Skip to content

新聞稿

新聞稿

日期: 2019年1月31日

資料外洩事故通報、資訊及通訊科技應用相關投訴 去年皆創新高 
數據保安成關注重點
除依法保障外 私隱專員提倡數據倫理道德價值及私隱管理問責 建立互信和尊重


總結2018年,香港個人資料私隱專員公署(公署)接獲機構外洩個人資料事故的通報數目創新高,多宗大規模的資料外洩事故更備受廣泛關注;而與資訊及通訊科技應用相關的投訴個案亦上升超過一倍,其中涉及在互聯網披露或洩漏個人資料的投訴大增,同創近年新高。面對近年資訊科技的急速發展以及環球數據私隱領域的轉變,公署正檢視《個人資料(私隱)條例》(《私隱條例》),同時積極提倡私隱管理問責制和數據倫理道德,與持份者建立信任,共創雙赢。

2.         香港個人資料私隱專員(私隱專員)黃繼兒今日與傳媒聚會,於總結公署在2018年的工作時表示:「對全球及本地的私隱執法機關而言,2018年是數據私隱保障重要的一年。年內歐盟的《通用數據保障條例》生效,為環球私隱法律框架及形勢帶來重大轉變;加上發生多宗大規模的資料外洩事故,顯示機構加強數據保安的工作實在刻不容緩,亦令大眾對個人資料私隱的關注大為提高。」

3.         「機構須緊記:個人資料是屬於個人本身的,有足夠的法律和倫理基礎去控制個人資料的整個生命周期。機構有法定和道德責任,合理保障收集所得的個人資料的安全及處理恰當。既然機構能從個人資料中獲取利益,在營運上便不應抱有只依從最低監管要求的想法,而應恪守更高的數據倫理道德標準,在現今數據主導的經濟下與持份者建立信任的基礎。」
 
4.         「來年公署將會繼續公正執法和加強教育宣傳工作,並推動機構引入私隱管理問責和數據倫理道德規範,再配以法律框架,培育保障、尊重私隱和個人資料掌控的文化。公署除擔當執法者和教育工作者的角色外,我們會根據法例協助機構(包括政府)推展各項涉及個人資料私隱的措施,包括就檢討《私隱條例》提出建議。」
 
公署的2018年工作報告總結重點如下:
 
資料外洩事故的通報、循規審查及循規調查

5.         公署在2018年接獲129次機構外洩個人資料事故的通報,較2017年的106次上升22%。這些外洩事故涉及黑客入侵、系統設定有誤、遺失文件或便攜式裝置、經傳真、電郵或郵遞意外披露個人資料等。
 
6.         公署於2018年內主動進行了289次循規審查,較2017年的253次上升14%。年內亦主動進行四次深入的循規調查,較2017年的一次上升三倍。
 
視察
 
7.         公署在2018年12月發表了對香港私營補習服務行業的個人資料系統的視察[1]報告,提出多項建議供業界參考。
 
回應查詢
 
8.         公署在2018年接獲的查詢個案為16,875宗,較2017年的15,594宗上升8%。查詢性質方面,32%是關於收集/使用個人資料(例如身份證號碼或副本);10%是與僱傭相關的個人資料處理;6%是關於個人資料用於直接促銷 (直銷)活動。
 
9.         與使用互聯網有關的查詢由2017年的1,057宗下跌至2018年的923宗,跌幅為13%,主要涉及網絡起底、流動應用程式及網絡欺凌。
 
處理投訴
 
10.       公署在2018年接獲的投訴個案為1,890宗[2],較2017年的1,533宗[3]上升23%。
 
11.       在該1,890宗投訴個案中:
  • 有71%投訴私營機構(1,334宗),12%投訴公營機構或政府部門(220宗),其餘17%(327宗)則投訴個別人士;
  • 就投訴性質方面,27%的個案是關於未經資料當事人同意而使用其個人資料(816宗);24%是關於收集個人資料的目的和手法(735宗);16%關於資料保安(482宗);查閱/改正個人資料的投訴佔5%(157宗)。
 
12.       公署在2018年完成處理1,751宗投訴個案,就92宗投訴個案作出調查。在這些已完結的投訴個案中,844宗獲公署接納作更深入處理,公署先以調停這種有效的解決爭議方式,嘗試排解資料當事人與被投訴者之間的糾紛。當中涉及違反《私隱條例》的被投訴者,公署致力提示及勸告他們採取糾正措施,避免重蹈覆轍。由於被投訴者在聽從公署的建議後,均從善如流採取相應措施糾正違例事項,故公署毋須向被投訴者發出執行通知。公署在其中686宗個案向被投訴者作出建議,提醒被投訴者採取糾正措施,或鼓勵他們建立保障個人資料的良好行事方式。
   
