Skip to content

专员网志

专员网志

瞬息万变的私隐保障形势 (22.01.14)

新年伊始,是时候回顾过去一年私隐界的大事,再展望将来。

网上字典Dictionary.com公布,「私隐」获选为该网站的2013年度词汇。这现象相信与史诺登引发的政府监控风波有关,在某程度上亦反映机构和市民大众对个人资料私隐的关注日益增加。就公署在2013年接获的投诉个案,比较2012年便有48%的年度增幅 。


新资讯科技应用无孔不入

在今天的数码化社会,新资讯和通讯科技的应用日趋普及,为个人资料私隐带来了严峻的冲击。我在上一篇网志提及公署调查「起你底」应用程式的个案,正是一个例子。

明智使用资讯及通讯科技,固然可改善生活质素和提升生产力,但消费者的私隐和资讯保安必须严肃正视。就这方面,我刚为政府「2014数码21资讯科技策略」公众谘询而向政府提交了意见书1。从私隐保障的角度看,我对资讯及通讯科技是持平的,关键是大家在设计和应用新科技时如何取舍──要侵犯私隐,还是提升私隐保障。我们应该推举可兼顾有助提升保障私隐的科技。


私隐和资料保障:企业管治不可或缺的一环

为确保机构履行企业责任,妥善管理私隐和资料保障,机构必须确立相应的政策和程序,最高管理层亦须视之为企业管治责任不可或缺的一部分;切忌采取随遇而安的态度。我去年一直大力推动本港最大的资料使用者,即政府、银行、保险和电讯业采纳对资料保障问责的管治概念。

令人欣慰的是,我们的努力的确令私隐保障成为一些机构的董事局会议议题,虽然不是一步登天,但总算稳步前行。公署在去年12月17日举办了一场CEO早餐会议,广邀上述界别的行政总裁讨论私隐和资料保障,有近70名行政总裁和高层行政人员出席。 另外,我应政务司邀请,於2014年1月17日的政府部门首长会议上向90多名政策局及部门首长阐述个人资料保障的重要性。

Privacy Management Programs
12月17日的CEO早餐会议,我情商了前英国个人资料专员Richard Thomas 来港分享个人资料保障对企业管治的重要性,有近70名行政总裁和高层行政人员出席,反应相当热烈。
12月17日的CEO早餐会议,我情商了前英国个人资料专员Richard Thomas 来港分享个人资料保障对企业管治的重要性,有近70名行政总裁和高层行政人员出席,反应相当热烈。

更多地方引入个人资料私隐法例

社会人士在私隐和资料保障方面的诉求日益高涨,这个形势不是香港单独面对的。香港於1996年实施《个人资料(私隐)条例》(下称「私隐条例」)之时,是亚洲首个为个人资料私隐立法的司法管辖区,环顾亚洲,今天已实施或计划实施类似法例的司法管辖区已增至十个,计有南韩、澳门、越南、马来西亚、日本、台湾、泰国、菲律宾、印度,以及不少人经常与香港作比较的新加坡。

新加坡2012年引入的《个人资料保护法》自2013年起分阶段实施,其保障范围明显在两方面比香港看来更为进取。

就资讯科技发展带来的私隐关注,我不时与海外的私隐专员和保障个人资料的执法机构交流心得。
就资讯科技发展带来的私隐关注,我不时与海外的私隐专员和保障个人资料的执法机构交流心得。

谢绝来电登记处

首先,新加坡的个人资料保护委员会设有「谢绝来电登记处」,消费者可登记其电话号码,以示拒绝收到任何传真、电话短讯和话音电话讯息。该登记处由2013年12月2日投入运作,一个月後已有近四十万个号码登记,七成半登记人登记的目的是阻截促销讯息。香港的通讯事务管理局也有类似的「拒收讯息登记册」让市民登记其电话或传真号码,但相比新加坡,拒收的讯息只限於商业电子讯息。公署一直锲而不舍地要求政府当局扩大「拒收讯息登记册」至包括人对人的电话讯息,因为此举不但有助加强对消费者选择接收直销讯息的保障,而且可与英国、澳洲、加拿大、新西兰、法国和美国等地的安排看齐,可惜建议不获接纳。


规管个人资料的跨境传送

第二方面是有关个人资料转移至外地的保障。新加坡《个人资料保护法》第26(1)条将於今年七月实施,规定机构不得把个人资料转移至新加坡以外的地方,除非符合条文列明的条件,确保被转移的资料所受的保障标准不下於该法案的保障。

同样,香港的私隐条例第33条对转移个人资料至香港以外地区的安排亦有非常严谨和全面的规管。该条文明确禁止持有资料的资料使用者把个人资料转移至香港以外的地区,除非符合指定的条件,例如:

(i) 该地区是在专员制订的「白名单」内,即这些地区实施的有关个人资料保障的法律,与本港私隐条例大体上相似,或其目的与私隐条例的目的相同[第33(2)(a)条];及

(ii) 资料使用者已采取所有合理的预防措施及已作出所有应作出的努力,以确保资料转移该地区後被处理的方式不违反私隐条例规定[第33(2)(f)条]。

但是,私隐条例自1995年实施以来,第33条迟迟未生效,而政府当局亦未有订立落实该条文的时间表。换言之,现时香港有关个人资料由香港转移海外的保护相当薄弱,有欠全面;仅有的保护是私隐条例中的保障资料原则,而违反保障资料原则本身不构成罪行:

(i) 根据保障资料第2(3)原则,资料使用者聘用资料处理者在香港或香港以外代为处理个人资料,必须以合约或其他方法规范,以防止资料转交给资料处理者後其保留的时间长於实际所需。

(ii) 保障资料第4(2)条订明,资料使用者必须采取合约或其他规范方式,以防止有关的个人资料经资料处理者而在未获其准许的情况下或意外地被查阅、处理、删除、丧失或使用。

(iii) 另外,保障资料第3原则规定把个人资料转移至另一司法管辖区的目的,必须符合原初收集资料的目的。

私隐条例於九十年代制定,时至今天,全球数据流动的模式已大大不同。科技进步,加上机构的业务模式和行事方式演变,个人资料的转移已变成个人资料的数据流。数据跨境、连绵不绝和大规模地流动。机构,包括中小企机构追求提升效率,为用户提供便捷和引进新产品,这些发展对全球的数据流动有一定影响。例如,有些机构透过云端运算技术把数据分散存放在不同的司法管辖区,有些机构则把处理资料的工序外判至世界各地的承办商。在人力资源、金融财务、电子商易、公共安全和医疗研究方面的频繁电子数据流动,是当今全球经济不可分割的部分。

政府是时候正视私隐条例第33条相关的议题,确保香港维持国际金融中心和数据枢杻的地位。



1 建议书全文详见:
www.pcpd.org.hk/english/files/infocentre/2014_digital_21.pdf



昔日网志