẫn về nghĩa vụ của người sử dụng lao động theo PDPO khi thu thập và sử dụng dữ liệu sức khỏe của nhân viên để đảm bảo an toàn tại nơi làm việc trong bối cảnh đại dịch covid-19. Hướng dẫn tháng 3 năm 2022 khám phá một số chủ đề thực tế như ý nghĩa bảo mật dữ liệu phát sinh từ việc người sử dụng lao động thu thập các phép đo nhiệt độ, lịch sử du lịch, hồ sơ tiêm chủng và dữ liệu liên quan đến covid-19 khác của nhân viên của họ hoặc thành viên gia đình của nhân viên. Hướng dẫn tháng 3 năm 2022 cũng nhấn mạnh tầm quan trọng của những điều sau

1. chủ lao động chỉ nên thu thập dữ liệu sức khỏe cần thiết và liên quan trực tiếp đến mục đích thu thập dữ liệu;
2. dữ liệu do người sử dụng lao động thu thập phải đầy đủ nhưng không quá mức – người sử dụng lao động nên áp dụng các biện pháp ít xâm phạm nhất;
3. người sử dụng lao động nên truyền đạt rõ ràng tất cả các thông tin cần thiết cho nhân viên;
4. người sử dụng lao động không nên lưu giữ thông tin cần thiết trong một khoảng thời gian dài hơn mức cần thiết;
5. người sử dụng lao động phải đảm bảo rằng có các chính sách để duy trì thông tin tiêm chủng và kết quả xét nghiệm của nhân viên chính xác và cập nhật;
6. người sử dụng lao động nên thực hiện tất cả các bước có thể thực hiện được để đảm bảo an toàn cho dữ liệu sức khỏe được thu thập

công nghệ tài chính

Vào tháng 3 năm 2019, PCPD đã xuất bản một tờ rơi thông tin có tựa đề 'Mẹo sử dụng Fintech', đưa ra lời khuyên cho người dùng trong việc bảo vệ quyền riêng tư dữ liệu cá nhân của họ khi sử dụng fintech và đề xuất các phương pháp hay cho các nhà cung cấp hoặc nhà điều hành fintech. Vào tháng 5 năm 2019, HKMA đã ban hành thông tư về Sử dụng dữ liệu cá nhân trong phát triển công nghệ tài chính để khuyến khích các tổ chức được ủy quyền áp dụng và triển khai Khung trách nhiệm giải trình đạo đức (EAF) cho việc thu thập và sử dụng dữ liệu cá nhân do PCPD ban hành. EAF thúc đẩy việc xử lý dữ liệu một cách công bằng và có đạo đức thông qua (1) thúc đẩy văn hóa quản trị dữ liệu có đạo đức;

Truyền dữ liệu quốc tế và nội địa hóa dữ liệu

Mục 33 của PDPO đề cập đến việc chuyển dữ liệu ra bên ngoài Hồng Kông và nghiêm cấm mọi hoạt động chuyển dữ liệu cá nhân đến một nơi bên ngoài Hồng Kông trừ những trường hợp cụ thể, chẳng hạn như luật bảo vệ dữ liệu của quốc gia nước ngoài tương tự như PDPO . Mục 33 của PDPO đã không có hiệu lực kể từ khi được ban hành vào năm 1995. Mặc dù việc thực hiện đã được thảo luận nhất quán trong những năm gần đây, chính phủ hiện không có thời gian biểu cho việc thực hiện

Vào tháng 5 năm 2022, PCPD đã ban hành Hướng dẫn về các điều khoản hợp đồng mẫu được đề xuất cho việc chuyển dữ liệu cá nhân xuyên biên giới (Hướng dẫn tháng 5 năm 2022). Mặc dù Hướng dẫn tháng 5 năm 2022 không ràng buộc về mặt pháp lý, nhưng PCPD khuyên người dùng dữ liệu nên kết hợp các điều khoản mô hình được đề xuất (RMC) được nêu trong Hướng dẫn tháng 5 năm 2022 vào việc truyền dữ liệu xuyên biên giới. PCPD chỉ ra rằng việc áp dụng các RMC cũng sẽ minh họa rằng người dùng dữ liệu đã thực hiện tất cả các biện pháp phòng ngừa hợp lý và thực hiện tất cả sự cẩn trọng để đảm bảo rằng dữ liệu sẽ không bị thu thập, lưu giữ, xử lý, trong phạm vi quyền hạn của bên nhận chuyển giao, . Tất cả các yếu tố này sẽ được tính đến khi có bất kỳ hành vi nghi ngờ hoặc bị cáo buộc nào vi phạm PDPO, bao gồm cả các DPP. RMC áp dụng cho chuyển từ người dùng dữ liệu sang người dùng dữ liệu khác hoặc đến bộ xử lý dữ liệu. RMC bao gồm các yêu cầu mà người được chuyển nhượng đồng ý theo hợp đồng sử dụng dữ liệu cá nhân cho các mục đích chuyển nhượng đã thỏa thuận với người chuyển nhượng, áp dụng các biện pháp bảo mật đã thỏa thuận, lưu giữ dữ liệu cá nhân trong khoảng thời gian không lâu hơn mức cần thiết cho mục đích chuyển nhượng, v.v.

