|
英國及加拿大的保障個人資料經驗
 |
|
右起:加拿大卑斯省資訊及私隱專員大衛‧
勞奇德利先生、香港個人資料私隱專員吳斌先生、英國資訊專員李察‧ 湯馬斯先生及副香港個人資料私隱專員關綺蘿女士,出席2008
年2 月27 日舉行的公開論譠,分享三地資料保障的經驗。
|
個人資料私隱專員吳斌先生邀請了英國資訊專員李察‧湯馬斯(Richard
Thomas )先生及加拿大卑斯省資訊及私隱專員大衛‧勞奇德利(David Loukidelis )先生兩位海外講者,出席2008
年2 月27 日在香港舉行的公開論壇,從監管機構角度分享有關資料保障的進展及經驗。
吳先生表示:「由於個人資料私隱已成為影響我們日常生活的重要社會問題,企業應以保障私隱為一項競爭優勢及經營業務的必須條件。論壇提供寶貴機會,讓公營及私人機構直接向分別在英國及加拿大卑斯省負責資訊及私隱權的兩位專員了解有效的資料保障及防止洩漏方法。」
湯馬斯先生指出:「現時政府及私人機構收集的個人資料數量十分龐大,足以全面重組我們的日常活動,我們幾乎在所有日常活動中都會留下「電子足跡」。」
湯馬斯先生進一步舉例說明:「私隱法規並非白紙黑字的簡單解決方法。我們公署採取的做法是呼籲收集資料作商業或打擊罪惡用途的機構,考慮是否有充分的理由支持其現行做法或所採取的每項新措施,而不論其是收集新資料或新類型的資料共享。例如,無人會反對在機場及火車站設置閉路電視,但我們會質疑是否有需要只為打擊恐怖主義而在每個街角安裝閉路電視。我們新制定的閉路電視守則已禁止使用有麥克風的攝錄機。我們對於以反恐為由建議推行的生物識別技術身分證有保留,亦對強制保留電訊流量數據的建議有顧慮。」
勞奇德利先生說:「在加拿大,人們對這議題的觀點也有所改變,要求以反恐或打擊罪行為理由採取新保安措施的機構證明其沒有進行不可告人活動的呼聲越來越高。」加拿大有人建議讓警方可因緊急情況在無司法機關授權及無須證實為必須下,要求互聯網服務供應商披露個人的私人資料以供調查。勞奇德利先生表示:「我們應十分警剔,確保要求公職人員時常證實行使侵擾程度較多的權力的必要性。我想關鍵是我們應繼續在默許政府擬採取的措施前,要求政府證明該等措施是必須的。」
 近期香港發生了一連串資料洩漏事件。不過,這問題並非香港獨有。在英國,皇家稅務及海關總署(徵稅機關,亦為兒童福利行政機關)遺失了兩隻沒有加密的光盤,當中載有2,500
萬項兒童福利金的個人資料,包括700 萬項個人銀行資料;國防部遺失了過去十年表示有意加入軍方人士的60 萬項資料;而美國艾奧瓦州駕駛標準機構的外判公司則遺失了300
萬個名字和地址。銀行也被發現將裝有銀行結單、貸款申請書及醫療保險拒絕受保函的膠袋棄置在路旁。上述龐大的數字讓你震驚?有時少量數字的洩漏可以叫人更擔憂,今年較早前,部份法院督察部遺失了50
或60 名人士的高度敏感資料﹕ 罪行受害人、見證人及警方情報的資料。
回應遺失資料的問題,國際上日益接受的共識是在嚴重個案中為強制規定作出違反保密責任的通知。
加拿大現時有三項法律建議設立強制責任,規定遺失資料的機構要通知其客戶。然而,這些法例對防止資料洩漏的效用仍然存疑。勞奇德利先生說:「我們仍然要問:這些法例有實際好處嗎?而且現時已有人擔心這些洩漏通知會否多至讓人麻木。我認為通知應留待重大個案中使用,風險評估顯示此舉有助受影響人士保護自己。」
