Skip to content

回應傳媒查詢或報道

回應傳媒查詢或報道

日期: 2018年12月17日

公署回應有關《蘋果日報》於12月17日刊登的「貼地風管」專欄文章


謝謝 閣下於12月17日在蘋果日報「貼地風管」專欄文章《私隱:誰管、點管?》中的意見。就 閣下提出的疑問,公署現綜合回覆如下:
  • 個人資料私隱專員公署(公署)是一個獨立法定機構,負責監察香港法例第486章《個人資料(私隱)條例》(《私隱條例》)的施行。公署並非信貸資料服務的發牌機關或行業監管機構,完全缺乏權力監管個別行業和機構的運作和經營模式。然而所有機構作為資料使用者,不論其行業,如在香港控制收集、持有、處理或使用(包括披露和轉移)個人資料,均受《私隱條例》的監管並必須遵從其規定。

  • 誠如 閣下所言,「不同監管機構對數據安全各有要求,目的都是履行各自的法定責任。」不過在個人資料私隱的保障方面,公署按照《私隱條例》的規定進行監管,當然責無旁貸。
 
  • 公署的職責,包括處理公眾有關個人資料私隱的投訴及查詢,並於機構的行事方式與《私隱條例》規定不相符時展開循規審查或調查。其中部分查詢個案性質較為單純,例如索取資料,處理時間因而相對較短。同時公署亦會因應部分投訴個案的性質,先以調停這種較便捷的解決爭議方式,嘗試解決資料當事人與被投訴者之間的糾紛。隨著公眾對機構發生資料外洩事故的關注,以至個人資料保安的期望亦已比過去大為提升,加上大數據和資訊及通訊科技的發展及應用日增,所衍生的網絡安全風險亦前所未見及更趨嚴重。近年機構接連發生廣受關注的多宗資料外洩事故,涵蓋不同行業以至政府部門,包括選舉事務處遺失手提電腦、旅行社客戶數據庫遭黑客入侵、國泰航空外洩客戶個人資料事件、環聯索取信貸報告的程序懷疑出現保安漏洞等。資料外洩事故的複雜程度有增無減,然而公署仍竭盡所能,在既定的資源下繼續其致力推廣、監察及實施條例的責任,確保市民的個人資料私隱得到保障和尊重。
 
  • 感謝 閣下關注和同情公署的人手和資源不足的情況。事實上,公署亦曾向有關部門爭取增撥資源和調整監管能力,惟不盡得要領。公署將繼續堅守崗位,服務大眾。
 
  • 不同範疇的規管者夥拍協作,令各自的法定權力尤其是在        閣下所言的「重疊位」能得以產生協同效應及得以適切彰顯,一直是行之有效及廣被認受的做法,並不存在所謂「把法定責任外判給其他規管者」的問題。事實上,公署一直與不同的持份者保持緊密聯繫,包括各行業的相關規管機構,就個人資料私隱相關的事宜保持溝通,及就公眾諮詢或建議中的法例及行政措施提出有關保障個人資料私隱的意見。例如公署曾就成立了解客戶程序和非面對面開戶流程,向香港金融發展局提出意見。公署亦多次與不同行業的規管機構及業界組織會面,如香港金融管理局(金管局)、香港銀行公會、保險業監管局等。有關合作可加強彼此溝通,有效協助保障公眾的個人資料私隱,然而公署仍然負有規管個人資料私隱的責任。
 
  • 政制及內地事務局局長聶德權於12月12日在立法會會議上就「環聯事件」答覆議員的提問時,簡介了公署在1998年2月發出《個人信貸資料實務守則》(《實務守則》)以規管香港的信貸資料服務機構及信貸提供者對個人信貸資料的處理。局長亦指出《實務守則》規定信貸資料服務機構在日常運作中在保障個人信貸資料方面應採取適當的措施,防止所持有的個人信貸資料受到不當查閱。局長同時表示,金管局聯同銀行公會已經立刻和環聯進行溝通了解情況,銀行公會及銀行業界亦與環聯保持緊密溝通,向環聯提出一系列要求,包括應即時暫停網上平台的個人信貸報告查詢服務。目前環聯已經暫停網上平台的個人信貸報告查詢服務。
 
  • 事實上,《實務守則》第3.14段已指出,作為良好的行事方法,信貸資料機構須定期就信貸資料機構提供個人信貸資料服務的方法進行循規審核,以確定整體而言是否遵守《私隱條例》及保障資料原則的規定。而《實務守則》的設計,是信貸資料機構須自費聘用獨立循規審核人,定期就信貸資料機構提供個人信貸資料服務的方法進行循規審核,並向私隱專員呈交審核報告。在「環聯事件」發生之前,公署並不知悉環聯與其他平台運作的安排。
 
  • 《實務守則》曾作出數次修訂,當中包括不止一次因應金管局的提議而啟動的修訂。
 
  • 就Facebook與「劍橋分析」事件方面,公署強調 Facebook在香港設立的辦事處並不控制香港帳戶資料的收集、持有、處理或使用;所有Facebook的香港帳戶的資料是由Facebook Ireland Limited所控制。因此根據《私隱條例》,Facebook在香港設立的辦事處不能被視為《私隱條例》下的「資料使用者」;再者,《私隱條例》並沒有域外管轄權,法律條文所限,監管鞭長莫及,幸運的是沒有香港人受影響。不過公署亦已促請Facebook採取措施確保所有帳戶的個人資料私隱受到保障。而即使資料使用者的註冊地址並非在本港,《私隱條例》亦沒有域外法律效力,但公署若有需要仍可透過國際聯繫,聯絡境外相關的個人資料保障執法機關跟進事件。
 
  • 公署有法定責任不時檢討《私隱條例》,並正與政府檢視其相關規定和罰則。公署就此會繼續持開放態度,並會研究若提出修訂對公署資源運用和調配的影響。