Skip to content

新聞稿

新聞稿 - 資料外洩事故與公眾關注的相關議題

日期: 2018年11月4日
 

資料外洩事故與公眾關注的相關議題


香港個人資料私隱專員公署(公署)為回應巿民所表達的關注,包括昨日(11月3日)香港電台第一台節目「香港家書」中提出的意見及今日傳媒的有關報道,並考慮到由此所衍生的不準確和具誤導性的資料,特此提供更全面的相關事實和資料,以正視聽和澄清其中的誤解。
 
關於所報道的資料外洩事件:
  • 香港個人資料私隱專員(私隱專員)在接到國泰航空的資料外洩事故通報後,隨即透過傳媒回應表示根據《個人資料(私隱)條例》(《私隱條例》)的規定就事件即時展開循規審查。在相關調查所得及結果作出裁決之前,同時亦考慮到《私隱條例》所訂的保密條文,私隱專員不宜評論和透露案件的細節。鑑於公眾對此事件的關注,私隱專員日前基於國泰航空公司公開發表的兩份公告及新聞稿,就當中所披露的無可爭議事實中的私隱議題發表了意見。其中較受公眾關注的,是關於向公署提交事故通報和通知受影響人士,以及通報時間的議題。儘管公署一直以來鼓勵機構作出事故通報這良好行事方式,私隱專員當時已明確指出,現行法例並沒有強制要求肇事機構向公署或受影響人士作出通報。有見國泰航空公司公布的一份公告中指出事件中受影響的人數龐大,且用了頗長時間作檢測及確認事故發生,私隱專員遂促請該機構提供理由以滿足市民的期望。
 
適當程序 - 法律、程序和常規:
  • 公署是獨立法定機構,負責規管個別人士及機構在個人資料方面相關的行為。公署的權力和職責是根據《私隱條例》所賦予的。
  • 作為監管機構,公署一直致力公平執法。
  • 《私隱條例》賦予私隱專員權力,可在有合理理由相信有違反《私隱條例》的規定時(《私隱條例》第38條)進行循規調查。有否違規則需視乎個別個案的事實依據及與《私隱條例》相應的規定。
  • 近八年以來公署已有一套既定的政策和程序,當收到資料外洩事故通報後,便會開展循規審查以查找事實、確定根本的原由和評估擬採取的行動或已採取的行動。 公署同時會向肇事機構提供建議和協助,以確保其能及時採取補救措施,以遏止對受影響人士所造成的損害。該做法的目的是以保障個人利益作為優先考慮。
  • 若循規審查所得的結果發現有違反《私隱條例》的表面證據,私隱專員便會展開循規調查。多年來公署已有一套處理資料外洩事故的既定程序,詳情可參閱附錄及公署2014-15年報第36頁。
  • 循規審查旨為找出更多與事故相關的重要事實,這些事實可能在與資料保安相關的資料外洩事故發生初期並不明顯或未曾披露,如《私隱條例》便訂明若該機構已採取「所有合理而切實可行的步驟」,便不屬違規。較常見的例子是部分機構,特別是中小型企業,很多時在它們不知情或不知道原因的情況下,其客戶資料受到黑客攻擊。
  • 在進行循規調查期間,《私隱條例》賦予私隱專員額外的權力,包括可傳召證人、進入處所、搜集證據和就事件展開公開聆訊等。為求程序公義,同時考慮到現行法例對資料外洩事故通知完全屬自願性質,在進行循規調查前先進行循規審查,能在事故初期有助避免可能發生的衝突和構成不合作的態度和氣氛,從而免於阻礙盡早保障受影響人士的個人資料私隱權。
  • 在展開調查前進行循規審查,是公署一直以來的既定政策和做法。對確定是否有違規行為的嚴謹性並無任何影響,亦不會削弱執法力度。有評論指公署在進行循規審查後,循規調查工作便會自動停止,此實屬錯誤和不負責任的說法。任何人現階段向公眾發放訊息指公署將不會對國泰航空資料外洩事件進行詳細的循規調查,這種說法同屬不明智和具誤導性的。
 
