Skip to content

新聞稿

新闻稿

日期: 2019年1月31日

资料外洩事故通报、资讯及通讯科技应用相关投诉 去年皆创新高 
数据保安成关注重点
除依法保障外 私隐专员提倡数据伦理道德价值及私隐管理问责 建立互信和尊重


总结2018年,香港个人资料私隐专员公署(公署)接获机构外洩个人资料事故的通报数目创新高,多宗大规模的资料外洩事故更备受广泛关注;而与资讯及通讯科技应用相关的投诉个案亦上升超过一倍,其中涉及在互联网披露或洩漏个人资料的投诉大增,同创近年新高。面对近年资讯科技的急速发展以及环球数据私隐领域的转变,公署正检视《个人资料(私隐)条例》(《私隐条例》),同时积极提倡私隐管理问责制和数据伦理道德,与持份者建立信任,共创双赢。

2.         香港个人资料私隐专员(私隐专员)黄继儿今日与传媒聚会,于总结公署在2018年的工作时表示:「对全球及本地的私隐执法机关而言,2018年是数据私隐保障重要的一年。年内欧盟的《通用数据保障条例》生效,为环球私隐法律框架及形势带来重大转变;加上发生多宗大规模的资料外洩事故,显示机构加强数据保安的工作实在刻不容缓,亦令大众对个人资料私隐的关注大为提高。」

3.         「机构须紧记:个人资料是属于个人本身的,有足够的法律和伦理基础去控制个人资料的整个生命周期。机构有法定和道德责任,合理保障收集所得的个人资料的安全及处理恰当。既然机构能从个人资料中获取利益,在营运上便不应抱有只依从最低监管要求的想法,而应恪守更高的数据伦理道德标准,在现今数据主导的经济下与持份者建立信任的基础。」
 
4.         「来年公署将会继续公正执法和加强教育宣传工作,并推动机构引入私隐管理问责和数据伦理道德规范,再配以法律框架,培育保障、尊重私隐和个人资料掌控的文化。公署除担当执法者和教育工作者的角色外,我们会根据法例协助机构(包括政府)推展各项涉及个人资料私隐的措施,包括就检讨《私隐条例》提出建议。」
 
公署的2018年工作报告总结重点如下:
 
资料外洩事故的通报、循规审查及循规调查

5.         公署在2018年接获129次机构外洩个人资料事故的通报,较2017年的106次上升22%。这些外洩事故涉及黑客入侵、系统设定有误、遗失文件或便携式装置、经传真、电邮或邮递意外披露个人资料等。
 
6.         公署于2018年内主动进行了289次循规审查,较2017年的253次上升14%。年内亦主动进行四次深入的循规调查,较2017年的一次上升三倍。
 
视察
 
7.         公署在2018年12月发表了对香港私营补习服务行业的个人资料系统的视察[1]报告,提出多项建议供业界参考。
 
回应查询
 
8.         公署在2018年接获的查询个案为16,875宗,较2017年的15,594宗上升8%。查询性质方面,32%是关于收集/使用个人资料(例如身份证号码或副本);10%是与僱佣相关的个人资料处理;6%是关于个人资料用于直接促销 (直销)活动。
 
9.         与使用互联网有关的查询由2017年的1,057宗下跌至2018年的923宗,跌幅为13%,主要涉及网络起底、流动应用程式及网络欺凌。
 
处理投诉
 
10.       公署在2018年接获的投诉个案为1,890宗[2],较2017年的1,533宗[3]上升23%。
 
11.       在该1,890宗投诉个案中:
  • 有71%投诉私营机构(1,334宗),12%投诉公营机构或政府部门(220宗),其余17%(327宗)则投诉个别人士;
  • 就投诉性质方面,27%的个案是关于未经资料当事人同意而使用其个人资料(816宗);24%是关于收集个人资料的目的和手法(735宗);16%关于资料保安(482宗);查阅/改正个人资料的投诉佔5%(157宗)。
 
12.       公署在2018年完成处理1,751宗投诉个案,就92宗投诉个案作出调查。在这些已完结的投诉个案中,844宗获公署接纳作更深入处理,公署先以调停这种有效的解决争议方式,尝试排解资料当事人与被投诉者之间的纠纷。当中涉及违反《私隐条例》的被投诉者,公署致力提示及劝告他们采取纠正措施,避免重蹈复辙。由于被投诉者在听从公署的建议后,均从善如流采取相应措施纠正违例事项,故公署毋须向被投诉者发出执行通知。公署在其中686宗个案向被投诉者作出建议,提醒被投诉者采取纠正措施,或鼓励他们建立保障个人资料的良好行事方式。
   
