Skip to content

專員最新動向

專員最新動向

香港個人資料私隱專員公署新春傳媒茶聚

重點記錄

日期: 2020年1月21日(星期二)
時間: 11:00 至 13:00
 
****************************
私隱專員簡
  • 兩個揮春:「網上和氣、數據亨通」,亦是工作重點。
  • 2019年「起底」情況:查詢388宗,投訴及主動巡查4,370宗,合共4,758宗。
  • 個人資料以往是「盾牌」、「避風港」,現時則被「武器化」。
  • 「起底」需要帶來心理傷害(令人恐懼、擔心),才算是刑事「起底」,否則只是違反保障資料原則。
  • 「起底」人士分佈:示威者(20%)、警員、公職人員等。
  • 使用個人資料風險:大數據、人工智能、雲端計算等。
  • 資料外洩通報,現並非強制,但大機構都有通報,截至去年139宗(較2018年上升8%)。
  • 去年完成4宗大型循規調查。而循規調查過去5年有上升趨勢,由2015年的279宗升至去年的311宗。
  • 主動審查:公眾及傳媒關注。
  • 投訴:「大埔超級城」事件有2,480宗。全年總共9,182宗,較去年升近4倍。
  • 查詢:「大埔超級城」事件有2,399宗,已公開回信。其他查詢18,787宗。
  • 宣傳教育:新刊物(《内地民商事務所涉個人信息及網絡安全主要法規簡介》)。
  • 法例檢討兩方面:(實質上不足)法例內容不夠全面,沒有跟隨日新月異科技發展。
  • (程序上不足)公署缺乏調查、強迫提交證據、刑事調查及檢控權力(若公署可作調查及檢控,便不會與警方調查重覆),時間性上可做得更好。
  • 公署同事有獨特、專業經驗,其他執法部門會綁手綁腳
  • 現時定下修例方向,並非細節,會找較有迫切性的修例條款研究,同時了解海外趨勢、本地情況、持分者、社會期望。
  • 強制通報:外國已落實,公署可介入調查,企業不通報會受懲處。何時通報、門檻等可再作考慮。
  • 資料保留期限:現時做法參差,早前有一宗數百萬人資料外洩事故,原因是涉事公司沒有刪除資料,企業需訂立及推行相關政策。
  • 罰則:罰款非常薄弱,刑事罪行(如直銷)金額很低。公署建議加強現時框架,亦加入行政罰款,毋須前往法庭裁決,可直接發出告票(有如金管局、證監會)。
  • 加強規管資料處理者,由間接規管變成直接規管。
  • 個人資料定義落後,公署建議與時並進,加入如IP address、識別碼,與現實生活接軌,可以做到辨識個人身份。
  • 更針對性地處理與「起底」有關的行為:建議修例,需證明造成損失、沒有資料當事人(而非現時資料使用者)同意。
  • 刑事調查及檢控權:不重疊與警方工作,將公署專業及經歷發揮出來。
  • 來年新工作方向:與時並進修訂條例、國際執法互通性、發揮數據中心的優勢。
 
記者提問
  1. 修例時間表、要求刪除網站「起底」資料最新情況
 
  • 盡快修例,數月內將細節確定,要考慮立法會議員、持分者意見,會考慮不同形式諮詢,「愈快愈好」。
 
  • 現時沒有法定權力要求刪除網站,只能去信網站寫明法例、禁制令要求,以及宣傳企業道德,已不斷寫信。香港網站反應較好,100%刪除「起底」資料,海外(中東、俄羅斯)亦開始有正面反應。
 
  1. 警方將記者身份證展示在鏡頭前是否違規;公署收到多少宗反修例投訴;網站顯示大量記者資料,公署如何跟進?
 
  • 公署需要考慮「誰違規?」,違規者是拿資料及披露資料的人。如當中涉及報道(新聞活動),而不知道誰是違規者,以及拿資料的人不知直播,公署需要進一步調查。
 
  • 「起底」涉及反修例投訴:4,000多宗。
 
  • 網站展示個人資料未必違規,而使用資料要與收集目的一樣,否則需獲同意,或獲豁免(如涉及朋友、舊情侶、防止罪案、研究、健康等豁免條款),或經調解後,雙方願意和平解決。
 
  1. Prosecution and conviction rate of criminal doxxing; section 64 of PDPO more designed to deal with commercial aspect rather than doxxing, does it ‘tie your (PCPD’s) hand’? Should regulation of criminal doxxing be separated from current ordinance?
 
