【企管必學】企業級私隱管理標準秘策

2019 年，擁有 W、St. Regis、Westin、Sheraton 等貴價酒店的 Starwood Hotel and Resorts，主動自首承認由 2014 年至 2018 年間，外洩 500 萬住客資料，當中涉及姓名、電郵地址、手機號碼、住址、護照號碼、酒店會藉詳情、出生日期、姓別、入住退房資料（即行蹤）、預約日期等，付款資料其實都有外洩，不過有 AES-128 加密。呢單嘢極度震撼，因為 Starwood 沒有交代外洩原因，好難令人唔懷疑同管理失誤有關。而呢件事入面，最無辜（亦係最 Juicy）可能係 2015 年拍板收購 Starwood Hotel and Resort 嘅 Marriott，相信佢做呢個 Deal 時並不知情，但要承擔結果；英國 Information Commissioner’s Office 以違反 General Data Protection Regulation（GDPR）為由，狠罰 Marriott 9.9 千萬英鎊，破咗 Google 因「收集及使用用戶個人資訊透明度不足」而被判罰 5 千萬歐元的紀錄。GDPR 係歐盟保障個人私隱的法律，法例係 2016 年通過 2018 年實施，要企業尊重個人資料，最高懲罰係企業全年收入 4％。至於美國，屬性相近的法例有 California Consumer Privacy Act（CCPA），今年 7 月開始實行，刻意違反每宗個案罰 7,500 美元，換句話講 Marriott 單嘢最盡罰 375 億美元，傳聞執法單位已經熱身完畢，準備攞 Zoom 黎殺一儆百。

兩條法例好辣，因為數碼身份越黎越普及，用途廣泛，違反守則，其實等同背叛大眾的信任。2020 研究報告指出，97％ 企業將會撥更多資源以遵守私隱守則，而國際認證機構 ISO 最近亦都推出咗 ISO 27701 Privacy Information Management System（PIMS）, 它的前身是 ISO 27001 Information Security Management System（ISMS），為社會提供資訊管理黃金標準及指引。ISO 2700 家族，與 ISO 9001 Quality Management 與 ISO 14000 Environmental Management 並列為最受重視的 3 大 ISO，任何大企業生存必備。ISO 27701 主要分資訊收集者和資訊管理者兩類，均需學習風險管理、保密協議、私隱權益保障、收集私隱透明度等，坊間亦有相關認證課程供大家報讀，考取資格。

企業要得到 ISO 27701 ，首先要知自己係 Data Controller 定 Data Processor（或兩者皆是），如果已經有 ISO 27001，就只需要加強私隱控制範疇。如果由零開始，咁可以大陣仗少少，將 ISO 27701 的審計與企業其他審計程序融合，按中央化、標準化和綜合化三方面整合成盤生意，提升企業效益，慳錢慳時間。ISO 27701 係信任嘅象徵，亦係當今企業責任，君可見唔遵守 GDPR 與 CCPA 法規，隨時一鋪清袋。

資料參考：https://bit.ly/2FaYyJR ；https://bit.ly/3i9RjA8