(2014年1月23日)個人資料私隱專員公署(下稱「公署」)於2013年接獲1,792宗投訴個人資料私隱受侵犯的個案,當中近三成與2013年4月1 日生效的《個人資料(私隱)(修訂)條例》(下稱「修訂條例」)中規管使用個人資料作直接促銷用途的新條文有關。
2. 個人資料私隱專員蔣任宏(下稱「專員」)今日在新聞發佈會上回顧公署於2013年的工作時表示:「這一年錄得歷來最多的投訢數字,反映公眾對個人資料私隱保障的關注日增,喚起機構應嚴肅看待私隱和個人資料保障。機構的最高管理層應坐言起行,把個人資料私隱保障納入為企業管治責任,實施整體而全面的私隱管理系統,確保訂立穩妥的私隱政策和程序,並在機構中貫徹執行。」
3. 公署的2013年工作報告總結重點如下:
回應查詢
4. 公署在2013年全年接獲的查詢個案多達24,161宗,為歷年之最,較2012年增加27%。最多人查詢的範疇依次為直接促銷活動的個人資料收集和使用(55%)、涉及人力資源管理的個人資料處理(10%)﹑查閱資料要求(8%)、收集身份證號碼或副本(5%)和工作場所的監察(2%)。
5. 查詢個案中有13,203 宗(佔總數55%)關乎修訂條例中規管直銷的新條文,而相關的查詢大部分於4月至5月期間提出。
處理投訴
6. 公署於這年內接獲1,792宗投訴,數字同樣是歷來最高,比較2012年升幅近五成(48%),公署採取了簡化工作流程和提升員工效率的措施,以應付激增的投訴。
7. 投訴個案中有78%投訴私營機構(1,404宗),一成三投訴公營機構及政府部門(227宗),其餘9%(161宗)則投訴個別人士。
8. 被投訴的私營機構,最多為金融機構(356宗),其次是電訊業(153宗)及物業管理( 125宗)機構。
9. 投訴性質方面,最多是不滿未經資料當事人同意而使用其個人資料(673宗),佔整體投訴的38%;36%個案投訴收集個人資料的目的和手法(643宗);9%有關資料保安(169宗); 查閱/更正個人資料的投訴佔9%(161宗)。
10. 與規管直接促銷新條文的實施有關的投訴亦為數相當多,有538宗。不少投訴人報稱於2013年3月底至4月初收到機構發出的通知,表示會使用客戶的個人資料進行直接促銷。機構發出這類通知的原因主要如下:
(1) 機構發出通知,為了符合新條文中「不溯既往安排」的條件其中之一:以易於理解和閱讀的方式,明確告知客戶會擬使用其個人資料作促銷之用。
(2) 一些機構誤以為在通知客戶的訊息中列出更多產品或服務類別,便可將「不溯既往安排」擴大;
(3) 提醒客戶有權拒絕接收直接促銷訊息,藉以整理日後可用的促銷名單。
11. 這些機構通知所引起的投訴大致上可分為三類:
(1) 這些通知令客戶產生混淆,以為有必要迅速回覆,否則會喪失拒收訊息的權利。
(2) 機構未能提供方便而有效的渠道,供客戶提出拒收直銷訊息要求,例如電話長期未能接通。
(3) 一些投訴人表示從未跟發出通知的機構有往來,質疑該機構為何取得他們的個人資料。
12. 投訴涉及的範疇方面,去年接獲與資訊及通訊科技應用相關的侵犯私隱投訴有93宗(2012年有50宗)。當中40宗涉及投訴人的個人資料被別人擅自放上社交網站,12宗涉及投訴人收到WhatsApp的非應邀促銷訊息。不過,這兩類個案皆難以跟進,前者的資料使用者往往難以追蹤;後者一般涉及用電腦隨機撥出電話號碼發放的訊息,未必牽涉可識別個人身份的個人資料。 循規
審查及主動調查
13. 公署在2013年共收到61次(2012年有50次)的機構個人資料外洩事件事故通報,涉及約九萬人的個人資料私隱。公署一般經由機構主動呈報﹑傳媒報道及市民舉報等不同途徑得知機構發生資料外洩事件。這些外洩事故的肇事原因各異,個別個案涉及黑客入侵電腦系統所致;也有一些機構的員工不小心把機構處理的個人資料傳送給無關的第三者。
