新聞稿

去年接獲機構外洩個人資料事故的通報上升近兩成

公署將致力協助企業做好私隱管理工作　準備面對境外新規例所帶來的挑戰

（2018年 2月 14日）　香港個人資料私隱專員（「私隱專員」）黃繼兒今日在立法會政制事務委員會發表的2017年工作報告指出，企業和機構外洩個人資料事故的通報上升近兩成。未來公署將會投放更多資源，與各持份者攜手合作，協助企業（特別是中小微企業）加強保障個人資料私隱意識，藉以培育「尊重」個人資料私隱的企業文化。
 
2.         近期因網絡保安事故而引致客戶資料外洩時有發生，而公署去年接獲的機構外洩個人資料事故的通報數目上升近兩成。私隱專員黃繼兒對此趨勢表示關注：「不論是公私營機構，作為資料使用者，須採取所有合理地切實可行的保安措施，保障其持有的個人資料的安全。近年不少機構在發現資料外洩事故後，都自願依從公署的建議盡早作出通報以妥善處理有關事故，實乃良好行事方式，令本人感到欣慰。未來公署會著重協助企業加強資料保安和處理方面的工作，亦會與業界商會、專業團體等持份者攜手加強推廣和教育工作，協助企業（特別是中小微企業）加強保障個人資料私隱意識，藉以培育「尊重」個人資料私隱的企業文化。公署並會鼓勵各行各業構建適合自己的『私隱管理系統』，把個人資料私隱保障納入機構管治責任的一環。」
 
3.         私隱專員表示：「公署不斷透過推廣和教育工作，並透過公署的網站和舉辦不同類型的活動，加強大眾對個人資料私隱保障的意識。公署亦緊貼公眾關注的個人資料私隱事件，適時發出新聞稿及迅速作出回應，除令公眾能夠及早了解有關議題外，企業和機構亦能有所警惕，做好保障個人資料的工作。」
 
4.         黃繼兒表示香港擁有無可取代的資訊自由流通優勢，並擁有完善的資料保障法例和框架，有條件成為一國兩制下的「一帶一路」數據中心，並協助推動大灣區發展，促進資料傳輸和儲存，成為連繫及匯聚香港、內地和全球各地的環球數據樞紐。另一方面，踏入「數據就是金錢」的時代，數據的來源之一，就是我們在互聯網上留下的數碼腳印。黃繼兒指出，大數據時代超強的資料收集能力增加了隱私侵犯的可能性，個人資料的數據收集方式多樣化，但我們又不能完全掌握數據會如何被使用，這將會令公署在保障個人資料的工作變得非常有挑戰性。公署會積極協助本地資料使用者了解及遵從海外的資料保障法規，尤其是歐盟於今年5月實施的《通用數據保障條例》，並小心考慮是否有需要建立可與國際資料保障標準接軌的法律框架及機制，而無損經濟及科技發展。
 
公署的2017年工作報告總結重點如下：
 
回應查詢
 
5.         公署在2017年接獲的查詢個案為15,594宗，較2016年的16,180宗下跌3.6%。查詢性質方面，30%是關於收集／使用個人資料（例如身份證號碼或副本）；11%是關於僱傭相關的個人資料處理；7%是關於個人資料用於直接促銷 （「直銷」）活動。
 
6.         與使用互聯網有關的查詢由2016年的885宗增長至2017年的1,057宗，上升19%，主要涉及網絡起底、流動應用程式及網絡欺凌。
 
處理投訴
 
7.         公署在2017年接獲的投訴個案為3,501宗，其中有1,968 宗是關於選舉事務處遺失載有選委及選民個人資料的手提電腦（「選舉事務處事件」）。撇除選舉事務處事件的投訴個案後，公署在2017接獲的投訴個案為1,533宗，較2016年的1,838宗下跌17%。
 
8.         該1,533宗投訴個案中：

• 有64%投訴私營機構（987宗），20%投訴公營機構或政府部門（297宗），其餘16%（249宗）則投訴個別人士；
• 被投訴的私營機構中，最多是與金融及財務行業（210宗）有關，其次是物業管理（ 122宗）及電訊業（79宗）；
• 就投訴性質方面，41%個案是關於未經資料當事人同意而使用其個人資料（632宗）；34%是關於收集個人資料的目的和手法（519宗）；14%關於資料保安（207宗）；查閱／改正個人資料的投訴佔8%（122宗）。

選舉活動
 
9.         公署在2017年共接獲 1,974宗與選舉相關的投訴，當中1,968 宗是關於選舉事務處事件。其餘六宗則投訴候選人、行業團體和政府部門，投訴性質與個人資料的收集、使用和保安有關。
 