13.       被投訴的私營機構中,涉及金融及財務行業最多(共241宗;投訴主要關於收集個人資料,例如財務公司以不公平方式收集個人資料),其次是物業管理(共166宗;投訴主要關於個人資料的使用(包括披露及轉移),例如法團張貼載有居民個人資料的通告);以及交通運輸業(共166宗;投訴主要關於個人資料的保安,例如涉及國泰航空外洩個人資料的個案達139宗)。

使用資訊及通訊科技
 
14.       公署在2018年接獲501宗與使用通訊科技有關的投訴個案,較2017年的 237宗上升超過一倍(增加111%)。較常見的投訴事項(一宗投訴個案可能涉及多於一個投訴事項)是關於在互聯網披露或洩漏個人資料(270宗)、社交網站(156宗)、使用流動應用程式(96宗)及網絡欺凌(59宗)。
 
15.       值得注意的是,在2018年接獲關於在互聯網披露或洩漏個人資料的投訴宗數(270宗),較2017年的65宗大幅上升超過三倍(增加315%),相信年內發生多宗與大型資訊科技系統外洩個人資料有關的事件,引起公眾對保障網上個人資料私隱的關注。
 
使用閉路電視及航拍機
 
16.       公署在2018年接獲101宗有關閉路電視的投訴(2017年則有197宗);而關於航拍機的則有三宗(2017年則未有相關投訴)。
 
17.       公署年內就無人駕駛飛機系統規管公眾諮詢與政府有關部門討論及提出保障私隱相關建議。
 

 
18.       公署在2018年接獲 181宗有關直銷的投訴,與 2017年的 186宗數字相若。投訴主要是關於資料使用者在未取得資料當事人同意的情況下使用其個人資料作直銷,或資料使用者未有依從資料當事人提出的拒收直銷訊息要求。
 
19.       2018年共有兩宗經公署轉介予警方進行刑事調查而最終被定罪的個案:
 
2018年1月 一間超級巿場在未獲資料當事人同意下,將該名資料當事人的個人資料使用於直接促銷(首宗因違反第35E(1)條而被定罪的個案) 被判罰款3,000元
2018年8月 一間電訊公司沒有依從資料當事人的拒收直銷訊息要求,而繼續使用其個人資料作直接促銷 兩項控罪各被判罰10,000元,共罰款20,000元
 







20.       公署年內對政府建議設立法定拒收訊息登記冊加強規管人對人促銷電話與政府有關部門討論及作出保障私隱相關建議。
 
執法行動及檢控
               
21.       公署在2018年內向資料使用者發出16次警告;而如前所述,由於被投訴的資料使用者在聽從公署的建議後,均從善如流採取相應措施糾正違例事項,故公署年內毋須發出執行通知。
 
22.       同年,公署轉介六宗違反《私隱條例》規定的個案予警方作刑事調查及檢控,全部均涉及使用個人資料作直銷。2018年的檢控個案共有兩宗,同樣皆關於使用個人資料作直銷。
 
法律協助計劃
 
23.       對於因資料使用者違反《私隱條例》規定而蒙受損害,並有意提起法律程序以尋求補償的個人,公署的法律協助計劃可提供協助。2018年,公署處理了九宗申請,當中有三宗經審核後獲接納,三宗經審核後不被接納,其餘三宗仍在處理中。
 
行政上訴委員會案件
 
24.       公署於年內接獲共12宗上訴個案,當中11 宗是上訴私隱專員不作正式調查或終止調查的決定,餘下的一宗則是上訴私隱專員在作出調查後不送達執行通知的決定。
 
25.       在2018年共有21宗上訴個案完結,當中18宗遭上訴委員會駁回,一宗由上訴人撤回,一宗上訴得直,而餘下的一宗則部分上訴得直。被行政上訴委員會駁回或由上訴人撤回的案件佔整體完結個案超過九成 。
 
國際及內地聯繫
 
26.       公署憑藉其在亞洲的卓越地位,去年參與不同的地區性及國際性論壇,分享其資料保障的經驗和交流見解。例如,公署是「國際資料保障及私隱專員會議」、「全球私隱執法機關網絡」及「亞太區私隱機構」的行政委員。公署亦是亞太區私隱機構科技工作小組的召集人。公署在2018年亦參與內地及海外多個會議,與工作夥伴分享經驗及建立連繫,例如:
 