13.       被投诉的私营机构中,涉及金融及财务行业最多(共241宗;投诉主要关于收集个人资料,例如财务公司以不公平方式收集个人资料),其次是物业管理(共166宗;投诉主要关于个人资料的使用(包括披露及转移),例如法团张贴载有居民个人资料的通告);以及交通运输业(共166宗;投诉主要关于个人资料的保安,例如涉及国泰航空外洩个人资料的个案达139宗)。

使用资讯及通讯科技
 
14.       公署在2018年接获501宗与使用通讯科技有关的投诉个案,较2017年的 237宗上升超过一倍(增加111%)。较常见的投诉事项(一宗投诉个案可能涉及多于一个投诉事项)是关于在互联网披露或洩漏个人资料(270宗)、社交网站(156宗)、使用流动应用程式(96宗)及网络欺凌(59宗)。
 
15.       值得注意的是,在2018年接获关于在互联网披露或洩漏个人资料的投诉宗数(270宗),较2017年的65宗大幅上升超过三倍(增加315%),相信年内发生多宗与大型资讯科技系统外洩个人资料有关的事件,引起公众对保障网上个人资料私隐的关注。
 
使用闭路电视及航拍机
 
16.       公署在2018年接获101宗有关闭路电视的投诉(2017年则有197宗);而关于航拍机的则有三宗(2017年则未有相关投诉)。
 
17.       公署年内就无人驾驶飞机系统规管公众谘询与政府有关部门讨论及提出保障私隐相关建议。
 

 
18.       公署在2018年接获 181宗有关直销的投诉,与 2017年的 186宗数字相若。投诉主要是关于资料使用者在未取得资料当事人同意的情况下使用其个人资料作直销,或资料使用者未有依从资料当事人提出的拒收直销讯息要求。
 
19.       2018年共有两宗经公署转介予警方进行刑事调查而最终被定罪的个案:
 
2018年1月 一间超级巿场在未获资料当事人同意下,将该名资料当事人的个人资料使用于直接促销(首宗因违反第35E(1)条而被定罪的个案) 被判罚款3,000元
2018年8月 一间电讯公司没有依从资料当事人的拒收直销讯息要求,而继续使用其个人资料作直接促销 两项控罪各被判罚10,000元,共罚款20,000元
 







20.       公署年内对政府建议设立法定拒收讯息登记册加强规管人对人促销电话与政府有关部门讨论及作出保障私隐相关建议。
 
执法行动及检控
               
21.       公署在2018年内向资料使用者发出16次警告;而如前所述,由于被投诉的资料使用者在听从公署的建议后,均从善如流采取相应措施纠正违例事项,故公署年内毋须发出执行通知。
 
22.       同年,公署转介六宗违反《私隐条例》规定的个案予警方作刑事调查及检控,全部均涉及使用个人资料作直销。2018年的检控个案共有两宗,同样皆关于使用个人资料作直销。
 
法律协助计划
 
23.       对于因资料使用者违反《私隐条例》规定而蒙受损害,并有意提起法律程序以寻求补偿的个人,公署的法律协助计划可提供协助。2018年,公署处理了九宗申请,当中有三宗经审核后获接纳,三宗经审核后不被接纳,其余三宗仍在处理中。
 
行政上诉委员会案件
 
24.       公署于年内接获共12宗上诉个案,当中11 宗是上诉私隐专员不作正式调查或终止调查的决定,余下的一宗则是上诉私隐专员在作出调查后不送达执行通知的决定。
 
25.       在2018年共有21宗上诉个案完结,当中18宗遭上诉委员会驳回,一宗由上诉人撤回,一宗上诉得直,而余下的一宗则部分上诉得直。被行政上诉委员会驳回或由上诉人撤回的案件佔整体完结个案超过九成 。
 
国际及内地联系
 
26.       公署凭借其在亚洲的卓越地位,去年参与不同的地区性及国际性论坛,分享其资料保障的经验和交流见解。例如,公署是「国际资料保障及私隐专员会议」、「全球私隐执法机关网络」及「亚太区私隐机构」的行政委员。公署亦是亚太区私隐机构科技工作小组的召集人。公署在2018年亦参与内地及海外多个会议,与工作夥伴分享经验及建立连系,例如:
 