就循規審查及循規調查方面的數據:
  • 執法個案的數字與規管工作的質素並無關係。作為一個公平執法的規管當局,公署執法講求的是成效而並非個案數字。打個比喻:當犯罪率下降時,並不代表執法機構在罪案調查工作有所鬆懈。
  • 以往一些重大調查案件,例如八達通事件、涉及警方及醫院管理局等的個人資料保安事故,均是先經過循規審查程序才進行循規調查;而近年較為人熟悉的個案包括PopVote資料保安事件、香港教育大學閉路電視片段截圖外洩事件,以及香港網絡攝錄機影像被截圖並在英國藝術展覽中展出等。
  • 在2014年,調查個案宗數(由循規審查和投訴所衍生的個案)激增至149宗(2013年為79宗),當中所涉及的個案大多是源於一項有關匿名招聘廣告不公平收集求職者個人資料所進行的專題調查項目。
  • 公署在2014年共進行了106次循規調查,僅發布了五份報告;其中百分之九十的調查個案主要源於三項專題調查項目,主要是與資料收集(保障資料第1原則)或資料使用(保障資料第3原則)於匿名招聘廣告、家庭傭工及幼稚園學位申請有關。
  • 自2014年以來,資料外洩事故多屬資料保安範疇(保障資料第4原則),而相關的循規審查數目亦處於高水平,分別為:2014年的219宗、2015年的279宗、2016年的259宗、2017年的253宗和2018年(截至10月31日)的253宗。令人遺憾的是,只有一宗「調查」和「報告」被揀選在「香港家書」節目的意見中提出,並藉此作出毫無理據的批評。
 
發表循規調查報告
  • 2017年所發布的唯一一份調查報告,當中涉及1,944宗類同的投訴個案,即選舉事務處遺失儲有378萬選民個人資料的手提電腦事件,公署遂決定只計算為一項調查,是為了避免不必要地誇大調查數字。事實上,公署年內尚有89宗因投訴而作出的調查行動,在「香港家書」節目中的意見內容並沒有提及。
  • 根據《私隱條例》第48(2)條的規定,只有在私隱專員認為屬符合公眾利益的情況下才可發表調查報告;由此可見,該法例的立法原意,並不在於追求發表報告的數目,而報告的多寡亦非執法力度的指標。有指公署進行調查後自會發表調查報告,此說法是一種誤稱,而以往將發表調查報告當為常規做法,在本質上實屬錯誤。
  • 在完成重要的循規審查或調查後,公署會發出詳細新聞稿、接受傳媒訪問和回應傳媒查詢,告知公眾相關事件結果及須留意的事項。有關工作亦可達到發表調查報告的效果。此舉實際上免除了對調查對象施以「點名使其蒙羞」的手法,但亦能做到發表調查報告相同的效果。
 
公平和有效的執法:
  • 違反保障資料原則並不構成罪行,惟當不遵守因違反《私隱條例》而發出的執行通知,則屬於刑事罪行。自公署於1996年成立以來,共有六宗不依從執行通知的個案,其中三宗經司法程序而定罪,最高判處的罰款為5,000港元。在2010年至2015年8月期間,並無提出任何有關的檢控。有關數字可作為現行法律下執法方面事實上帶來的阻嚇作用。
  • 公署自2015年8月起採取新的工作方針,相對以往費時的循規調查以及有時與事件嚴重程度不符比例的「點名使其蒙羞」的報告,公署就通報的資料外洩事件作出及時回應,以及為自行展開的審查和牽涉重大公眾利益的投訴發出新聞公布。
  • 採用調解作為早期糾紛解決方案以應付各項不滿,是近年廣泛接受及獲提倡的做法。公署亦於適當時採用此方法,致力調解以尋求雙贏的解決方案。
  • 自2015年8月起,公署透過不同的渠道(包括公署網站)發放大量新聞稿和資料單張,藉以提高各持份者對保障個人資料私隱方面的意識並提供指引。
  • 公署致力建立「保障、尊重個人資料」的意識以至文化,並植入持份者的基因中,成為長遠的解決方案。
  • 除了致力執法,公署亦提供適當的誘因。自2016年起,透過提倡信任、尊重,數據管治和數據道德,以促進、鼓勵和參與所有持份者特別是機構,配合執法工作,漸成為全球的私隱保障趨勢。
  • 持續採取先進行循規審查再展開循規調查的方式,可鼓勵機構與公署合作,在坦誠、靈活和自願的情況下向公署和顧客提供事實和事故通知。
  • 公署新的執法方針,受各持份者(包括海外)的廣泛接受並收到正面回應。
     
修訂《私隱條例》
  • 公署有法定責任不時檢討《私隱條例》,並適時提供建議。目前,我們正在對法例進行檢視。
  • 任何法例的改革建議都應該考慮到所有持份者的利益,不論他們是個人或機構 ,並要顧及其合法性、迫切性、相稱性、本地情況以及相關情況的全球發展趨勢 ,以期在資料私隱保障和其他權利之間取得適當的平衡,這些權利包括資訊自由流通、言論自由和新聞自由等香港一直以來引以為傲並不可取代的權利。
  • 我們將在數月內就修訂法例內的相關領域向政府和公眾提出意見和建議。
 
事件最新的投訴及查詢個案數字
  • 截至11月2日下午五時,公署共接獲80宗跟國泰航空公司外洩客戶個人資料事件相關的投訴個案及104宗有關查詢。
 
-完-