去年9月獲委任為個人資料私隱專員前,鍾麗玲女士的事業已成就斐然,除了是大律師和註冊會計師,亦曾擔任過許多重要職位,例如公司註冊處處長、首席政府律師及律政司副民事法律專員。在擔任公司註冊處處長期間,鍾女士致力參與《公司條例》的重寫工作,並積極推動落實新的《公司條例》。然而,從去年9月開始擔任的這個職位,可能是她事業生涯至今最重要的職位之一。
執法、教育和促進
鍾女士表示,個人資料私隱專員公署(「私隱公署」)的職能基本上涵蓋教育個人資料的重要性,以及促進資料保障和執法這三個重要領域,並要在當中取得平衡。
首先是加強執法。她說:「作為執法者,我們會繼續加強執法工作及與本港和外地的執法機構合作。我們亦會主動採取具針對性的執法措施,以確保守法符規。」這些措施包括主動監察網上個人資料風險、監察網上社交媒體以打擊「起底」,以及檢視一些涉及大規模收集和使用個人資料的活動。
其次是推廣、宣傳和教育。鍾女士表示:「作為教育者,我們將繼續努力推廣遵守《個人資料(私隱)條例》(《私隱條例》)的要求,並對公眾進行相關教育。」私隱公署不時舉辦主題研討會和推廣活動,而鍾女士在2021年的計劃之一,是與教育機構合作,擬備教材,向年青人推廣與私隱相關的基本道德價值觀。
最後是促進者角色。鍾女士稱:「疫情加速了科技發展,亦為保障個人資料私隱帶來了前所未有的挑戰。我相信,在推出任何新科技時,都應該就對私隱的關注給予適當的考慮和處理,而在科技進步造福社會,與保障個人資料私隱之間,必須取得適當的平衡。」私隱公署作為促進者,一直提倡「貫徹私隱設計」,鼓勵機構在制訂任何新猷時,遵循法律要求和良好的數據道德規範。最近,私隱公署在環球私隱議會上,就成功推動議會通過應用及開發人工智能的問責框架。
新角色,新目標
鍾女士說,她在五年任期內有數個重要目標,其一是打擊「起底」行為。「起底」是網上的惡意行為,搜尋和發布個人的私人資料或識別資料(尤其是識別到個人的資料)。私隱公署致力與其他監管部門和商會加強合作,打擊「起底」行為。「例如香港持牌放債人公會已呼籲其會員加強對客戶的盡職審查和核實程序,以防止盜用身份的情況出現。」鍾女士說。此外,衞生署有關器官捐贈登記的網站亦已刊出警告,防止登記者使用他人的個人資料進行器官捐贈登記。
鍾女士稱:「私隱公署亦加強與警方合作,並與香港金融管理局保持緊密聯繫,提醒銀行及金融界注意使用盜取的個人資料進行未經授權的信貸申請所帶來的相關業務風險。」
她指出,自2019年6月起,私隱公署接獲的「起底」個案數目急劇增加,但2020年「起底」個案的數目已有所下降。「在2019年,我們處理了4,300多宗與『起底』有關的個案,而在2020年,我們只處理了1,000多宗。」鍾女士相信,宣傳和執法工作,尤其是2020年後期多宗「起底」案件獲定罪,無疑向社會傳達了明確的信息,就是網絡世界並非法外之地,因而有助阻止「起底」行為。
回顧2019年「起底」個案激增的情況,鍾女士稱,「大量投訴將私隱公署的資源運用推到極限」,並因而必須「在內部重新調配人員以處理投訴」。在投訴的處理過程中亦突顯了私隱公署缺乏刑事調查權和起訴權的情況,有1,400多宗案件亦因此轉交警方調查和考慮提出起訴。「我們也沒有法定權力要求網站刪除『起底』資料。我們有時需要多次發信給有關平台營運商,或尋求海外監管機構的協助,最終才能移除『起底』資料。」
而法院近數月作出的數項裁決,也反映了私隱公署在打擊「起底」方面的工作。鍾女士指出:「例如在2020年11月,首次有人因『起底』違反《私隱條例》第64(2)條被定罪,並就此罪被判監18個月。在2021年1月,有第二宗案件因『起底』違反《私隱條例》第64(2)條被定罪。而在2020年10月至12月,也有三宗因違反有關禁制對警務人員進行「起底」的禁制令,被判民事藐視法庭罪成。」
私隱公署的宣傳教育工作之一,是推出「『起底』害己害人」的全新網頁,詳細解釋「起底」可能帶來的嚴重法律後果。2021年1月,私隱公署還設立了熱線電話,以接受有關「起底」行為的查詢或投訴。
鍾女士的另一個主要目標,是研究和評估政府採取或即將推出有關2019冠狀病毒病的防疫措施對個人資料私隱的影響。在新常態下,她的團隊不遺餘力地為公眾提供有關保障個人資料的實用指引。例如,學校在2020年9月23日起分階段恢復面對面授課,私隱公署於同日發布了《學校在2019冠狀病毒病疫情期間收集及使用教職員及學生個人資料的指引》。
