設權限和防火牆 防個人信息外洩

香港文匯報訊（記者 劉啟業）跨境個人信息的處理者和接收方需遵守保護個人信息的責任和義務。香港特區政府數字政策專員黃志光指出，香港個人資料私隱專員公署也參與制定大灣區標準合同，並提供專業法律意見。有參與安排的信貸資訊公司和投行均表示，有採取不同措施如設定權限和設防火牆等，確保個人信息不會外洩，且有關信息會設保存期限，時限到便會刪除。

中信證券經紀（香港）有限公司法律主管鍾卓勳指出，他們在全球14個地點均有辦公室，在大灣區標準合同便利措施出台前，香港與其他地區一樣跟隨歐盟的《通用數據保障條例》作基礎，採取措保障個人私隱，如每個地區都設立一個委員會處理個人信息的轉移，且內部設定權限，並非所有人都能接觸到該些信息，「每個部門中間都是有防火牆，所以是用policy（政策）形式、用技術的形式，用firewall（防火牆）形式去確保我們client（客戶）的information（資訊）可以好好地保護。」

環聯資訊有限公司董事總經理黃凱榮則表示，數據除有保存期外， 並根據很多國際標準處理個人信貸的信息，「我們有第三方的審查， 譬如說是SOC2（系統與組織控制）和Network Control（網路控制）的認證， 或者是信用卡資料的安全認證，也會做一些Penetration Test（滲透測試）和網絡安全的研究。」

設事故管理政策 專案小組跟進

他表示，公司並有員工守則，「不可以拿（數據）去外面，見到的screen（熒幕）的範圍、我們的usb drive（記憶體），操作都有嚴格規定，員工只可內部閱覽以解答客戶問題。」被問及若發生資料外洩時如何處理，他表示有事故管理政策，有專案小組會跟進，並會向相關監管機構交代事故有多大影響。

鄧白氏商業資料（香港）有限公司產品銷售與解決方案總監管立人亦表示，作為全球企業，各地都有自己的數據安全、人事、數據保護的規定，並符合ISO/IEC 27000等標準，「我們從數據採摘到整理、儲存、分析、使用、分享、跨境、刪除，都有一些政策去遵守。還有我們的數據如何取得呢？包括內容也有審查，數據分級、分類亦需要遵守，還有數據保障的安全上都有嚴格管理。」

她表示，會有安全的環境儲存個人信息資料，而公司的系統、基建設施也會有測試，個人信息到時限就會刪除。