立法會:政制及內地事務局局長就「追上科技發展,加強保障市民私隱」議員議案總結發言(只有中文)
**********************************************
代主席:
我們細心聆聽了12位議員就原議案及修訂議案提出的寶貴意見。正如我在開場發言提及,政府高度重視個人資料私隱的保障,我亦同意在保障私隱方面需要與時並進,尤其因為科技的快速發展,所以我們正聯同個人資料私隱專員公署檢討《個人資料(私隱)條例》。
剛才在開場發言提過,我們有四個研究方向,現在我進一步分享在這檢討上,有關這四個方向的想法:
(一)就研究設立強制性個人資料外洩通報機制方面,有關機制會要求涉事機構向私隱專員通報資料外洩事故,此舉可以確保私隱專員得以監察該等機構處理事故的做法,而該等機構亦可向私隱專員尋求指示作跟進。我們需要考慮的課題包括通報的門檻,即機構遇到甚麼類型和規模的資料外洩事故才需要通報公署和資料當事人,而向兩者作出通報的門檻又應否一樣,以及通報時限。此外,通報的詳細內容和方式,如個別通知、發出或刊登集體通知等選項,均需仔細研究。
(二)在資料保留時限方面,保存資料時間越長,外洩的風險以及造成的影響當然亦會相應增加。考慮到不同機構的服務性質和獨特需要,硬性設立劃一的資料保留期限可能未必合適。因此,我們考慮方向是要求資料使用者設立一套清晰的個人資料保留政策,包括訂立其最長保留期限,並於收集個人資料時清晰告知資料當事人。就此,我們預期機構的個人資料保留政策需要包括不同類別資料的保留期限、影響資料保留期限的法律要求、保留期限的計算準則、確保政策妥善執行的措施等,這些資料均需有效向資料當事人解釋,並貫徹執行。
(三)就嚴重違反保障資料原則處以罰款方面,我們的研究方向是授權私隱專員就嚴重違反保障資料原則的個案直接處以行政罰款。我們認為行政罰款水平和金額需要詳細研究,並須小心平衡阻嚇力和對營商和合規成本的影響。同時,我們亦會考慮是否需要設立上訴機制,給予機構就私隱專員公署的決定上訴的機會,亦預期私隱專員公署需要推出指引,清晰列明處以罰款的考慮因素和原則,讓機構可知所跟從。
(四)在直接規管資料處理者方面,目前《私隱條例》把保障個人資料的責任施加予資料使用者,然後由使用者以合約方式,確保資料處理者或分判商採取措施確保個人資料安全。然而,隨着科技發展,把個人資料處理工作分判予包括雲端服務供應商的第三者進行處理的做法日益普遍,令個人資料外洩的風險增加。我們的研究方向是直接向資料處理者或分判商施加法律責任,例如要求資料處理者為個人資料的保留及其保安直接負責,資料處理者有責任於出現資料外洩事故,包括懷疑外洩事故時,向私隱專員公署和受影響資料當事人作出通報。
以上是我們關於目前四個研究方向的一些想法。政制及內地事務局及私隱專員公署在研究以上的修例方向時會參考不同司法管轄區的相關法例,包括歐盟的《通用數據保障條例》,以及加拿大、新加坡、澳洲、紐西蘭等地的個人私隱保障法例。我們亦會結合香港的實際情況,平衡各持份者的利益,提出切合香港環境的建議,修訂和完善《私隱條例》。因此,多謝議員在這個議案辯論中所提出的意見。
我們明白,收緊《私隱條例》將影響資料使用者的合規成本。我們會在保障個人私隱、讓資訊自由流通,和確保商業運作空間等公眾利益間取得平衡。
剛才有議員提及教育和推廣保障個人資料私隱,我希望強調修例並非加強保障個人資料私隱的單一途徑,加強公私營機構保障個人資料私隱的意識和公眾教育均同樣重要。