  • Successful conviction rate is nil, while Police brought 1 prosecution case to the court.
 
  • Origin of section 64 is out of a few incidents, like hospital authority staff disclosing patient data, prevalent organisation found their staff left taking away customer data with them and used their data without the consent of company. At that time personal data is not used as a ‘weapon’.
 
  • Consent of data subject is most important, which is a direction of law reform. PCPD is not completely ‘hands tied’, and will focus on streamlining evidence collection.
 
  • Hong Kong has a comprehensive legislation of personal data privacy protection, which is a good practice. Unless there is compelling reason, personal data privacy law should maintain as one single comprehensive legislation. 

  1. There is an alarming trend of using personal data as a ‘weapon’. Would you describe the phenomenon as ‘no turning back’? Also, there is suspected cross-border leakage of personal data by law enforcers, ‘who is to guard the guardsman’?
 
  • Yes, the number and speed of rising trend are alarming. In the last 1-2 months, the number and velocity of rising trend have peaked-off.
 
  • We cannot just base on media reports to enforce the law. There should be prima facie evidence for reasonable ground to initiate compliance checks or investigation. If there is a complaint from the data subject involved, the PCPD will carry out investigation.
 
  • For anything involving personal data, the PCPD will be the regulator.
 
  1. 相當短時間警方再次將記者身份證展示在鏡頭前,反映公署權力缺乏阻嚇性?如發出執行通知,是向警員還是警隊發出?即使如此,是否再由警方跟進,「自己人查自己人」?
 
  • 公署不能只看報道,要看「誰違反原則?」,兩件事件(「大埔超級城」及「金鐘道」事件)真實情況不同,如(「金鐘道」事件)沒有直播,與首宗警員知道直播不同。
 
  • 我們會了解一下事實,警方都說會配合我們的調查。
 
  • 至於如再犯執行通知書才有刑事責任,是否如立法會議員說「違規可以死一次」,實際上不跟進執行通知書的情況,多年來只是單位數字,而通常只是因為大意,佔十分少數。故現時我們有一個修例方向是增加行政罰款的權力,如有違規,公署可即時發出告票。
 
  • 有關罰款方面,歐盟(《通用數據保障條例》)有兩個層面,如果並非嚴重違規,例如沒有委任個人資料保障主任,罰則是全年營業額的2%或1000萬歐元,看哪個較多;如果嚴重的,是全年營業額的4%或2000萬歐元。
 
  • 公署希望以100萬(港元)作為一個起點,如果不滿意可以有一個上訴機制,以帶來足夠的阻嚇作用。
 
  1. 請專員形容一下「起底」這把「武器」有多利害?怎樣去傷害人?
 
  • 就武器化的傷害,我可以分享一下我自己的經歷。當我看到自己被「起底」的資料,覺得困惑。這些說法例如「麻包袋接放學」、「在你舖頭面前吸煙」、「如果你結婚我跟你慶祝」等,即使裡面的資料不一定是真,我的生日日期都被寫錯,但會說「同你慶祝生日」,你可以想像一個陌生人說「同你慶祝生日」,都會有點擔心,你都會幾晚也睡不着。我可以告訴你,那傷害是十分大,尤其這是我個人的感受。
 
「起底」風氣如何影響香港社會?
 
  • 我希望風氣是和氣,相信所有人不會接受暴力。
 
警員方面的禁制令有沒有作用?
 
  • 我覺得有。我已將40宗案件交給律政司。我們有一支特別職務隊去做網上巡查,見到有違反禁制令的已交給律政司處理,但我無法評論律政司如何處理。
 
  1. What’s your concern on cross-border data transfer? Has Section 33 been enforced yet?
 
  • Section 33 has not been enforced yet.  The Government and the PCPD have consulted parties’ concerned, especially the SME. They were quite concerned about the implications of having section 33 in relation to understanding the requirement and the resources implication in order to comply with the section. Over the last 3-4 years, the Government has conducted another exercise and those concerns largely remain unchanged. We also asked our consultant to focus on those concerns and tried to provide the ways forward, how to handle these concerns which have existed for over the last two decades. Our consultant is now working on a realistic approach to address the concerns on how to hold the hands of the enterprises with the view to complying with the provisions under section 33.
 
  • Our consultant is working on the draft model contract clauses for them to apply when they need to transfer data out of Hong Kong, so this is one of the accepted modes. The other one is certification, for example. EU provides means to satisfy this requirement by applying the adequacy decision test. If they certify Japan as adequate, cross-border data transfer between EU and Japan is permissible.

