Employment and Business Immigration Law

武汉冠状病毒大流行:香港在家工作安排引起的保密和资料隐私问题
武汉冠状病毒大流行:香港在家工作安排引起的保密和资料隐私问题

武汉冠状病毒大流行:香港在家工作安排引起的保密和资料隐私问题

作者:陈韵祺

前言

随着死亡人数和确诊病例的增加,香港和其他许多主要城市都尝试了最大规模的灵活工作或在家办公,以维护员工的健康和安全。尽管员工在家办公,无疑会减少亲密接触,从而减少疾病传播,并且有利公共卫生,但是公司会承受什么法律风险?本文将重点研究在家工作安排引起的机密性和资料隐私问题,以及它们在机密信息和资料隐私方面所带来的危险。最后,本文亦提供方法去消除这种机密性和资料隐私引起的陷阱。

保密和资料隐私义务
雇主和专业人员应遵守哪些保密和资料隐私义务,这些义务同样适用于在家工作中吗?
 

保密
除了有关保密的一般普通法原则外,许多专业人员还应遵守与客户信息和其他机密信息有关的更严格的行业特定保密义务。这些义务通常包含在各自的行为准则或指引中。律师的准则可以在《香港事务律师专业操守指引》第8.01条中找到,该条明确指出: 「对于事务律师在专业关系持续期间获得的所有涉及当事人业务和事务资料,该律师有法律及专业责任严格予以保密,且不得透露该等资料,除非当事人明确或暗示授权作出披露、或法律规定须作披露,或当事人明确或默示免除上述保密责任。」 另一方面,会计师亦受到同样严格的保密要求。 《香港会计师公会专业会计师道德守则》第100.5(d)条要求从业者: 「……尊重由于专业和业务关系而获得的信息的机密性,因此,除非有合法或专业的权利或义务披露或使用这些信息,否则,不得为了专业会计师,或第三方的个人利益在未经适当和指定的授权,将任何此类信息透露给第三方。」 注册会计师如果违反此类保密义务,可能会导致各种严厉处罚,例如受到谴责,被罚款,取消执业证书,甚至在指定年限内将其从注册会计师和非发行执业证书中除名。
 

资料私隐
关于资料隐私,任何行业或专业从第三方包括客户在内收集资料的行为均受《个人资料(隐私)条例》(第486章)(PDPO)的约束。对于会计师事务所,在审计过程中接触到的文档(包括雇佣合同,雇主的报酬等)可能包含个人资料并引起隐私问题。 PDPO中提出了六项资料保护原则(DPP),其中包括:

  • DPP1资料收集

收集个人资料的目的与资料使用者的职能或活动有关,方法必须是合法和公平的,但不超乎适度。资料当事人应被告知收集资料的目的和资料可能会被转移给哪类人士。

  • DPP2准确性及保留期间

资料使用者应采取切实可行的步骤,以确保个人资料准确无误,并且保留的时间不得超过实现其用途所需的时间。

  • DPP3资料的使用

个人资料必须用于收集资料的目的或直接相关的目的,除非从资料当事人自愿和明确同意新目的。

  • DPP4资料的安全

资料使用者需要采取切实可行的步骤,保障个人资料不会未经授权或意外地被查阅、处理、删除、丧失或使用。

  • DPP5 透明度

资料使用者必须采取切实可行的步骤,以使公众了解其持有的个人资料类型以及如何使用该资料的政策和实务。

  • DPP6访问和更正

资料当事人必须授予访问其个人资料的权利,如果资料不准确,须允许资料当事人进行更正
如果资料使用者违反《个人资料(隐私)条例》,一经定罪,可能导致最高罚款50,000港元和监禁2年,此外,资料当事人亦有权提出民事诉讼。还应注意的是,如果公司或组织在欧盟设有机构,在企业的活动中使用个人资料,无论资料是否在欧盟使用,则该公司或组织也可能要遵守欧盟法律中的一般资料保护规范( EU)2016/679(GDPR)。即使该公司或组织在欧盟内没有机构,但向欧盟内的人士提供商品或服务或对其行为进行监控,亦须要遵守一般资料保护规范。

 