湯馬斯先生說:「在英國,強制發出通知仍未成為共識,目前做法是內閣秘書長規定所有在政府部門發生的重大資料遺失須向我署報告。不過,這樣會出現瑣碎通知的風險。我收到的40
個報告中,最少兩個只是報告遺失了一個檔案。此外,若你在每次出現遺失時都通知每名有關人士,這些通知受注意的程度就會下降。這並非純粹有關保安的問題,資料遺失的情況幾乎無論如何一定會出現,現時的優先問題應是制止違規事件。我們不應只是叫人不要違反,而是要防止有更多的損害出現。在這方面,我認為澳洲法律改革委員會的方法可取,他們正在界定損害的嚴重性,以便監管機關可針對目前的情況採取行動。」
根據香港現有法律,違反保障資料原則並非刑事罪行。在大部份情況下,會發出執行通知,只有不遵守執行通知才構成罪行。吳先生說:「規定作出強制通知不一定可以防止資料洩漏。不過,有一定理由相信,在某些情況下,若在發生個人資料洩漏事件初期,執行有關通知制度,應可控制資料洩漏的擴散,從而盡量減低被洩漏資料人士受到的損害,尤其是有大量人士的資料被洩漏,而被遺失或竊取的是敏感的私人資料。」
英國已實施一個資料使用人登記制度,證明相當成功。湯馬斯先生表示:「這是一個簡便的制度,只要求資料使用人向我提供基本資料。該制度提高了資料使用人的透明度及問責性,但對其沒有繁苛的要求。有關資料在我們收到投訴或須進行調查時特別有用,為我署職員提供了一個著手處理個案的起點。」
湯馬斯先生再說:「我們的理念是作為監管機構,我們須要簡化資料保障法,盡量使希望遵守該法律的廣泛人士易於遵循,但要使不擬採取正確做法的少數人更難得逞。」
加拿大沒有登記制度,但公共機構有責任就其設有的各個個人資料數據庫或資料庫設立名錄,並讓公眾可查閱該等名錄。這有助提高透明度及問責性,並讓人們知道甚麼機構保留了其資料,以及該機構保留的是何類資料和作甚麼用途。勞奇德利先生說:「另一個好處是你可與資料使用人溝通,不單為執法,而是為促進良好做法,以及協助彼等遵守其在有關法律下的責任。」
|
聲
明∕版 權 ©
2007
年7 月,A 女士向該醫生提出第二次查閱資料要求,要求該醫生提供自1993 年1 月至2007 年7 月期間該醫生持有關於A
女士的醫療記錄副本。該醫生再次沒有在接獲查閱資料要求40 日內回覆A 女士,A 女士因而向公署作出投訴。私隱專員遂將個案轉交警方向該醫生作出檢控。
根據《個人資料(私隱)條例》保障資料第1
原則的規定,資料使用者須為了直接與其職能或活動有關的合法目的收集資料,而收集的資料屬足夠便可,不應超乎適度。
根據《個人資料(私隱)條例》(下稱「條例」)第18
條,市民有權要求資料使用者,例如政府部門或私營機構,告知是否持有其個人資料,以及提供一份該等資料的複本。而資料使用者必須在收到要求後四十日內作出回應,依從或拒絕依從(如符合條例第20
條的理由)查閱資料要求,否則有可能觸犯條例第64(10) 條所訂的罪行,被檢控定罪的話,最高可被罰款一萬元(第3 級罰款)。
香港區方面,公署會在這個星期安排多項不同類型的推廣活動。在8
月25 日,將會舉行「私隱關注運動2008 」的開展儀式,為是項運動揭開序幕;在8 月26 日,會舉行與地產代理監管局合辦的「地產代理業保障私隱活動」動儀式,向業界推廣保障客戶個人資料的重要性;在8
月27 日,將舉辦特別為保障資料主任聯會會員而設的研討會,公署邀請了專業人士向會員講解使用手機及分享軟件的保安措施。
USB
可攜儲存裝置
檔案分享軟件