Chính sách và thông lệ của công ty

Các tổ chức xử lý dữ liệu cá nhân được yêu cầu cung cấp PPS của họ cho công chúng theo cách dễ dàng truy cập. Ngoài ra, trước khi thu thập dữ liệu cá nhân từ các cá nhân, các tổ chức phải cung cấp cài đặt PICS, ngoài những điều khác, mục đích thu thập dữ liệu cá nhân và các lớp người nhận dữ liệu. Như đã đề cập ở trên, PCPD đã xuất bản Hướng dẫn Chuẩn bị Tuyên bố Thu thập Thông tin Cá nhân và Tuyên bố Chính sách Bảo mật (xem Phần III. i), cung cấp hướng dẫn cho các tổ chức khi chuẩn bị PPS và PICS của họ

Chương trình quản lý quyền riêng tư. Hướng dẫn thực hành tốt nhất (Hướng dẫn thực hành tốt nhất) cũng cung cấp hướng dẫn cho các tổ chức để phát triển các chính sách và thực tiễn bảo mật của riêng họ. Cụ thể, các tổ chức nên chỉ định một nhân viên bảo vệ dữ liệu để giám sát việc tuân thủ PDPO của tổ chức. Về chính sách của công ty, ngoài PPS và PICS, Hướng dẫn thực hành tốt nhất khuyến nghị các tổ chức nên phát triển các chính sách chính về các lĩnh vực sau. độ chính xác và lưu giữ dữ liệu cá nhân;

Hướng dẫn Thực hành Tốt nhất cũng nhấn mạnh tầm quan trọng của việc giám sát và xem xét liên tục các chính sách và thực tiễn về quyền riêng tư của tổ chức để đảm bảo chúng luôn hiệu quả và cập nhật

PCPD đã xuất bản một tờ rơi thông tin vào tháng 4 năm 2019 có tựa đề 'Đạo đức dữ liệu cho doanh nghiệp vừa và nhỏ' để tư vấn cho các doanh nghiệp vừa và nhỏ (SME) về các giá trị cốt lõi của đạo đức dữ liệu bao gồm tôn trọng, có lợi và công bằng cũng như việc áp dụng các nguyên tắc đạo đức.

Khám phá và tiết lộ

i Khám phá

Việc sử dụng dữ liệu cá nhân liên quan đến bất kỳ thủ tục pháp lý nào ở Hồng Kông được miễn trừ khỏi các yêu cầu của DPP3, yêu cầu các tổ chức phải có được sự đồng ý theo quy định từ các cá nhân trước khi sử dụng dữ liệu cá nhân của họ cho mục đích mới (xem Phần III. tôi). Theo đó, các bên trong quá trình tố tụng không bắt buộc phải có sự đồng ý của các cá nhân liên quan trước khi tiết lộ tài liệu chứa dữ liệu cá nhân của họ cho mục đích khám phá trong quá trình tố tụng.

ii Tiết lộ

Các cơ quan quản lý ở Hồng Kông, chẳng hạn như Lực lượng Cảnh sát Hồng Kông, Ủy ban Độc lập Chống Tham nhũng và Ủy ban Chứng khoán và Hợp đồng Tương lai, có nghĩa vụ tuân thủ các yêu cầu của PDPO trong quá trình điều tra của họ. Ví dụ: các cơ quan quản lý ở Hồng Kông được yêu cầu cung cấp PICS cho các cá nhân trước khi thu thập thông tin hoặc tài liệu chứa dữ liệu cá nhân của họ trong quá trình điều tra

Tuy nhiên, trong một số trường hợp nhất định, các tổ chức và cơ quan quản lý không bắt buộc phải tuân thủ DPP3 để có được sự đồng ý theo quy định từ các cá nhân có liên quan. Điều này bao gồm các trường hợp dữ liệu cá nhân sẽ được sử dụng để ngăn chặn hoặc phát hiện tội phạm và bắt giữ, truy tố hoặc giam giữ những kẻ phạm tội và khi việc tuân thủ DPP3 có thể ảnh hưởng đến các mục đích nói trên

