Skip to content

專員網誌

專員網誌

瞬息萬變的私隱保障形勢 (22.01.14)

新年伊始,是時候回顧過去一年私隱界的大事,再展望將來。

網上字典Dictionary.com公佈,「私隱」獲選為該網站的2013年度詞彙。這現象相信與史諾登引發的政府監控風波有關,在某程度上亦反映機構和市民大眾對個人資料私隱的關注日益增加。就公署在2013年接獲的投訴個案,比較2012年便有48%的年度增幅 。


新資訊科技應用無孔不入

在今天的數碼化社會,新資訊和通訊科技的應用日趨普及,為個人資料私隱帶來了嚴峻的衝擊。我在上一篇網誌提及公署調查「起你底」應用程式的個案,正是一個例子。

明智使用資訊及通訊科技,固然可改善生活質素和提升生產力,但消費者的私隱和資訊保安必須嚴肅正視。就這方面,我剛為政府「2014數碼21資訊科技策略」公眾諮詢而向政府提交了意見書1。從私隱保障的角度看,我對資訊及通訊科技是持平的,關鍵是大家在設計和應用新科技時如何取捨──要侵犯私隱,還是提升私隱保障。我們應該推舉可兼顧有助提升保障私隱的科技。


私隱和資料保障:企業管治不可或缺的一環

為確保機構履行企業責任,妥善管理私隱和資料保障,機構必須確立相應的政策和程序,最高管理層亦須視之為企業管治責任不可或缺的一部分;切忌採取隨遇而安的態度。我去年一直大力推動本港最大的資料使用者,即政府﹑銀行﹑保險和電訊業採納對資料保障問責的管治概念。

令人欣慰的是,我們的努力的確令私隱保障成為一些機構的董事局會議議題,雖然不是一步登天,但總算穩步前行。公署在去年12月17日舉辦了一場CEO早餐會議,廣邀上述界別的行政總裁討論私隱和資料保障,有近70名行政總裁和高層行政人員出席。 另外,我應政務司邀請,於2014年1月17日的政府部門首長會議上向90多名政策局及部門首長闡述個人資料保障的重要性。

Privacy Management Programs
12月17日的CEO早餐會議,我情商了前英國個人資料專員Richard Thomas 來港分享個人資料保障對企業管治的重要性,有近70名行政總裁和高層行政人員出席,反應相當熱烈。
12月17日的CEO早餐會議,我情商了前英國個人資料專員Richard Thomas 來港分享個人資料保障對企業管治的重要性,有近70名行政總裁和高層行政人員出席,反應相當熱烈。

更多地方引入個人資料私隱法例

社會人士在私隱和資料保障方面的訴求日益高漲,這個形勢不是香港單獨面對的。香港於1996年實施《個人資料(私隱)條例》(下稱「私隱條例」)之時,是亞洲首個為個人資料私隱立法的司法管轄區,環顧亞洲,今天已實施或計劃實施類似法例的司法管轄區已增至十個,計有南韓﹑澳門﹑越南﹑馬來西亞﹑日本﹑台灣﹑泰國﹑菲律賓﹑印度,以及不少人經常與香港作比較的新加坡。

新加坡2012年引入的《個人資料保護法》自2013年起分階段實施,其保障範圍明顯在兩方面比香港看來更為進取。

就資訊科技發展帶來的私隱關注,我不時與海外的私隱專員和保障個人資料的執法機構交流心得。
就資訊科技發展帶來的私隱關注,我不時與海外的私隱專員和保障個人資料的執法機構交流心得。

謝絕來電登記處

首先,新加坡的個人資料保護委員會設有「謝絕來電登記處」,消費者可登記其電話號碼,以示拒絕收到任何傳真﹑電話短訊和話音電話訊息。該登記處由2013年12月2日投入運作,一個月後已有近四十萬個號碼登記,七成半登記人登記的目的是阻截促銷訊息。香港的通訊事務管理局也有類似的「拒收訊息登記冊」讓市民登記其電話或傳真號碼,但相比新加坡,拒收的訊息只限於商業電子訊息。公署一直鍥而不捨地要求政府當局擴大「拒收訊息登記冊」至包括人對人的電話訊息,因為此舉不但有助加強對消費者選擇接收直銷訊息的保障,而且可與英國﹑澳洲﹑加拿大﹑新西蘭﹑法國和美國等地的安排看齊,可惜建議不獲接納。


規管個人資料的跨境傳送

第二方面是有關個人資料轉移至外地的保障。新加坡《個人資料保護法》第26(1)條將於今年七月實施,規定機構不得把個人資料轉移至新加坡以外的地方,除非符合條文列明的條件,確保被轉移的資料所受的保障標準不下於該法案的保障。

同樣,香港的私隱條例第33條對轉移個人資料至香港以外地區的安排亦有非常嚴謹和全面的規管。該條文明確禁止持有資料的資料使用者把個人資料轉移至香港以外的地區,除非符合指定的條件,例如:

(i) 該地區是在專員制訂的「白名單」內,即這些地區實施的有關個人資料保障的法律,與本港私隱條例大體上相似,或其目的與私隱條例的目的相同[第33(2)(a)條];及

(ii) 資料使用者已採取所有合理的預防措施及已作出所有應作出的努力,以確保資料轉移該地區後被處理的方式不違反私隱條例規定[第33(2)(f)條]。

但是,私隱條例自1995年實施以來,第33條遲遲未生效,而政府當局亦未有訂立落實該條文的時間表。換言之,現時香港有關個人資料由香港轉移海外的保護相當薄弱,有欠全面;僅有的保護是私隱條例中的保障資料原則,而違反保障資料原則本身不構成罪行:

(i) 根據保障資料第2(3)原則,資料使用者聘用資料處理者在香港或香港以外代為處理個人資料,必須以合約或其他方法規範,以防止資料轉交給資料處理者後其保留的時間長於實際所需。

(ii) 保障資料第4(2)條訂明,資料使用者必須採取合約或其他規範方式,以防止有關的個人資料經資料處理者而在未獲其准許的情況下或意外地被查閱﹑處理﹑刪除﹑喪失或使用。

(iii) 另外,保障資料第3原則規定把個人資料轉移至另一司法管轄區的目的,必須符合原初收集資料的目的。

私隱條例於九十年代制定,時至今天,全球數據流動的模式已大大不同。科技進步,加上機構的業務模式和行事方式演變,個人資料的轉移已變成個人資料的數據流。數據跨境﹑連綿不絕和大規模地流動。機構,包括中小企機構追求提升效率,為用戶提供便捷和引進新產品,這些發展對全球的數據流動有一定影響。例如,有些機構透過雲端運算技術把數據分散存放在不同的司法管轄區,有些機構則把處理資料的工序外判至世界各地的承辦商。在人力資源﹑金融財務﹑電子商易﹑公共安全和醫療研究方面的頻繁電子數據流動,是當今全球經濟不可分割的部分。

政府是時候正視私隱條例第33條相關的議題,確保香港維持國際金融中心和數據樞杻的地位。



1 建議書全文詳見:
www.pcpd.org.hk/english/files/infocentre/2014_digital_21.pdf



專員網誌