私隐专员公署针对一家本地社交会所作出的裁定，明确了监管机构对于“落后 IT 基础设施”与《个人资料（私隐）条例》（下称“《私隐条例》”）项下“对资料当事人所负审慎责任”两者交叠关系的监管预期。

私隐专员公署针对本地一家社交会所作出的调查结果，明确了监管机构对于“遗留 IT 基础设施”与《个人资料（私隐）条例》（“《私隐条例》”）项下资料使用者对资料当事人所负“审慎责任”之交叉关系的合规预期。

请 点击此处 就私隐专员公署的 官方新闻稿.

执行行动：数据安全

私隐专员公署的调查源于一起勒索软件事件，该事件导致约 28,000 名个人的资料遭到外泄。在判定该会所违反“保障资料原则第 4 准则”（数据保安）时，专员指出了若干关键过失；本所认为，这些过失将成为未来判定此类疏忽行为的基准参照：

未能对漏洞实施及时的修补

该等违规行为系由一款远程访问软件中存在的已知漏洞所导致，而软件开发者早在 12 个月前便已就该漏洞发出警示。私隐专员公署的立场极为明确：第三方服务供应商的存在，并不能免除资料使用者确保及时实施补丁更新的法定义务。

欠缺多重认证 

专员明确指出，缺乏多重认证（“MFA”）即属未能采取“所有务实可行的步骤”以保障资料安全。在当前的网络威胁环境下，远程访问仅采用单因素身份验证，已日益被私隐专员公署视为本质上不充分。

数据保留之比例性原则

调查显示，该会所在缺乏明确正当理由的情况下，将已退会成员的资料保留长达数年之久。此等违反“保障资料原则第 2 准则”（数据保留）的行为说明，过度留存数据不仅是一项合规层面的疏忽，更是加剧数据外泄严重程度的诱因。

关于未成年人的指引

私隐专员公署发布了新的指引—《保障儿童网络隐私实用指引》—此举预示着监管范式正向更具保护主义色彩的数字平台监管方向转变。

该指引重点阐述了私隐专员公署对未成年人所分享数据之“永久性”问题的担忧，以及人工智能（AI）驱动平台所带来的特定风险。对于与年轻受众群体存在交互的机构而言，其核心合规要点包括：

强化的透明度义务

针对儿童的披露内容必须以与其认知能力相匹配的方式呈现。

AI Data Minimization

私隐专员公署明确指出，部署人工智能（AI）模型的机构必须建立防护机制，以防止在模型训练过程中无意中摄取并永久保留儿童的敏感个人资料。

默认隐私保护

监管机构预期平台将针对未成年用户采取“隐私优先”的默认设置，从而将资料收集范围严格限制在提供服务所需的最低限度内。

分析与对企业的启示

私隐专员公署近期的监管动态表明，其监管手段日益趋向成熟精细，且与全球其他司法管辖区的监管趋势保持一致。各机构应考虑采取以下战略性必要举措：

供应商监管与弥补

该会所对信息匮乏的服务供应商的过度依赖，进一步凸显了落实严谨供应商管理的必要性。本所建议客户重新审视其《服务水平协议》（“SLAs”），以确保其中包含有关漏洞扫描及强制性保安补丁报告的具体要求。此外，本所建议在 SLAs 中加入“审计权”条款。

“遗留系统”与法律责任 

监管机构并未将“遗留系统”视为免责借口。私隐专员公署已明确表示，若“已知”漏洞遭到利用，其在采取执行行动时，将不会把升级旧有基础设施的成本或复杂性视为有效的抗辩理由。

风险缓解 - 数据保留

鉴于有关数据保留的调查结果，各机构应进行一次“数据精简”（Data Pruning）行动。在面对复杂的网络攻击时，清除不必要的遗留数据是降低潜在法律责任最有效的方法。

“务实可行”保安措施之更高标准

私隐专员公署的调查结果要求各机构必须建立严谨且多层次的合规协议。具体而言，机构现时必须整合强有力的身份验证协议——主要包括MFA及严格的密码指令——并配合程序化的独立保安风险评估、漏洞扫描及全面的系统审计。此外，公署已发出明确信号：若缺乏正式的数据保留政策或未能针对信息安全开展周期性的员工培训，均可能被视为未能履行《私隐条例》所要求的审慎责任。

教育技术及面向青少年品牌的特殊合规考量

为未成年人提供服务的公司应重新审视其隐私政策披露内容。透明度必须符合“年龄适应性”。在涉及儿童时，标准的法律术语可能不足以满足私隐专员公署对清晰度的预期。

跨越数据鸿沟

我们致力于弥合本地运营需求与国际监管标准之间的鸿沟。无论您的企业是金融科技、巨头还是初创公司，我们的团队均能提供战略性建议，助力企业化解高风险风险敞口。  

梁延达, 合伙人

alfredleung@hkytl.com; +852 3468 7202

本文为介绍性文章。其内容以出版日期为准。 它并不构成法律意见，也不应被视为法律依据。在采取任何与本文所涉事项相关的行动前，您应始终根据自身具体情况获取法律意见。文中某些信息可能源自外部渠道，我们对任何此类信息的准确性或时效性不作保证。