14. 為協助機構遵從《個人資料(私隱)條例》(下稱「私隱條例」),專員於2013年內完成208次循規審查行動(2012年為161次)以及19項主動調查(2012年為9次)。
15. 針對資訊及通訊科技應用方面,公署抽查了 60款本地開發的智能電話應用程式,結果發現只有六成程式有向用家提供私隱政策聲明 ;大部分政策沒有解釋程式會讀取手機上哪些資料和讀取資料的目的。公署已向有關的程式開發公司作出建議;即使這些程式有能力讀取而實際上沒有收集用戶的資料,也應該向用戶交代不收集資料的政策。
調查行動
16. 專員在年內發出32次警告和25項執行通知,而2012年則分別發出27次警告和11項執行通知。向機構直接發出的執行通知數量倍增,正反映修訂條例賦予專員在這方面較大的執法權力。
17. 專員發表六份調查報告 (2012年為八份),點名指出三間公司﹑一個政府部門和一間公營機構違反收集資料(第1原則),資料使用(第3原則)和資料保安(第4原則)方面的保障資料原則。
18. 這些調查報告得到傳媒廣泛報道,引發社會人士的嚴肅討論,喚起關注,發揮公眾監察,警惕違規者和其他資料使用者切勿重蹈覆轍。
檢控
19. 在過去一年,公署共轉介20宗違反條例規定的個案予警方考慮作出檢控,比2012年多33%。14宗個案有初步證據顯示違反條例規管直銷活動的條文,例如投訴人已提出拒收直銷訊息要求而機構仍然繼續向投訴人進行電話推廣;以及機構使用個人資料作直銷用途前未有依照條例規定採取指定的步驟。
20. 大部分轉介案件目前仍在調查中;在2013年內未有定罪記錄。
法律協助計劃
21. 修訂條例引入的法律協助計劃亦於2013年4月1日生效,協助個人資料私隱權因違法行為而受損的人士透過法律行動申索。計劃推出九個月,公署共接獲16宗申請,其中一宗申請獲批核,五宗經審核後不被接納,兩宗的申請人撤回申請。
資料使用者申報計劃
22. 條例的第IV部訂明專員可推行「資料使用者申報計劃」,要求指明的資料使用者呈交「訂明資訊」,呈報他們控制的個人資料的類別,及收集、持有、處理或使用該等個人資料的目的。
23. 公署於2011年7月發出公眾諮詢文件,列載資料使用者申報計劃的運作架構及實施計劃。計劃初階段的實施範圍是政府/公營機構、銀行、電訊和保險業的機構。
24. 根據諮詢所收集的意見,公署了解有關行業團體對申報計劃旨在推動更高的保障個人資料私隱標準這目標並無異議,但有意見質疑申報計劃的形式不能達致上述目標。與此同時,公署留意到,本港借鑑經驗的歐盟資料保障制度正經歷改革,改革建議包括摒棄要求資料使用者申報的安排,取而代之,是著重收集和使用個人資料須具問責性和透明度的改良制度。建議亦包括強制規定 (一) 公營機構 及 (二) 私營機構凡於任何連續12個月內處理超過五千名人士的個人資料,均須設立資料保障主任的職位。
25. 基於未能取得上述四個界別普遍支持推行計劃,以及歐盟在這方面的發展未有定案,公署計劃暫緩推行,直至歐盟改革完成為止,以便從中汲取經驗。
26. 蔣任宏表示:「該四個界別的在保障個人資料私隱方面,面對的公眾期望越來越高,公署過去一年不遺餘力推動該四個業界的私隱保障策略,由「符規」轉為「問責」。 具體來說,我鼓勵機構重視私隱和個人資料的保障,視之為企業管治的一環,推行整體而全面的私隱管理系統,確保訂立穩妥的私隱政策和程序,並在機構中貫徹執行。機構積極推行私隱管理系統的好處,最起碼是展示機構有能力遵從條例的規定。如果執行得宜,系統有助機構與市民或客戶﹑員工﹑股東及規管者建立互信的關係,最終達致的目標與「資料使用者申報計劃」一致。我已取得這些界別的支持,公署下月將發出《私隱管理系統最佳行事方式》為機構提供指引。」