  • 亚太经合组织电子商贸督导小组资料私隐分组会议
  • 国际资料保障及私隐专员会议
  • 亚太区私隐组织论坛
  • 内地与港澳法律研讨会:「一带一路」与大湾区建设法律问题探讨
  • 两岸四地青年律师论坛
 
27.       公署深信,香港的资讯自由流通和个人资料的有效保障,是香港的「独特和不可替代」的优势。
 
传媒
 
28.       年内公署共发布了39篇新闻稿,回复了184个传媒查询,接受了92次传媒访问。在传媒关注的议题中,有四成四(44.2%)是关于个人资料外洩或受黑客入侵的事件,另近一成五(14.7%)则与立法会综合大楼内监察及记录个别议员的行踪以及政府人员手提电话被取事件相关,而涉及闭路电视/航拍机和直销/人对人促销则有近一成(9.8%)。
 
推广及公众教育
 
29.       在违规事故发生之前,公署积极联系各行业代表和个别机构,务求增强对合规和问责的理解。公署在2018年举办了421次专业研习班、讲座、研讨会及持份者会议,参加者来自超过570间机构,人数达33,543人,总训练人次时数为68,402小时。其中公署应邀举办的机构内部讲座数目更达123场,总训练人次时数超过18,672小时,为历年最多。此外,私隐专员亦应邀出席228场演讲、研讨会、讲座及持份者会议,分享资料私隐保障的最新发展、数据道德管理价值和模式、建立私隐管理系统的重要等,总训练人次时数达37,512小时。年内公署出版及修订了五份刊物,包括指引、小册子及年报,协助机构了解如何遵守资料保障法规,并采纳良好的私隐管理行事方式,以及为儿童提供保私隐小贴士等。
 
30.       在2018年,公署举办了18个推广及教育活动项目,以配合个人(包括学生和长者)及机构的不同需要,参加人数达262,145人,为历年最多。向儿童及青少年推广保障个人资料私隐一直是公署的重点工作之一,其中去年参加公署「保障私隐学生大使计划」的中学学校夥伴数目达106间,参与人数超过六万人,创历年新高;另举办小学生保障私隐活动,包括讲座及亲子填色及漫划创作比赛,参与人数亦超过94,000人。公署亦与多家服务长者的非政府机构合作举办共16场讲座,协助长者认识潜在的资料私隐风险,参加长者人数为1,225人。商界方面,公署一直优化网站内容,协助提升各行业及中小企的私隐意识。除此之外,公署在2018年举行了「中小企保障私隐运动」,全方位协助中小企保障客户及员工个人资料。公署为中小企设立了专用的谘询热线和电邮、举办了多场与保障个人资料有关的讲座,并推出《中小企保障个人资料你要知》广播剧。
 
31.       年内公署继续加强及完善其网站PCPD.org.hk、以及两个专题网站(「网上私隐要自保」和「儿童私隐」)的资讯;期间新增了「欧盟《通用数据保障条例》」专页及「老友记天地」小型网站。
 
奖项与嘉许
 
32.       两名公署员工获颁「2018年申诉专员嘉许奖」公职人员奖,以表扬他们在处理查询和投诉的卓越表现。
 
33.       公署另获僱员再培训局嘉许为「政府部门、公共机构及非政府组织」类别的「人才企业 (2018-20)」,表扬公署在人才培训及发展工作方面的卓越表现。
 
34.       公署网站PCPD.org.hk以及四个专题网站或小型网站(「网上私隐要自保」、「儿童私隐」「网上私隐有法保」和「老友记天地」)均荣获《无障碍网页嘉许计划18/19》网站组别金奖。
 
2018与个人资料私隐相关的重要事件及公署重点工作
 
35.       「处理数据的正当性」研究 
公署于2018年初委讬顾问公司进行「处理数据的正当性」研究项目(Legitimacy of Data Processing Project),旨为探讨机构如何在进行高阶数据处理活动(如人工智能和机器学习等)时,能达至有道德及公平地处理个人资料,平衡所有持份者的利益。超过20间香港机构参与是次研究项目并提出意见和建议,当中涵盖银行、保险、电讯、健康服务和交通运输等行业。有关顾问研究报告(题为「Ethical Accountability Framework for Hong Kong, China」)在2018年10月发表,建议机构推行符合伦理道德的数据管治制度,及秉持三大数据管治价值,即尊重(respectful)、互惠(beneficial)和公平(fair),使高阶数据处理活动能惠及所有持份者。
 