在家工作安排中的机密性和资料隐私风险
尽管我们意识到公司和专业人员须严格遵守的机密和资料隐私义务,但是,在家工作的人员会面临什么样的隐蔽风险?
在家工作的专业人员和员工在工作期间不可避免地依赖于他们的家庭网络。家庭或公共网络和无线网路(WIFI)的安全性会比虚拟专用网(VPN),防火墙和防病毒软件等低。因此,机密信息更容易受到黑客攻击和泄露。

其次,在家工作员工还可以利用所谓的云端服务(一种流行的异地互联网访问资料存储工具)来存储和访问客户的信息和资料。基于云端应用程序的示例包括在审核中使用新兴机器人流程自动化(RPA)。尽管此类云端服务已经提供了使用帐户名和密码的基本保护,但没有上述资讯科技保护,就有机会由于使用自己的个人电脑而导致资料泄漏的风险,和意外地遗失资料的风险。

其三,如果在家工作员工要从办公室拿走文档或文件以进行远程工作(无论是在咖啡店还是在家中),可能很难避免周围的人去阅读电脑屏幕或文件。
所有这些情况都可能给员工带来巨大的风险,公司亦可能要承担替代责任。
 

减小风险的措施
考虑到在家工作的安排可能会导致机密信息和私人资料遗失的风险,以及会引起的严重后果,因此,我们建议采取严格的安全措施以减轻这方面的损失。

加强资讯科技保安    
  • 评估灵活工作/在家工作相关的风险
  • 在家工作期间员工使用的设备的预审核和授权
  • 在此类设备上安装正确配置的防火墙
  • 电话会议/视频会议系统指南
  • 宣布针对以下内容的内部控制政策:员工的访问权限,密码复杂性,资料传输方式,客户的个人资料或商业机密信息的加密,资料备份等。
制定隐私政策

制定全面的隐私管理计划

  • 在组织内任命隐私长
  • 有关PDPO合规性的明确指南,例如资料保存期限的延长;需要报告的事项或情况;处理资料用户查询
  • 对员工进行隐私法规和意识培训
  • 监督和审查计划,以跟踪资料的收集,使用,存储等-有效的控制措施,以定期审核员工对资料的处理
  • 合同保护-与资讯科技供应商
包括服务/产品提供商的陈述和保证
  • 包含赔偿条款以确保在违约的情况下分担风险
  • 示例: 甲方(即资讯科技服务提供商)同意就任何因甲方的疏忽,过失,错误或遗漏或甲方对本协议的任何欺诈,不实陈述或违反,而有关或引起诉讼因由、诉讼、债务、损失、成本或费用(包括合理的法律费用)、判决、债务和要求,甲方须赔偿本公司并使本公司免受任何及一切的申索(包括第三方申索)。
合同保护-与客户
  • 包含排除责任或限制责任条款,例如,对专业法律责任设置上限
  • 在合同/网站中包含免责声明,以免除合同中与资讯科技安全相关的风险

 

最后,本文说明公司很容易遭受由在家工作安排引起的机密性和资料隐私风险。如果公司没有就针对机密信息和私人资料的风险,采取适当的安全措施,这对于公司而言是一个大问题。本文通过描述公司(尤其是专业界别的公司)的保密性和资料隐私义务,说明公司应采取适当的保护措施,并提供消除此类风险和问题的方法。由于每间公司都是独一无二的,并且在不同时间面临着不同的机密性和资料隐私风险,因此我们强烈建议公司,应根据其需求,就如何建立正确有效的框架,去寻求法律意见。

高李严律师行提供了一系列关于机密性和资料隐私的咨询服务。如果您对以上内容有任何疑问,请电邮致[email protected],我们将很乐意为您提供帮助。
免责声明:本文仅供参考。本文中的任何内容均不得解释为针对任何人的任何正式法律建议。高李严律师行对因本文章所造成的任何行为所造成的任何损失和/或损害不承担任何责任。

This website uses cookies to optimise your experience and to collect information to customise content. By closing this banner, clicking a link or continuing to browse otherwise, you agree to the use of cookies. Please read the cookies section of our Privacy Policy to learn more. Learn more
Accept