個人資料私隱專員（私隱專員）鍾麗玲於《香港律師》以「依循私隱專員公署的《雲端運算指引》 在數碼時代保障個人資料私隱」為題發表文章。文中介紹公署早前發布的《雲端運算指引》，強調機構作為資料使用者與雲端服務供應商在雲端環境內保障數據安全負有共同責任，概述《指引》中的建議措施，協助機構在使用雲端運算時更有效地保障個人資料私隱。

　文章中指出，現時不同行業利用雲端服務來儲存、處理及管理大量數據，當中包括敏感資訊及個人資料。然而機構對雲端服務日益增加的依賴亦引起對個人資料私隱的關注。近年數宗涉及雲端平台的資料外洩事故曝露出系統的弱點，可見風險絕對不容忽視。

　有見及此，個人資料私隱專員公署於2025年1月發布了《雲端運算指引》，闡釋《個人資料（私隱）條例》的相關要求，旨在協助採用雲端運算的機構加強保障個人資料私隱。《指引》與律師的工作息息相關，因不少律師行已採用或正逐步採用雲端系統，以優化管理及存取可能載有個人資料的文件和電郵。

　儘管機構作為資料使用者可以將處理資料的工作外判予雲端服務供應商，但機構在持有、處理或使用個人資料時，並不能「外判」它們在《私隱條例》下的責任。《私隱條例》亦訂明資料使用者不能將其責任轉委予他人。

　根據《私隱條例》，如資料使用者聘用雲端運算服務供應商以代其處理個人資料，資料使用者需採取合約規範方法或其他方法，以防止個人資料的保存時間超過處理該些資料所需的時間，有關資料受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。

　《私隱條例》第65(2)條亦訂明，任何作為另一人的代理人並獲該另一人授權（不論是明示或默示的授權，亦不論是事前或事後授權）的人所作出的任何作為或所從事的任何行為，需視為亦是由該另一人作出或從事的。雲端服務供應商所作出的任何個人資料外洩或濫用的行為，視乎情況而定，可被視為是由該機構以及它的服務供應商作出的。

　基於《私隱條例》的法律要求，《指引》不僅強調機構與雲端服務供應商在雲端環境內保障數據安全的共同責任，亦向機構提供多方面的建議措施，讓它們在使用雲端運算時亦能更有效地保障個人資料私隱，包括機構應謹慎評估與所選擇的服務及部署模式有關的風險，以確保採取適當的數據安全措施。如當雲端服務供應商更新其服務，以提供新服務特點或配置時，機構應及時作出相應行動，更新相關軟件及調整適當的配置。機構亦應採取足夠及有效的安全措施，防止儲存於雲端的個人資料受未獲准許的或意外的查閱、處理、刪除、喪失或使用所影響。

　機構應評估雲端平台的服務及合約條款是否完全符合相關的保安及個人資料私隱保障的標準。機構亦需要確定雲端服務供應商是否有外判安排。如雲端服務供應商聘用承判商，機構應確保獲得服務供應商在合約內承諾，其保障及循規管控的水平同樣適用於承判商。

　雲端服務供應商可能於不同司法管轄區設有數據中心。當機構將個人資料轉移至香港以外的地方時，需確保遵從《私隱條例》的規定。特別是機構需告知資料當事人他的個人資料將會轉移至香港境外的接收者，並指明個人資料將會用於甚麼目的。如轉移構成新目的，機構必須取得資料當事人明確及自願的同意。

　即使個人資料可以遙距儲存在其他地方，機構作為資料使用者仍需承擔責任。機構及雲端服務供應商必需攜手合作，實施穩妥而有效的保安措施，務求既可利用雲端運算的優勢，同時亦保障雲端環境的個人資料私隱。（記者區天海）