在家工作安排下的個人資料
2019冠狀病毒病疫情在2020年初爆發以來,不少機構被迫採取在家工作安排,導致個人資料外洩的風險較以往為高。私隱公署於2020年11月發布了三份「在家工作安排下的個人資料保障」系列的實用指引,向機構、僱員和視像會議軟件使用者提供實用的建議,以加強資料保安和保障個人資料。鍾女士表示:「我們透過特定和大眾傳播渠道發放《指引》,讓機構資料使用者和廣大公眾均接收到我們的實用建議。」《指引》亦已發送至商會、教育機構和專業團體,私隱公署又就《指引》在報章刊登推廣文章。她補充說:「持份者對《指引》給予正面評價,認為《指引》實用而及時。同時,投訴和資料外洩報告的數目顯示,在家工作安排引起的私隱風險得到有效控制。」截至2021年1月31日,私隱公署僅收到三宗有關在家工作安排的資料外洩通報和兩宗相關投訴。
去年7月,私隱公署向提供視像會議服務的公司發出聯合公開信,提醒他們遵守相關私隱法例和負責任地處理個人資料。在使用視像會議服務方面,私隱公署面對有關的保障個人資料私隱挑戰,主要是「與《私隱條例》未能應用於域外有關,因為所有相關服務供應商均於香港以外地方運作。」鍾女士解釋:「因此,我們與五個司法管轄區的保障資料機構合作,與五間主要視像會議服務供應商聯繫,確保它們制定適當的政策和措施,以保障個人資料的收集、保存、處理和使用。」
鍾女士的團隊面對的另一個挑戰,是了解此類服務背後非常複雜的技術基礎,以及不同服務供應商的資料保障政策、做法和措施。
除了在家工作安排產生的資料私隱問題外,疫情亦引起了其他問題,例如兒童私隱及從僱員和客戶收集資料。她表示:「疫情擾亂了我們的日常生活。在保障私隱權與公共衞生之間尋求適當的平衡,是公、私營機構決策者面對的挑戰。」
監察和監督《私隱條例》的實施,是私隱公署的職責之一。鍾女士的團隊一直就推出新的公共衞生措施,向政府、公共機構和私人企業提供意見,並彙編了《應對2019冠狀病毒病的最佳行事常規概要》,收集不同司法管轄區在疫情下的最佳行事方法,如接觸追蹤及不同監管部門之間的個人資料共享等。
為協助機構和個人在疫情期間的不同情況下處理個人資料,除了發布指引外,私隱公署還透過新聞稿,就各主題作出建議,包括疫情下有關兒童私隱的指引、有關僱主收集僱員健康資料的指引,以及處所經營者測量體溫和收集個人資料的實用建議。
資料私隱法例的過往今來
資料使用日益增加,加上對資料的功能加深了解,令資料的透明度和保障變得更為重要。被問及對《私隱條例》等資料私隱法例在未來十年的發展有何看法時,鍾女士相信,「隨著科技發展的步伐加快,大數據、人工智能、生物辨識數據、網上社交媒體和其他新科技的使用越來越多,保障個人資料私隱的問題在未來數十年將會無處不在。」
鍾女士進一步闡釋,「因應各項新興的問題,全球的保障資料機構正面對前所未有的挑戰。」在未來的十多年,「不同的司法管轄區或將引入新的資料私隱法例,以規範諸如收集、持有、處理和使用生物辨識數據;網民及平台營運商在網上公開或使用個人資料;兒童私隱保障;開發新科技工具時相關的問責要求採用貫徹資料保障的設計和預設資料保障的模式等。」
就香港的資料私隱法律改革,可如何借鏡其他先進經濟體(例如有《通用數據保障條例》的歐洲),鍾女士說:「在考慮本地的監管環境時,我們必須考慮本地的情況和發展狀況。」
她表示,政府和私隱公署一直研究修訂《私隱條例》的具體建議,希望就建議進一步諮詢立法會。研究中的題目包括引入新的犯罪條文和權力,以更有效地打擊「起底」;引入強制性資料外洩通報要求和行政罰款制度;以及賦予私隱公署刑事調查和起訴的權力。
法律界與私隱公署
鍾女士認為,法律專業人士可查閱大量個人資料,因此他們了解和支持私隱公署的使命,至關重要。她說:「我相信律師每天的工作都要處理大量敏感而高度機密的個人資料,例如涉及地產或商業交易、或處理家庭或婚姻糾紛的個人資料。」因此,律師和律師事務所務必熟悉《私隱條例》和六項保障資料原則,並注意與資料有關的所有活動,如收集、持有、處理和使用個人資料,以及確保資料用於收集時的目的,採取足夠的保安措施以防止資料遺失或未經授權外洩,並確保資料保留不超過所需的時間。
鍾女士說:「對律師來說,提高客戶或所屬機構對保障個人資料的法規的認知,並在有需要時就《私隱條例》的要求提供法律意見,也同樣重要。」