10.       鑑於與競選活動有關的投訴有所增加及立法會補選在即，公署於2017年 12月出版《給候選人、政府部門、民意調查組織及公眾人士的選舉活動指引》，協助對候選人及其所屬政治團體、負責籌劃選舉活動的政府部門和民意調查組織在進行選舉活動時遵守《個人資料（私隱）條例》（《私隱條例》）規定，並向市民提供保障個人資料的建議。指引涵蓋選舉活動的不同階段，以過往的投訴個案深入淺出地說明《私隱條例》的規定。
 
使用資訊及通訊科技
 
11.       公署在2017年接獲 237宗與使用通訊科技有關的投訴個案，較2016年的 229宗增加了3%。較常見的投訴事項（一宗投訴個案可能涉及多於一個議題）是關於使用流動應用程式及社交網站（171宗）、在互聯網披露或洩漏個人資料（65宗）及網絡欺凌（50宗）。

 
12.       公署去年刊發《通過電子裝置進行實體追蹤及監察》資料單張及圖鑑，當中除闡述通過電子裝置作追蹤及監察所潛在的個人資料私隱風險外，亦就相關項目所進行的私隱影響評估的最佳行事方式，與及各裝置製造商在保障個人資料的可行措施作出建議；另製作《明智使用物聯網》圖鑑，提供六個使用物聯網的實用小貼士。公署亦修訂了《網絡欺凌你要知！》單張，當中透過不同的例子，提醒公眾網絡欺凌牽涉的私隱及法律問題。
 
使用閉路電視
 
13.       公署在2017年接獲197宗有關閉路電視的投訴，其中113宗與投訴香港教育大學閉路電視片段截圖外洩事件（「教大事件」）有關。撇除與教大事件相關的投訴個案後，公署在2017接獲的投訴個案為84宗（2016年則有82宗）。
 
14.       年內公署修訂《閉路電視監察及使用航拍機指引》，並特意製作閉路電視監察及使用航拍機圖鑑，從個人資料私隱保障的角度就如何使用閉路電視提供建議。
 
直銷
 
15.       公署在2017年接獲 186宗有關直銷的投訴，較2016年的 393宗（當中88宗源自同一投訴人）下跌 53%。投訴主要是關乎資料使用者在未取得資料當事人同意的情況下使用其個人資料作直銷，或資料使用者未有依從資料當事人提出的拒收直銷訊息要求。
 
16.       自《2012年個人資料（私隱）（修訂）條例》中加強規管直接促銷的條文於2013年4月1日實施至2017年12月31日期間，經公署轉介予警方進行刑事調查而最終被定罪的個案共十宗。2017年共有三宗定罪個案：

2017年1月	一間銀行沒有依從客戶的拒收直銷訊息要求，繼續使用其個人資料作直接促銷	被判罰款一萬元
2017年11月	一名任職理財服務公司的理財顧問在使用他人的個人資料作直接促銷前，未有採取指明行動通知該人及取得其同意，以及在首次使用他人的個人資料作直接促銷時，未有告知該人他有權要求被告在不向其收費的情況下，停止使用他的個人資料	兩項控罪各被判罰一萬元，共罰款兩萬元
2017年12月	一間健身公司沒有依從一名資料當事人的拒收直銷訊息要求，而繼續使用其個人資料作直接促銷	被判罰款七千元

 
 
 
 
 
 
 
 
 
 
 
17.       此外，公署於去年7月就商務及經濟發展局所發表的「加強監管人對人促銷電話的諮詢」文件提交建議書。
 
資料外洩事故的通報、循規審查及循規調查

18.       公署在2017年接獲106次機構外洩個人資料事故的通報，較2016年的89次上升19%；受影響人數由2016年的104,000人大幅上升至2017年的387萬人，數字大幅上升是由於選舉事務處事件影響378萬人。撇除選舉事務處事件後，受影響人數則下降至86,000人，較2016年下跌17%。這些外洩事故涉及遺失文件或便攜式裝置、經傳真、電郵或郵遞意外披露個人資料、黑客入侵、系統設定有誤等。
 
19.       公署於2017年內進行了253次循規審查（2016年為259次）以及一次循規調查（2016年為四次）。
 
視察
 
20.       公署在2017年12月發表了對一間地產代理公司的個人資料系統的視察^[1]報告，並參照一套全面的私隱管理系統的要求，在報告內提出多項建議及良好行事方式供業界參考。
 
執法行動及檢控
 
21.       公署在2017年內向資料使用者發出26次警告和三項執行通知（2016年分別發出 36次警告和六項執行通知）。
 
22.       同年，公署轉介 19宗違反《私隱條例》規定的個案予警方作刑事調查及檢控（2016年則有 112宗，當中88宗源自同一投訴人）。這些個案中，大多數（18宗）涉及使用個人資料作直銷。
 