36.       《欧洲联盟〈通用数据保障条例〉2016》
 
因应欧盟《通用数据保障条例》于2018年5月25日实施,公署于2018年4月发出《欧洲联盟〈通用数据保障条例〉2016》小册子,以提高香港机构/企业对欧盟新制定的资料保障监管框架的认识并了解它可能带来的影响,及就当中部分主要的规定与《私隐条例》作出比较。
 
公署在年内收到三宗指称涉及《通用数据保障条例》的投诉。[4]

37.       立法会综合大楼内监察及记录个别议员的行踪以及政府人员手提电话被取事件
 
年内有议员质疑立法会综合大楼内有人监察及记录议员行踪的行为是否违反《私隐条例》,以及有政府人员的手提电话被取事件。公署迅速就有关事件作出回应,把握社会当下对事件的关注,令社会各界对《私隐条例》的规定有更深入的了解。

39.       参与GPEN年度抽查行动
 
公署连续第六年参与「全球私隐执法机关网络」的抽查行动。本年抽查行动的主题是「私隐问责制的实施」。包括公署在内的18个世界各地的私隐执法机关参与了抽查行动。公署邀请了多间不同行业的机构参加抽查行动,了解它们有关私隐问责制的实行,以评估不同行业在实施私隐管理系统的情况。「全球私隐执法机关网络」现正整合参与的私隐执法机关提交的结果,预计于2019年首季发表抽查报告。

39.       推广私隐管理系统
 
公署于2018年发出修订的《私隐管理系统 — 最佳行事方式指引》,协助机构建立全面私隐管理系统。修订版指引是2014年版本的「加强版」,向机构提供实务建议,并辅以具体例子、简洁图表及相关问卷/清单范本等供参考。
 
自2014年开始推展私隐管理系统后,香港特别行政区政府与超过30家来自保险、电讯及其他行业的机构,承诺推行以问责为本的私隐管理系统。政府及公署其后委讬顾问公司,协助其中三个政府政策局及部门(政制及内地事务局、香港邮政及环境保护署)推行私隐管理系统,并为他们拟备私隐管理系统操作手册。该三份私隐管理系统操作手册已于2018年完成。公署亦联同顾问公司举行工作坊,以协助政府各政策局及部门根据其运作建立其私隐管理系统。
 
公署将继续推出有关私隐管理系统的讲座及专业研习班,协助机构拟备私隐管理系统操作手册,建立全面的私隐管理系统。
 
2019年的重点工作

40.       在2019年,公署将会 :
  • 继续公正执法,向各持份者推广和教育有关个人资料的保障;
  • 继续推动机构(特别是中小微企)推广合规保障个人资料和数据伦理道德的私隐管治制度;
  • 与内地及海外的保障私隐机构加强联系,处理跨境数据违规事故,并向本地持份者讲解其他司法管辖区的保障资料规定,协助持份者依从相关要求,以及资讯自由流通和私隐保障作为香港独特且无可取代的优势;
  • 根据法例协助机构(包括政府)推展各项涉及个人资料私隐的措施,包括就检讨《私隐条例》提出建议;以及
  • 就「金融科技」和「去识别化」发出指引,以及出版一本有关内地个人资料主要法规的小册子,以供业界及公众参阅。

[1]   依据《私隐条例》第36条,私隐专员可对资料使用者所使用的个人资料系统进行视察,以作出关于促进资料使用者遵守《私隐条例》条文的建议。
[2]  当中有139宗投诉是有关国泰航空公司外洩客户个人资料事件
[3]  撇除了2017年有关遗失载有选委及选民个人资料的手提电脑的单一事件的投诉个案(1,968宗)
[4]  三名投诉人都有欧盟国家国籍,一宗投诉涉及机构持有投诉人的个人资料的准确性,两宗涉及个人资料的保安。

  -完-
 
相片:







私隐专员黄继儿今日(2019年1月31日)与传媒聚会,总结公署在2018年的工作及简介2019年的重点工作。