Mặc dù vậy, PCPD nhấn mạnh rằng trước tiên các bệnh viện nên yêu cầu cơ quan thực thi yêu cầu dữ liệu cá nhân cung cấp đầy đủ thông tin, bao gồm nhưng không giới hạn ở mục đích thu thập dữ liệu, bản chất của vụ việc đang được điều tra và mức độ liên quan của dữ liệu được yêu cầu với . Cơ quan thực thi cũng có nhiệm vụ thông báo cho bệnh viện biết liệu việc cung cấp dữ liệu có bắt buộc hay không, nếu không, cơ quan thực thi có thể bị coi là đi ngược lại PDPO thông qua việc đánh lừa bệnh viện hoặc lạm dụng quyền lực

Một miễn trừ khác đối với DPP3 là khi dữ liệu cá nhân được yêu cầu hoặc được ủy quyền theo bất kỳ điều luật, quy định pháp luật hoặc lệnh tòa nào ở Hồng Kông. Ví dụ: Ủy ban Chứng khoán và Hợp đồng Tương lai có thể đưa ra thông báo cho một tổ chức theo Pháp lệnh Chứng khoán và Hợp đồng Tương lai yêu cầu tổ chức xuất trình một số tài liệu có chứa dữ liệu cá nhân của khách hàng. Trong trường hợp như vậy, việc tiết lộ dữ liệu cá nhân của tổ chức sẽ được miễn DPP3 vì nó được cho phép theo Pháp lệnh Chứng khoán và Tương lai

Thực thi công cộng và tư nhân

i Thực thi công khai

Một cá nhân có thể khiếu nại với PCPD về hành động hoặc cách làm của người dùng dữ liệu liên quan đến dữ liệu cá nhân của họ. Nếu PCPD có cơ sở hợp lý để tin rằng người dùng dữ liệu có thể đã vi phạm PDPO, thì PCPD phải điều tra người dùng dữ liệu có liên quan. Như đã đề cập ở trên, mặc dù bản thân việc vi phạm các DPP không cấu thành hành vi phạm tội, nhưng PCPD có thể đưa ra thông báo cưỡng chế đối với người dùng dữ liệu vì vi phạm DPP và người dùng dữ liệu vi phạm thông báo cưỡng chế sẽ phạm tội

Trước khi sửa đổi PDPO vào năm 2012, PCPD chỉ được trao quyền đưa ra thông báo thực thi khi, sau một cuộc điều tra, có ý kiến ​​cho rằng người dùng dữ liệu đang vi phạm hoặc có khả năng tiếp tục vi phạm PDPO. Theo đó, trong các trường hợp trước đây khi các hành vi vi phạm đã chấm dứt và người dùng dữ liệu đã đưa ra các cam kết bằng văn bản cho PCPD để khắc phục hành vi vi phạm và để đảm bảo rằng hành vi vi phạm sẽ không tiếp tục hoặc tái diễn, thì PCPD không thể gửi thông báo thực thi đối với họ khi tiếp tục hoặc lặp lại

Kể từ khi Pháp lệnh sửa đổi năm 2012 có hiệu lực, PCPD đã được trao quyền đưa ra thông báo thực thi khi người dùng dữ liệu đang vi phạm hoặc đã vi phạm, PDPO, bất kể việc vi phạm đó đã chấm dứt hay có khả năng tái diễn. Thông báo thực thi do PCPD gửi có thể hướng dẫn người dùng dữ liệu khắc phục và ngăn chặn mọi hành vi vi phạm tái diễn. Người dùng dữ liệu trái với thông báo thực thi sẽ phạm tội và phải chịu trách nhiệm khi bị kết án lần đầu với mức phạt lên tới 50.000 đô la Hồng Kông và hai năm tù giam, trong trường hợp tiếp tục vi phạm, hình phạt 1.000 đô la Hồng Kông cho mỗi ngày vi phạm. . Nếu bị kết án lần thứ hai hoặc sau đó, người sử dụng dữ liệu sẽ phải chịu khoản tiền phạt lên tới 100.000 đô la Hồng Kông và phạt tù hai năm, với mức phạt hàng ngày là 2.000 đô la Hồng Kông

ii Thực thi riêng

Mục 66 của PDPO quy định về bồi thường dân sự. Các cá nhân bị tổn thất do người dùng dữ liệu sử dụng dữ liệu cá nhân của họ trái với PDPO có quyền được người dùng dữ liệu đó bồi thường. Đó là biện pháp bảo vệ người dùng dữ liệu chứng minh rằng họ đã thực hiện các bước hợp lý để tránh vi phạm như vậy

