與時俱進加重罰則全面保障個人私隱

2018-11-15

立法會昨日討論國泰及港龍航空約940萬名乘客個人資料被不當取覽一事，多名議員批評國泰隱瞞事件，並要求當局盡快修改私隱條例，加重罰則。香港人素來注重保障私隱，隨着時代和科技發展，隨着個人資料的無形價值越來越高，企業、機構在獲取、使用客戶個人資料時外洩的風險也越來越高。本港《個人資料（私隱）條例》已生效22年，條文明顯過時且阻嚇力不足，令私隱外洩事件頻生。政府有必要與時俱進修改法例，更切實有效保障市民私隱和利益。

在移動智能時代，個人資料日益成為極具價值的大數據資料。擁有大量客戶個人資料的航空、電訊和各類服務企業，自然成為黑客盜取個人資料以求不法利益的對象。私隱專員公署去年的工作報告顯示，2017年署方接獲106宗機構外洩個人資料事故的通報，較2016年上升近2成。今年至今，除了國泰事件外，已先後有縱橫遊、大航假期、香港寬頻等企業的客戶資料被黑客盜取。類似事件頻繁發生，敲響個人資料保障的響亮警鐘。

但本港已行使22年的《個人資料（私隱）條例》，規管不嚴、罰則寬鬆，被譏為「無牙老虎」。對於機構洩露客戶資料，目前本港法例並無要求強制通報，只有相關指引給機構。當然，私隱專員公署調查後覺得有必要，可對機構發出執行通知，不遵守執行通知屬刑事罪行，但最高罰款只是港幣5萬元及監禁2年。如此輕微的罰則，明顯與個人資料外洩造成的損失不相稱。

2010年7月，八達通公司被揭發將197萬名「日日賞」客戶的資料售予6間公司，從中獲利4,400萬元，事後私隱專員公署裁定八達通公司違反私隱條例，但並無發出執行通知或作任何處分。事件不了了之。

《個人資料（私隱）條例》於1996年生效時，當時互聯網剛剛發軔，更無智能移動通訊，根本難以想像互聯網服務和電子支付服務有今天的普及。隨着企業、機構近年收集個人資料的數量以幾何級數上升，洩漏事件一再發生，法例過時、監管嚴重不足的問題迅速惡化。因此，本港必須參考其他先進地區的做法，因應實際需要適時修法。歐盟今年就通過了《通用數據保障條例》（GDPR），就外洩通報、資料轉移、加重罰則等諸多方面嚴格規管，任何在歐盟設立或目標受眾是歐盟公民的企業均受規管。一旦發生洩漏私隱事件，最高罰則是企業全球營業額的4%或2,000萬歐元，以較高者為準。

保障個人私隱，就是保障市民利益，市民對此有強烈訴求。期待政府聽到市民的呼聲，順應民意，盡快就修例提出建議，並諮詢公眾意見，堵塞法例漏洞，為市民的私隱安全把好法律關。

讀文匯報PDF版面

與時俱進加重罰則 全面保障個人私隱

與時俱進加重罰則全面保障個人私隱