Any obligation in Hong Kong to share data/ doxxing investigation with law enforcement agencies in mainland China?
 
  • We do hope the Government and private sectors share data. Sharing data is one of the aims to achieve personal data protection because we have the big data initiative by the Government. But by sharing or opening personal data, we have to be well aware of the risks involved and that is our job to remind the data subjects of these risks and to help organisations handle and deal with these risks.
 
  • At the time, there are special circumstances and justifiable reasons provided under the law for data to be shared among law enforcement agencies. It is a practice all over the world, not just in Hong Kong,
 
  • I’m not sure if there is sharing of data between Hong Kong and mainland China, I receive no complaint about this.

Facial recognition used by the Government.
 
  • In the past, we talk about the collection of personal data from personal identity card; and 10 years ago, we talk about mobile phone numbers; and now we talk about facial recognition, biometric data. This is something we have to keep up with, to catch up with the development because we need to identify and find the solutions for these risks.
 
  • In EU, they have special protection regime regulating the collection and use of biometric data or sensitive data, but for Hong Kong we don’t and it is not yet included in the six areas of the law reforms, because we need to address current needs. We will keep advising the Government to be transparent and explainable.

In terms of changes on the PDPO, are you afraid that the Ordinance will restrict the freedom of speech?
 
  • I have to consider if we are going to bring restriction on certain rights, especially the fundamental human rights. The restriction will have to be proportionate to the protection of other competing rights, including the freedom of speech.
 
  1. 就「起底」個案,我比較關另外兩個比較大的群組,表態支持政府和警方的市民,以及示威者,有5成,想問他們的處理和轉介情況是否做到公署所講的有效打擊「起底」?
 
  • 我們去信16個平台要求移除,香港平台的移除率是100%。另外海外的平台,包括美國、中東、俄羅斯,有七成是成功被移除,當中被移除的有七成是有關警察及其子女。從客觀來說,成效都算有些,但是否十分滿意呢?當然以我個人經驗,被「起底」所造成的精神上的傷害,一個人都嫌多,所以我們希望是做到百分之百,但當中有平台向我們解釋,他們有移除訊息的政策,而這些政策有考慮到言論自由。在效益而言,如果是嚴重的,是有關警察或公職人員,都有七成已經被移除,另外三成有可能覺得比較不嚴重。
 
對於修例能不重疊警方的工作,請問大概的詳情和方向是什麼?
 
  • 希望修例之後可以加強我們的檢控或調查能力,不需要依靠警察。我在昨日立法會提過,每一個執法機構都希望多些權力,但都要合法、合理才行。如果胡亂給權力予公營機構或執法機構,而妄顧其他權利的考慮,就會在法庭上受到挑戰,所以我希望做一個穩固的、必須的、適合的、合乎比例的條訂,使公署的權力,包括刑事調查及檢控權得以足夠支援,盡快保障好個人資料的使用、收集、安全,避免誤用或「武器化」 。
 
  1. Concerning doxxing figures on domestic workers in Hong Kong, many of them have left Hong Kong. Do you have any mechanism to assist them?
 
  • I don’t have the details on the figures, I will let our colleague assist you.
 
  • The PCPD aims at protecting everyone’s personal data. The rule of law means nobody is above the law. Everybody is equal under the law.
 
  1. 短短一個月已經有兩宗警員展示記者的身份證,請問是否需要加快調查,以免其他警員或人去模仿同樣行為呢?兩宗案件的調查進展如何?警方態度是否配合?
 
  • 我個人認為大家都是執法機構,大家都基本知道有什麼可以做,有什麼不能做,所以未必有需要去提醒警務處處長怎樣去教導警員去守法,如何防止違法,不過我今日跟副(私隱)專員談過,我們要提醒警務處處長我們法律的要求,至於如何做就由他們自己決定,但我們的要求有些規定在裡面,所以我們會做這一步,會再次去寫信去警務處處長。
 
修例的諮詢形式是怎樣?會否是公眾諮詢?預計修例今年可以做到哪一步?
 