Các cá nhân bị ảnh hưởng muốn được bồi thường theo Mục 66 của PDPO có thể nộp đơn lên Ủy viên Quyền riêng tư để được hỗ trợ và Ủy viên Quyền riêng tư có toàn quyền quyết định có chấp thuận hay không. Hỗ trợ của Ủy viên Quyền riêng tư có thể bao gồm đưa ra lời khuyên, sắp xếp hỗ trợ bởi một luật sư có trình độ, sắp xếp đại diện pháp lý hoặc các hình thức hỗ trợ khác mà Ủy viên Quyền riêng tư có thể cho là phù hợp

Cân nhắc đối với các tổ chức nước ngoài

Mặc dù PDPO không trao quyền áp dụng ngoài lãnh thổ, nhưng nó áp dụng cho các tổ chức nước ngoài trong phạm vi các tổ chức nước ngoài có văn phòng hoặc hoạt động tại Hồng Kông. Ví dụ: nếu một công ty nước ngoài có công ty con ở Hồng Kông, thì công ty con ở Hồng Kông sẽ chịu trách nhiệm về dữ liệu cá nhân mà công ty đó kiểm soát và phải đảm bảo dữ liệu cá nhân được xử lý theo PDPO bất kể dữ liệu có được truyền đi hay không.

An ninh mạng và vi phạm dữ liệu

i Tội phạm mạng và an ninh mạng

Như đã lưu ý trước đây, Hồng Kông không có luật an ninh mạng hoặc tội phạm mạng độc lập. Pháp lệnh Tội phạm Máy tính, được ban hành cách đây gần 30 năm vào năm 1993, đã sửa đổi Pháp lệnh Viễn thông, Pháp lệnh Tội phạm và Pháp lệnh Trộm cắp, mở rộng phạm vi các tội phạm hình sự hiện có bao gồm cả các tội phạm hình sự liên quan đến máy tính. Bao gồm các

1. truy cập trái phép vào bất kỳ máy tính nào;
2. khai khống sổ kế toán ngân hàng bằng phương tiện điện tử;
3. lấy quyền truy cập vào máy tính với mục đích phạm tội hoặc với mục đích không trung thực;
4. thay đổi, thêm hoặc xóa trái phép chức năng hoặc hồ sơ của máy tính

Mặc dù Hồng Kông hiện không có luật an ninh mạng, nhưng chính phủ hỗ trợ một số tổ chức chuyên ứng phó với các mối đe dọa và sự cố mạng. Các thực thể này bao gồm Trung tâm Điều phối Nhóm Ứng phó Khẩn cấp Hồng Kông (do Hội đồng Năng suất Hồng Kông quản lý) để điều phối các phản hồi cho doanh nghiệp địa phương và người dùng internet, và Nhóm Ứng phó Khẩn cấp Máy tính của Chính phủ Hồng Kông (đơn vị làm việc được thành lập trực thuộc Văn phòng Chính phủ . Ngoài ra, Lực lượng Cảnh sát Hồng Kông đã thành lập Cục An ninh Mạng và Tội phạm Công nghệ, chịu trách nhiệm xử lý các vấn đề an ninh mạng và chống tội phạm máy tính.

Cơ quan tiền tệ Hồng Kông đã thông báo vào tháng 1 năm 2019 rằng lĩnh vực tài chính sẽ tăng cường nỗ lực chống tội phạm mạng thông qua Khung đánh giá khả năng phục hồi không gian mạng (C-RAF), là một công cụ đánh giá gồm ba phần giúp trí tuệ nhân tạo đánh giá khả năng phục hồi không gian mạng cho

ii Vi phạm dữ liệu

Hiện tại không có yêu cầu thông báo vi phạm dữ liệu bắt buộc tại Hồng Kông. Vào tháng 10 năm 2015 và sau đó vào tháng 1 năm 2019, PCPD đã sửa đổi Hướng dẫn về Xử lý vi phạm dữ liệu và Đưa ra thông báo vi phạm, cung cấp cho người dùng dữ liệu các bước thực tế trong việc xử lý vi phạm dữ liệu và giảm thiểu tổn thất cũng như thiệt hại gây ra cho các cá nhân liên quan. Mặc dù PCPD đã lưu ý trong Hướng dẫn rằng không có yêu cầu thông báo theo luật định, nhưng PCPD khuyến nghị rằng những người sử dụng dữ liệu nên cân nhắc việc thông báo cho những người bị ảnh hưởng và các cơ quan có liên quan, chẳng hạn như PCPD. Cụ thể, sau khi đánh giá tình hình và tác động của việc vi phạm dữ liệu, người dùng dữ liệu nên xem xét liệu những người sau có nên được thông báo ngay khi có thể hay không

