*************
以下為今日(三月七日)在立法會會議上曾鈺成議員的提問和公務員事務局局長俞宗怡(在民政事務局局長何志平缺席期間)的書面答覆:
問題:
據報,有本港企業擬將資訊科技工作外判往低成本的地區,當中可能會涉及本港市民的個人資料被移轉至該等地區的問題。此外,《個人資料(私隱)條例》(第486章)有關「禁止除在指明情況外將個人資料移轉至香港以外地方」的第33條尚未實施。根據個人資料私隱專員公署(公署)的資料,尚未實施該條文的其中一項理由,是要擬訂及發出適當的範本合約條款及相關的指引,並期望在發出範本合約後,有關條文可盡早生效。公署已於一九九七年制訂一份範本合約作參考之用,並在二○○五年六月將本港銀行的越境資料傳輸手法研究報告及多項政策方案呈交民政事務局省覽。就此,政府可否告知本會:
(一)是否知悉在過去三年,香港的資料使用者與資料的承轉人簽訂範本合約的數字,請按資料承轉人的行業提供分項數字;
(二)上述條文仍未實施的理由,以及預計會在何時實施;
(三)民政事務局有否就上述研究報告內有關第33條的各項方案與公署進行商討;
(四)當局在上述條文實施前,有何措施防止本港市民的個人資料被移轉至香港以外的地方,以及如何確保本港市民的個人資料私隱在香港以外的地方得到保障(除了鼓勵資料使用者與資料的承轉人簽訂範本合約外);及
(五)有否了解本港資訊科技外判工作承辦商的所在地(例如印度和內地)有關保障個人資料私隱的法律規定?
答覆:
主席女士:
(一)我們沒有本港的資料使用者與資料承轉人簽訂範本合約的統計數字。
(二)《個人資料(私隱)條例》(下述簡稱條例)第33條禁止把個人資料從香港移轉至沒有妥善資料保障法例的地方。實施第33條,將會對商界(尤其是銀行及電訊界別)的越境資料移轉活動有重大影響。我們必須透徹了解越境資料傳輸的普遍程度、移轉個人資料所涉及的程序,以及有關機構在作出離岸外判時可能遇到的個人資料保障問題。個人資料私隱專員(下述簡稱私隱專員)現正全面檢討條例,包括第33條。我們會研究私隱專員的建議,並在考慮有關各方的利益後,定出最恰當的未來路向。
(三)民政事務局已就本港銀行的越境資料傳輸手法研究報告提出的各項政策方案,與私隱專員進行討論。我們向私隱專員提出的意見,當中包括是否開始實施條例第33條,須視乎兩個關鍵的因素,即私隱專員是否已作好準備按照第33(3)條所訂,在憲報公告指明那些地方具備與條例大體上相似或能達致與條例相同目的的法律;以及是否作好準備按照第33(4)條所訂,廢除或修訂有關公告。私隱專員現時就條例進行的全面研究,也會考慮現行第33條是否實際可行。另一方面,私隱專員亦參加了亞太經合組織跨境私隱規則研究小組。該小組的職責是制訂跨境私隱規則,以促進負責任和承擔責任的資料跨境傳輸,並避免製造不必要的障礙。通過參與這個研究小組,能對香港如何按照條例第33條處理有關越境資料傳輸的規管事宜,有進一步的領會。
(四)個人資料的使用(包括個人資料的移轉)受條例的保障資料第三原則規管。除非個人資料移轉的目的與原來收集有關資料時的目的相同或直接有關,否則資料使用者如沒有資料當事人的同意,不得把該等資料移轉至香港以外的地方。如果資料使用者把個人資料移轉至香港以外地方,但仍可控制資料的持有、處理或使用,則必須遵守條例的規定。根據條例第65條,任何獲另一人授權(不論是明示或默示,亦不論是事前或事後授權)的代理人所作出的任何作為或所從事的任何行為,均視為由該另一人作出或從事的。因此,資料使用者的海外代理人如違反條例,資料使用者須承擔責任(例如:某銀行委託海外代理人代為處理其客戶的個人資料,如代理人違反條例,則該銀行須承擔責任)。資料使用者如違反條例的保障資料原則,私隱專員可向其發出執行通知。違反執行通知即屬犯罪,一經定罪,可處第五級罰款(最高五萬元)及監禁兩年,如屬持續罪行,可處每日罰款一千元。資料使用者違反條例下的任何規定(保障資料原則除外),一經定罪,可處第三級罰款(最高一萬元),以及(視乎所犯罪行的性質而定)監禁六個月。
(五)據我們所知,內地和印度並無保障個人資料私隱的法例。
完
2007年3月7日(星期三)
香港時間14時49分