規管個人資料的跨境轉移
27. 私隱條例第33 條對轉移個人資料至香港以外地區的安排具非常嚴謹和全面的規管。該條文明確禁止持有資料的資料使用者把個人資料轉移至香港以外的地區,除非符合指定的條件,例如:
(1) 該地區是在專員制訂的「白名單」內,即這些地區實施的有關個人資料保障的法律,與本港私隱條例大體上相似,或其目的與私隱條例的目的相同[第33(2)(a)條];及
(2) 資料使用者已採取所有合理的預防措施及已作出所有應作出的努力,以確保資料轉移該地區後被處理的方式不違反私隱條例規定[第33(2)(f)條]。
28. 但是,私隱條例自1995 年實施以來,第33條遲遲未生效,而政府當局亦未有訂立落實該條文的時間表。換言之,現時香港有關個人資料由香港轉移海外的保護相當薄弱,有欠全面。
29. 蔣任宏指出:「私隱條例於九十年代制定,時至今天,全球數據流動的模式已大大不同。科技進步,加上機構的業務模式和行事方式演變,個人資料的轉移已變成個人資料的數據流。數據跨境﹑連綿不絕和大規模地流動。機構,包括中小企機構追求提升效率,為用戶提供便捷和引進新產品,這些發展對全球的數據流動有一定影響。有些機構透過雲端運算技術把數據分散存放在不同的司法管轄區,有些機構則把處理資料的工序外判至世界各地的承辦商。在人力資源﹑金融財務﹑電子商易﹑公共安全和醫療研究方面的頻繁電子數據流動,是當今全球經濟不可分割的部分。
30. 世界各地都紛紛採取機制,加強保障跨境數據流動方面的個人資料私隱。舉例說,新加坡的《個人資料保護法案》第26(1) 條將於今年七月生效,訂明機構不得把個人資料轉移至新加坡以外的國家或地區,除非符合條文列明的規定,確保被轉移的個人資料在外地受到的保障不下於法案的保障。
31. 在這樣的形勢下,政府是時候正視私隱條例第33條相關的議題,確保香港維持國際金融中心和數據樞杻的地位。
32. 為此,公署在2013年對香港以外50 個司法管轄區的個人資料保障法例進行研究,結果擬備了一份『白名單』,臚列出正實施大體上近似本港私隱條例或達致相同目的之法律的地方。研究報告和『白名單』已交給政府考慮。」
公眾教育及推廣
33. 公署一直致力推廣和公眾教育的工作,以提升市民及機構對私隱和個人資料保障的意識和認識。公署在2013年共舉辦了279次講座、研討會和培訓班(2012年有238次),參與人士為20,898人(2012年為16,321 人)。這些公眾教育及培訓活動包括免費的條例簡介講座、介紹如何明智使用通訊科技的免費資訊科技講座,以及為資料保障人員舉辦的專業研習班;內容方面,年內亦加插了介紹修訂條例的直銷規管新條文。
34. 在公眾宣傳教育活動方面,2013年的主題包括網上私隱保障及明智使用智能電話。公署藉著「保障私隱學生大使計劃」(有4,800名中學生人參與,較2012年增加142%)和大學私隱保障活動(接觸33,299名大學生和教職員,較前一年的參與人數增加11倍),加強年青人的教育工作。
35. 公署夥拍多個商會、政府部門和專業團體合力推廣和提供培訓。公署亦採取多個渠道向公眾傳達教育訊息,包括舉辦巡迴展覽,透過大眾傳媒推廣,開設了Youtube 視頻和facebook專頁,推出「青少年專題網站」和「網上私隱要自保專題網站」。公署網站主頁年內經過革新,每月平均有75,912次瀏覽(2012年為45,192人次)。
2014年的策略性工作重點
36. 公署將加強執法和公眾教育工作,雙管齊下,以應付私隱和個人資料保障方面的嚴峻挑戰。2014年的工作重點如下:
(1) 正視隨著智能電話應用程式的普及而出現的私隱問題;
(2) 倡議機構把私隱和個人資料保障納入為企業管治責任,並在機構引入整全的私隱管理系統 ;
(3) 協助政府檢討有關個人資料跨境流動的規管事宜。
完