1. các đối tượng dữ liệu bị ảnh hưởng;
2. các cơ quan thực thi pháp luật;
3. Ủy viên Quyền riêng tư (mẫu thông báo vi phạm dữ liệu có sẵn trên trang web của PCPD);
4. bất kỳ cơ quan quản lý có liên quan;
5. các bên khác có thể thực hiện các biện pháp khắc phục để bảo vệ quyền riêng tư dữ liệu cá nhân và lợi ích của các chủ thể dữ liệu bị ảnh hưởng (e. g. , các công ty internet như Google và Yahoo. có thể hỗ trợ xóa liên kết được lưu trong bộ nhớ cache có liên quan khỏi công cụ tìm kiếm của họ)

Quan điểm

Khuôn khổ bảo vệ và quyền riêng tư dữ liệu của Hồng Kông đã có từ lâu, nhưng tương đối ít nghiêm ngặt hơn khi so sánh với các khu vực tài phán lớn khác như Liên minh Châu Âu. Ví dụ: hiện tại không có yêu cầu thông báo vi phạm dữ liệu. Việc vi phạm các DPP sẽ không dẫn đến trách nhiệm hình sự ngay lập tức. Ngay cả khi các điều khoản tiếp thị trực tiếp bị vi phạm, có vẻ như các khoản tiền phạt được áp dụng cho đến nay nói chung là khiêm tốn. Cũng không có yêu cầu ràng buộc về mặt pháp lý đối với các thỏa thuận hợp đồng giữa người dùng dữ liệu và bộ xử lý. Ngay cả khi Mục 33 của PDPO có hiệu lực, có vẻ như sự đồng ý của chủ thể dữ liệu sẽ đủ để cho phép người dùng dữ liệu chuyển dữ liệu xuyên biên giới. Trước các hoạt động doxxing tràn lan và việc thu thập dữ liệu cá nhân khổng lồ để chống lại đại dịch covid-19 trong những năm gần đây, công chúng ngày càng nhận thức được quyền của họ và tầm quan trọng của việc bảo vệ dữ liệu. Dự kiến, sau Pháp lệnh sửa đổi năm 2021, chính phủ sẽ tiếp tục vận động hành lang với các bên liên quan khác nhau để thúc đẩy các sửa đổi tiếp theo đối với PDPO như đã lưu ý ở đầu chương này nhằm khuôn khổ bảo vệ và quyền riêng tư dữ liệu của Hồng Kông phù hợp với quốc tế.

Chúng tôi hy vọng rằng PCPD sẽ tiếp tục thực thi ở các cấp độ nói chung, với việc tiếp tục nhấn mạnh vào các hoạt động doxxing, vi phạm tiếp thị trực tiếp và đề nghị truy tố đối với các vi phạm đó. PCPD trước đây đã nhấn mạnh tầm quan trọng của việc đạt được sự cân bằng giữa bảo vệ quyền riêng tư và luồng thông tin tự do, thu hút các doanh nghiệp vừa và nhỏ thúc đẩy việc bảo vệ và tôn trọng quyền riêng tư cá nhân, đồng thời củng cố mối quan hệ làm việc của PCPD với Trung Quốc đại lục và các cơ quan bảo vệ dữ liệu ở nước ngoài. PCPD cũng nhắc nhở các tổ chức và doanh nghiệp ở Hồng Kông đánh giá tác động tiềm ẩn của khung pháp lý về bảo vệ dữ liệu trong Quy định bảo vệ dữ liệu chung của EU (GDPR), có hiệu lực từ ngày 25 tháng 5 năm 2018. Hiệu ứng ngoài lãnh thổ của GDPR cho thấy rằng các tổ chức và doanh nghiệp ở Hồng Kông thu thập và xử lý dữ liệu cá nhân của các cá nhân EU nên sẵn sàng tuân thủ các yêu cầu của GDPR. Chúng tôi hy vọng rằng PCPD và chính quyền Hồng Kông sẽ tiếp tục với định hướng chính sách này và những sáng kiến ​​này để củng cố vị thế của Hồng Kông là trung tâm dữ liệu hàng đầu của châu Á và cung cấp thêm chính sách, hỗ trợ khuyến khích và khuyến khích để tạo điều kiện tăng trưởng trong khu vực

Đối với tội phạm mạng và an ninh mạng, chúng tôi không lường trước được các quy định pháp luật quan trọng trong thời gian tới và hy vọng rằng các cơ quan quản lý ngành sẽ tiếp tục đi đầu trong các lĩnh vực này