  • 亞太經合組織電子商貿督導小組資料私隱分組會議
  • 國際資料保障及私隱專員會議
  • 亞太區私隱組織論壇
  • 內地與港澳法律研討會:「一帶一路」與大灣區建設法律問題探討
  • 兩岸四地青年律師論壇
 
27.       公署深信,香港的資訊自由流通和個人資料的有效保障,是香港的「獨特和不可替代」的優勢。
 
傳媒
 
28.       年內公署共發布了39篇新聞稿,回覆了184個傳媒查詢,接受了92次傳媒訪問。在傳媒關注的議題中,有四成四(44.2%)是關於個人資料外洩或受黑客入侵的事件,另近一成五(14.7%)則與立法會綜合大樓內監察及記錄個別議員的行蹤以及政府人員手提電話被取事件相關,而涉及閉路電視/航拍機和直銷/人對人促銷則有近一成(9.8%)。
 
推廣及公眾教育
 
29.       在違規事故發生之前,公署積極聯繫各行業代表和個別機構,務求增強對合規和問責的理解。公署在2018年舉辦了421次專業研習班、講座、研討會及持份者會議,參加者來自超過570間機構,人數達33,543人,總訓練人次時數為68,402小時。其中公署應邀舉辦的機構內部講座數目更達123場,總訓練人次時數超過18,672小時,為歷年最多。此外,私隱專員亦應邀出席228場演講、研討會、講座及持份者會議,分享資料私隱保障的最新發展、數據道德管理價值和模式、建立私隱管理系統的重要等,總訓練人次時數達37,512小時。年內公署出版及修訂了五份刊物,包括指引、小冊子及年報,協助機構了解如何遵守資料保障法規,並採納良好的私隱管理行事方式,以及為兒童提供保私隱小貼士等。
 
30.       在2018年,公署舉辦了18個推廣及教育活動項目,以配合個人(包括學生和長者)及機構的不同需要,參加人數達262,145人,為歷年最多。向兒童及青少年推廣保障個人資料私隱一直是公署的重點工作之一,其中去年參加公署「保障私隱學生大使計劃」的中學學校夥伴數目達106間,參與人數超過六萬人,創歷年新高;另舉辦小學生保障私隱活動,包括講座及親子填色及漫畫創作比賽,參與人數亦超過94,000人。公署亦與多家服務長者的非政府機構合作舉辦共16場講座,協助長者認識潛在的資料私隱風險,參加長者人數為1,225人。商界方面,公署一直優化網站內容,協助提升各行業及中小企的私隱意識。除此之外,公署在2018年舉行了「中小企保障私隱運動」,全方位協助中小企保障客戶及員工個人資料。公署為中小企設立了專用的諮詢熱線和電郵、舉辦了多場與保障個人資料有關的講座,並推出《中小企保障個人資料你要知》廣播劇。
 
31.       年內公署繼續加強及完善其網站PCPD.org.hk、以及兩個專題網站(「網上私隱要自保」和「兒童私隱」)的資訊;期間新增了「歐盟《通用數據保障條例》」專頁及「老友記天地」小型網站。
 
奬項與嘉許
 
32.       兩名公署員工獲頒「2018年申訴專員嘉許奬」公職人員奬,以表揚他們在處理查詢和投訴的卓越表現。
 
33.       公署另獲僱員再培訓局嘉許為「政府部門、公共機構及非政府組織」類別的「人才企業 (2018-20)」,表揚公署在人才培訓及發展工作方面的卓越表現。
 
34.       公署網站PCPD.org.hk以及四個專題網站或小型網站(「網上私隱要自保」、「兒童私隱」「網上私隱有法保」和「老友記天地」)均榮獲《無障礙網頁嘉許計劃18/19》網站組別金奬。
 
2018與個人資料私隱相關的重要事件及公署重點工作
 
35.       「處理數據的正當性」研究 
公署於2018年初委託顧問公司進行「處理數據的正當性」研究項目(Legitimacy of Data Processing Project),旨為探討機構如何在進行高階數據處理活動(如人工智能和機器學習等)時,能達至有道德及公平地處理個人資料,平衡所有持份者的利益。超過20間香港機構參與是次研究項目並提出意見和建議,當中涵蓋銀行、保險、電訊、健康服務和交通運輸等行業。有關顧問研究報告(題為「Ethical Accountability Framework for Hong Kong, China」)在2018年10月發表,建議機構推行符合倫理道德的數據管治制度,及秉持三大數據管治價值,即尊重(respectful)、互惠(beneficial)和公平(fair),使高階數據處理活動能惠及所有持份者。
 