23.       2017年的檢控個案，共有四宗（2016年五宗），該些個案是公署在2015至2016年間轉介給警方調查的。上述四宗檢控個案的被告全部被定罪，當中一宗涉及一名公司董事沒有依從私隱專員發出的傳票，另外三宗關於使用個人資料作直銷。
 
法律協助計劃
 
24.       根據公署的法律協助計劃，公署可向因資料使用者違反《私隱條例》規定而蒙受損害，並有意提起法律程序以尋求補償的個人，提供協助。2017年，公署共完成處理16宗申請。在這16宗申請中，兩宗經審核後獲接納，六宗經審核後不被接納，四宗的申請人撤回申請及四宗仍在處理中。
 
行政上訴委員會案件
 
25.       公署於年內接獲共25宗上訴個案，當中18宗是上訴私隱專員不作正式調查或終止調查的決定，一宗是不接納相關個案為《私隱條例》第37條下的「投訴」的決定，四宗是上訴私隱專員在作出調查後不送達執行通知的決定，餘下的兩宗是上訴在作出調查後發出執行通知的決定。
 
26.       在2017年共有22宗上訴個案完結，當中12宗遭上訴委員會駁回，九宗由上訴人撤回，而一宗則部分上訴得直。被行政上訴委員會駁回或由上訴人撤回的案件佔整體完結個案超過95% 。
 
國際及內地聯繫
 
27.       公署去年利用其在亞洲的卓越地位，參與不同的地區性及國際性論壇，分享其資料保障的經驗和見解，並聽取他人的意見。例如，公署是「國際資料保障及私隱專員研討會」、「全球私隱執法機關網絡」及「亞太區私隱機構」的行政委員。公署亦是亞太區私隱機構科技工作小組的召集人。公署在2017年亦參與內地及海外多個會議，與工作夥伴分享經驗及建立連繫。
 
傳媒
 
28.       年內公署共發布了30篇新聞稿，回覆了217個傳媒查詢，接受了54次傳媒訪問。在較受傳媒關注的議題中，有四成五（45.6%）是關於個人資料外洩或受黑客入侵的事件，另有一成（10.6%）則與閉路電視／航拍機相關，而涉及流動應用程式和直銷亦有近一成（8.7%）。
 
推廣及公眾教育
 
29.       公署在2017年舉辦了314次專業研習班、講座、研討會及持份者會議，參加者來自超過430間機構，人數達25,038人，總訓練時數為51,050小時。其中公署應邀舉辦的機構內部講座數目更達106場，總訓練時數超過16,740小時，為近五年最多。此外，私隱專員亦應邀出席135場演講、研討會、講座及持份者會議，分享如何在資料保障與資訊自由流通之間求取平衡，總訓練時數達25,482小時。公署亦出版及修訂了13份刊物，包括指引、資料單張、圖鑑及年報，協助不同機構及行業了解及遵從《私隱條例》的規定，並採納良好的行事方式，以及為市民提供保障私隱的實用提示。
 
30.       在2017年，公署舉辦了17個一般的推廣及教育活動，以配合個人（包括學生和長者）及機構的不同需要，參加人數為258,147人。向青少年推廣保障私隱一直是公署的重點工作之一，去年參加公署「保障私隱學生大使計劃」的學校夥伴數目達132間，參與人數達25,925人，兩者均創歷年新高。年內公署亦與多家服務長者的非政府機構合作舉辦共16場講座，協助長者認識潛在的資料私隱風險，並分享日常生活中保障個人資料的錦囊，參加長者人數為1,120人。商界方面，公署一直優化網站內容，協助提升中小企及各行業的私隱意識。2017年參加行業保障私隱活動人數為2,657人，總訓練時數達6,382小時，與2015年相若。
 
31.       為提醒市民在使用資訊及通訊科技時保護私隱的重要性，公署在2017年第一季推出「網上私隱有法保」全新教育動畫短片系列，包括電視宣傳短片及一系列有關保護日常生活中個人資料私隱權利的動畫短片，題目為「精明使用流動應用程式」、「管理網上帳戶及密碼」、「網絡攝錄機」及「社交網絡的私隱設定」。
 
32.       年內公署繼續加強及完善其主網站 PCPD.org.hk、以及兩個專題網站（「網上私隱要自保」和「兒童私隱」）的資訊，使之成為公署與公眾溝通的重要途徑。
 
2017年主要事件
 
選舉事務處事件：
 
33.       私隱專員就選舉事務處事件展開調查。調查顯示處方在檢視及審批使用載有選民的非公開並屬敏感的個人資料的查詢系統一事上只顧依從過往做法，而所採取的保安措施與資料的敏感程度和資料洩漏可能引致的損害，亦平衡失據，因而違反保障資料第4(1)原則。私隱專員於2017年6月12日發表調查報告和向處方送達執行通知；處方已按時遵從執行通知。
 