在加強公私營機構處理個人資料的政策和保安措施方面,私隱專員公署以結果為本的取向履行其法定職責,除了執法外亦積極進行推廣,就循規和良好行事方式向機構提供指引及支援,包括在二○一八年修訂的《私隱管理系統—最佳行事方式指引》(指引),協助公私營機構,包括政府部門,建立全面私隱管理系統。
公署亦會根據《私隱條例》對作為資料使用者的公私營機構所使用之個人資料系統進行視察,以向有關機構或所屬業界作建議。近年視察報告包括的行業有補習服務、地產代理業及旅行社等。公署於二○一九年亦會對與僱傭有關的個人資料系統作視察行動。透過這些視察行動,公署對有關行業的個人資料保障措施提出建議,幫助業界減低發生資料外洩事故的可能性。
在公眾宣傳方面,公署於二○一九至二○二○年度的宣傳教育重點,是提高企業對保障個人資料私隱的意識。公署會提供培訓班、派員到商會和有關機構講解《私隱條例》和發出行業指引,協助業界遵從法規。
《私隱條例》的保障適用於包括兒童在內不同年齡的資料當事人,葛珮帆議員提出關注兒童私隱的保護。事實上,不少司法管轄區包括澳洲、加拿大、紐西蘭和新加坡的個人資料保障法規,均適用於所有的資料當事人,而不會以資料當事人的年齡作區分。歐盟的《通用數據保障條例》要求機構若提供網上服務予16歲以下兒童,需要得到其家長同意。而英國的私隱保障法例則要求機構於提供網上服務予13歲以下兒童時,需要取得家長同意。目前來說,直接規管網上收集兒童個人資料的主要是美國的《Children's Online Privacy Protection Act》,但這並非普遍的做法。私隱專員公署明白兒童的個人資料私隱需要保障,因此,一直透過各類宣傳教育,加強保障兒童個人私隱,所以政府現時未有計劃專門制定《網上兒童私隱法》。
另外,有議員提到有關《私隱條例》第33條的實施,《私隱條例》第33條對不同界別的跨境資料轉移活動施以比現時更嚴厲的規管,需要各方面的準備,所以政府已進行對營商環境影響的評估,結果指出,一般的中小企難有足夠資源對轉移資料的目的地的私隱保障法例進行專業評估。私隱專員公署委託的法律顧問現正進一步研究業界有關實施《私隱條例》第33條的問題,當中會參考其他司法管轄區的相關法例。現時,根據《私隱條例》下的保障資源的第三項原則,個人資料轉移的目的需要與原來收集有關資料時的目的相同,或直接有關,或得到資料當時人的同意,才可進行。
有議員提到《截取通訊及監察條例》(《條例》)的涵蓋範圍,是否與現代科技及通訊媒體的發展與時並進。根據保安局提供的資料,政府過往在修訂《條例》的法案委員會及其後的其他場合已多次清楚交代,《條例》自二○○六年運作以來,依然有效地支援執法機關的運作。《條例》清楚界定須獲授權才可以進行的截取作為,執法機關必須根據有關規定行事。在《條例》下,如有關通訊是藉電訊系統傳送,而執法機關是在傳送的過程中截取這些通訊,便屬於《條例》下的「截取作為」。不論執法機關獲取情報的行動使用何等技術,若有關行動可構成《條例》所定義的截取通訊或秘密監察行動,有關行動必須取得小組法官或指定授權人員的授權,行動的各個階段均受《條例》嚴格監控,而截取通訊及監察事務專員亦會監督有關執法機關遵守《條例》下各項規定的情況。
主席,最後我再次感謝今日發言的12位議員。我們會聯同個人資料私隱專員公署,參考各位的意見,以及其他司法管轄區的私隱相關條例,盡快完成就《私隱條例》的檢討工作,並在適當時候諮詢相關持分者和立法會相關事務委員會的意見。主席,我謹此陳辭。
完
2019年5月22日(星期三)
香港時間20時18分
香港時間20時18分