36.       《歐洲聯盟〈通用數據保障條例〉2016》
 
因應歐盟《通用數據保障條例》於2018年5月25日實施,公署於2018年4月發出《歐洲聯盟〈通用數據保障條例〉2016》小冊子,以提高香港機構/企業對歐盟新制定的資料保障監管框架的認識並了解它可能帶來的影響,及就當中部分主要的規定與《私隱條例》作出比較。
 
公署在年內收到三宗指稱涉及《通用數據保障條例》的投訴。[4]

37.       立法會綜合大樓內監察及記錄個別議員的行蹤以及政府人員手提電話被取事件
 
年內有議員質疑立法會綜合大樓內有人監察及記錄議員行蹤的行為是否違反《私隱條例》,以及有政府人員的手提電話被取事件。公署迅速就有關事件作出回應,把握社會當下對事件的關注,令社會各界對《私隱條例》的規定有更深入的了解。

39.       參與GPEN年度抽查行動
 
公署連續第六年參與「全球私隱執法機關網絡」的抽查行動。本年抽查行動的主題是「私隱問責制的實施」。包括公署在內的18個世界各地的私隱執法機關參與了抽查行動。公署邀請了多間不同行業的機構參加抽查行動,了解它們有關私隱問責制的實行,以評估不同行業在實施私隱管理系統的情況。「全球私隱執法機關網絡」現正整合參與的私隱執法機關提交的結果,預計於2019年首季發表抽查報告。

39.       推廣私隱管理系統
 
公署於2018年發出修訂的《私隱管理系統 — 最佳行事方式指引》,協助機構建立全面私隱管理系統。修訂版指引是2014年版本的「加強版」,向機構提供實務建議,並輔以具體例子、簡潔圖表及相關問卷/清單範本等供參考。
 
自2014年開始推展私隱管理系統後,香港特別行政區政府與超過30家來自保險、電訊及其他行業的機構,承諾推行以問責為本的私隱管理系統。政府及公署其後委託顧問公司,協助其中三個政府政策局及部門(政制及內地事務局、香港郵政及環境保護署)推行私隱管理系統,並為他們擬備私隱管理系統操作手冊。該三份私隱管理系統操作手冊已於2018年完成。公署亦聯同顧問公司舉行工作坊,以協助政府各政策局及部門根據其運作建立其私隱管理系統。
 
公署將繼續推出有關私隱管理系統的講座及專業研習班,協助機構擬備私隱管理系統操作手冊,建立全面的私隱管理系統。
 
2019年的重點工作

40.       在2019年,公署將會 :
  • 繼續公正執法,向各持份者推廣和教育有關個人資料的保障;
  • 繼續推動機構(特別是中小微企)推廣合規保障個人資料和數據倫理道德的私隱管治制度;
  • 與內地及海外的保障私隱機構加強聯繫,處理跨境數據違規事故,並向本地持份者講解其他司法管轄區的保障資料規定,協助持份者依從相關要求,以及資訊自由流通和私隱保障作為香港獨特且無可取代的優勢;
  • 根據法例協助機構(包括政府)推展各項涉及個人資料私隱的措施,包括就檢討《私隱條例》提出建議;以及
  • 就「金融科技」和「去識別化」發出指引,以及出版一本有關內地個人資料主要法規的小冊子,以供業界及公眾參閱。

[1]   依據《私隱條例》第36條,私隱專員可對資料使用者所使用的個人資料系統進行視察,以作出關於促進資料使用者遵守《私隱條例》條文的建議。
[2]  當中有139宗投訴是有關國泰航空公司外洩客戶個人資料事件
[3]  撇除了2017年有關遺失載有選委及選民個人資料的手提電腦的單一事件的投訴個案(1,968宗)
[4]  三名投訴人都有歐盟國家國籍,一宗投訴涉及機構持有投訴人的個人資料的準確性,兩宗涉及個人資料的保安。

  -完-
 
相片:







私隱專員黃繼兒今日(2019年1月31日)與傳媒聚會,總結公署在2018年的工作及簡介2019年的重點工作。