教大事件：
 
34.       私隱專員就教大事件完成循規審查，審查資料顯示，教大沒有採取所有合理地切實可行保安措施保障兩名在民主牆張貼字句人士的個人資料，違反了保障資料第4原則的規定。私隱專員已要求教大採取適當的補救措施，以防止類似資料外洩事件再發生。
 
舉辦第39屆「國際資料保障及私隱專員研討會」：
 
35.       公署於2017年9月25至29日舉辦第39屆「國際資料保障及私隱專員研討會」。是次主題為「連繫西方與東方；保障、尊重資料私隱」，超過750名來自本港及六十多個國家或地區的資料保障機構的代表、政府及商業領袖、資訊科技專業人士，以及學者和私隱倡議人士，就新興的資料保障議題進行深入討論，並交換創新策略和想法以應對未來的挑戰。總訓練／宣傳／教育時數超過10,000小時。
 
36.       為期五天的研討會包括只限認可會員和觀察員出席的14場閉門會議，及歡迎任何資料保障界人士參與的15場公開會議。30多個保障私隱業界的公司及機構亦舉辦了25場周邊會議，讓參加者了解各項資料保障議題的最新發展、交換意見、分享經驗，及討論未來策略。
 
歐盟《通用數據保護條例》與《私隱條例》的比較研究：
 
37.       2016年5月，歐盟訂立了新的資料保障法律—《通用數據保障條例》，該條例將於2018年5月25日生效。就此，公署正進行一項歐盟《通用數據保障條例》與《私隱條例》的比較研究，以找出分別及評估《私隱條例》所提供的保障是否足夠。鑑於《通用數據保障條例》擁有域外效力，公署計劃於2018年首季發出資料單張，協助機構了解兩條法例的主要分別。自2017年11月起，公署已舉辦教育活動提高公眾對《通用數據保障條例》的認識，並將於2018年首季發出資料單張協助本地企業了解歐盟新條例對營商環境可能帶來的影響。
 
出版中文書《注意！這是我的個人資料私隱》：
 
38.       繼2016年出版英語書籍 “Personal Data (Privacy) Law in Hong Kong – A Practical Guide on Compliance”後，公署於2017年與城巿大學出版社合作，出版中文書籍 《注意！這是我的個人資料私隱》，透過淺白的語言及具啟發性的個案，闡述《私隱條例》的主要規定，以提高保障、尊重個人資料私隱的意識。公署於書展期間舉行新書推介會，由私隱專員擔任主講嘉賓，向與會者介紹新書內容及保障私隱知識。
 
參與有關「用戶對其個人資料的掌控程度」的抽查行動：
 
39.       公署連續第五年響應「全球私隱執法機關網絡」（Global Privacy Enforcement Network）的聯合抽查行動，於2017年5月檢視了不同行業（例如零售、飲食、酒店及航空）的30個「顧客獎賞計劃」，探討消費者對其個人資料的可控程度。公署藉此抽查行動鼓勵計劃營運商坦誠向顧客說明其私隱政策及實務、尊重顧客的個人資料私隱權利，並讓顧客可以掌控其個人資料（例如要求刪除資料）。公署亦借機教育消費者在參加「顧客獎賞計劃」前要考慮私隱風險。
 
奬項與嘉許
 
40.       公署的網站繼2016年獲得無障礙網頁嘉許計劃的獎項後，其「網上私隱要自保」專題網站改進項目於2017年在「國際資料保障及私隱專員研討會」所主辦的「私隱和資料保障國際奬項」之「使用網上工具」組別中獲得冠軍。
 
41.       另外，公署出版的中文書籍 《注意！這是我的個人資料私隱》亦榮獲第二十九屆香港印製大獎「書刊印刷」組別中「單色及雙色調書刊」項目的優異奬。
 
42.       公署關懷員工，藉以建立高質素的團隊。其中公署在香港母乳育嬰協會主辦的「2017 我最喜愛的集乳室選舉」中獲選為其中一家「最關懷媽媽企業」。
 
43.       兩名公署員工獲頒「2017年申訴專員嘉許奬」公職人員奬，以表揚他們在處理查詢和投訴的卓越表現。
 
2018年的重點工作
 
44.       在2018年，公署會採取積極步驟，在私隱保障與資訊自由流通之間取得平衡，並密切研究以道德框架作為創新解決方案，規管這些巔覆性的新科技。公署會特別聚焦於：
 

• 推動商界（特別是中小微企）參與推廣保障及尊重個人資料私隱，以提升業界尊重個人資料私隱的文化；
• 與內地及海外的保障私隱機構加強工作關係，並向本地持份者講解其他司法管轄區新近實施的保障資料規則和規例，以協助持份者依從相關要求；以及
• 為政府各項涉及個人資料私隱的建議措施提供意見。