  • 我們做了一個方向性的共識和報告,建議有六大修例方向,但怎樣將條例放上立法會,這方面我幫不上忙,因為我沒有權力建議立法會去修例,政府當局才可以。我亦十分同意局長(政制及內地事務局局長)所講,我們要有諮詢,這個諮詢的形式,包括公眾諮詢,但昨日立法會沒有通過(同意公眾諮詢的議案),所以我們會盡量去諮詢,應該去諮詢的界別我們都會去諮詢。
 
  1. 早前有警員貼連儂牆被捕,之後他的同僚在內地社交平台上公開他的個人資料,公署是否有留意這些情況?公署有否在內地平台作巡查?是否有採取行動?
 
  • 任何人違規我們都不會看背景,不理職業,只會按法律去做。如收集及使用資料的目的不同,就要得到當事人同意,否則在香港已經是違規。如在內地或香港以外,我們沒有域外管轄權,我們真是束手無策。
 
市民十分關心智能監控,例如智能燈柱,怎樣可以清晰列明如何規管人面特徵、活動特徵的使用?
 
  • 我們在最近的「智慧燈柱技術諮詢專責委員會」都經常提及,亦注意到世界不同論壇都有提及。
 
  • 對於敏感性資料,在我們六大項的修訂裡面並沒有涵蓋,主要原因是我們要定迫切性時,(該議題)未去到臨界點,但我們一定會緊密注意,尤其資訊科技日新月異,我們與政府有關部門亦緊密聯繫,所以我們希望在這方面能盡快做些工作。如果立法是不成功、的話,我們都會制定一些指引。
 
  • 人工智能、人面識別的指引是我明年工作之一。
 
 
  1. 有沒有信心修例是有阻嚇性,針對現時的不足?
 
  • 我一直覺得即使無牙,吃東西可以吃軟的,但發覺現在的飼料不是我自己選擇,是社會上不斷的進步,令我自己消化不到,我們一定要「硬」,尤其是速度。
 
  • 現時一分鐘內信息再轉發一次的數量是難以預計,因此所造成的損害也難以預計,所以希望條例上有實質改變,令我們更準確地執行我們的法例。另外在程序上,包括檢控及取證方面可以做得更多、更順暢。
 
  • 如果我們全靠其他執法部門,包括警察,除了會有重疊之外,技術支援或專業性沒有那麼強,當然我們公署裡面有專業性和經驗,我們需要多些人手去訓練。我估計如果包含處理強制性的資料外洩通報及「起底」案件,我們最少要增加最少一半,甚至一倍人手。
 
「起底」及資料外洩事故個案上升很多,對社會來說是否響起警號?上年六月至十二月的數字比前年同期多幾多?
 
  • 2013年只有兩宗;2014有31宗;2018年有57宗;2019年4370宗。
 
  1. 警察於鏡頭前展示記者的身份證,第一宗警員是知道有直播,現在跟進情況去到哪一步?該警員會有什麼後果?
 
  • 第一宗案件是我們主動調查的,因為我們看到有表面證據去合理地進行調查;第二宗在新聞報道中是沒有直播,而警員知不知道有直播是另一回事。任何一件案件一定要找出到底怎樣去收集和披露,如果收集和披露是同一個人,那要看這個人有沒有違規去披露,違規就是沒有同意。如果你發現是沒有披露,而披露者是另一個人,便要找出這個人有沒有違規,所以兩宗案件是不同的。
 
如果是發出執行通知書,對象是警員還是整個警隊?
 
  • 我們會寫信去警務處,承擔違規的責任是警務處處長,而非個別警員。
 
「起底」個案的轉介率及檢控率?
 
  • 如涉及刑事起底,已轉介1402宗個案予警方,大概佔三分之一。
 
  • 當中有八人被捕,其中一人被起訴。
 
公署人手情況?
 
  • 五年前已經不足夠,何況現在工作量已加三、四倍,我們會要求增加人手。
  
哪一個月的「起底」上升幅度最大?
 
  • 刑事起底是故意造成心理損傷,以前比較少,只是一時意氣,涉及家庭或情侶,部分會撤回投訴。
 
  1. Among 40 cases of suspected violation of injunction, which injunction was that?
 
  • Both injunctions were involved.
 
  1. Regarding criminal doxxing, even though it’s wrong, is it illegal? Or has to meet certain high standard before it is illegal?
 
  • What we believe in relation to a criminal case is, you must prove the criminal intent, either intentional or reckless we don’t care, simply say something malicious or have malicious intention. The effect is to cause psychological harm.
 
  • The other thing is the act itself. To put all these intimidating messages or posts and then upload with a view to circulating it across all sectors in the community, that is the criminal act.
 
結語
私隱專員Thanks for coming. I wish you a very prosperous year of data, and a very peaceful year online.