********************
以下为今日(六月十一日)在立法会会议上汤家骅议员的提问和政制及内地事务局局长林瑞麟的口头答覆:
问题:
关於政府部门处理市民个人资料外泄事件,政府可否告知本会:
(一)鉴於怀疑属警方内部机密的档案最近在互联网上流传,警方在这些事件发生时是否已有内部指引,指示警员应如何使用及保障公众的个人资料;如果有指引,内容是什么;在泄密事件后,警方有没有即时彻查是否有警务人员违反指引,以及有没有联络所有受影响的人士,向他们交代将会如何就事件作出补救及有没有向违反指引的警务人员作出处分;
(二)金融管理局(金管局)现时有没有设立机制,要求银行在发生个人资料外泄事件后立即向金管局汇报;如果有设立机制,金管局为什么容许香港上海丰银行有限公司在事发后六天后才向其汇报遗失了一部载有客户资料的伺服器,以及金管局为什么在接报后的四日内没有公布事件;及
(三)会不会检讨所有政府部门处理个人资料的程序,以及将如何加强公众对政府处理个人资料的信心?
答覆:
主席女士:
(一)警务处一向根据订定的内部指引,规定警务人员应如何处理及保护个人资料。《警察通例》及《警务处程序手册》均详细说明,警务人员须根据《个人资料(私隐)条例》(第486章)(《私隐条例》)下的保障资料原则,处理及保护个人资料。《警队资讯保安手册》亦订有严格的指引,列明警务人员以电子形式处理内部资料及个人资料时应注意的事项及程序。
警务处非常关注近日部分内部文件在互联网上流传的事件,并已交由商业罪案调查科科技罪案组全力跟进调查。对於那些查明并不涉及刑事成份的个案,警队已着手进行纪律调查。若经调查后发现有任何警务人员违反警队内部指令或规定,警方会按既定程序采取纪律行动。
此外,警方已通知资料当事人有关事件,并建议他/她若怀疑所泄露的个人资料遭不当使用时,应即时联络警方跟进。
警队已成立工作小组,负责全面审视警队现有的资讯保安及资料(包括个人资料及须保护资料)保护措施和程序,其中包括检讨使用私人电脑处理公务的政策,及提出改善措施,以减低外泄个人资料或须保护的资料的风险。
(二)金管局已就保障银行客户资料发出清晰的指引。指引要求认可机构(包括银行)就遗失客户资料或客户资料被第三者未经授权取得制订事故管理程序,包括对外(例如金管局及受影响客户)的通报安排。金管局的监管标准是要求银行在事故发生后,须尽快通知金管局及向金管局提交事故报告。
就问题提及的有关事件,金管局在二○○八年五月二日(星期五)傍晚接到香港上海丰银行有限公司(
丰银行)的通报,指银行在二○○八年四月二十六日遗失了一部载有客户资料的电脑伺服器。金管局在接获通报后已立即要求
丰银行采取有关的跟进工作,包括迅速通知受影响客户、加强保护客户个人资料的措施,以及向金管局提交事故报告。
金管局并没有容许丰银行在事发后六天才向金管局汇报有关事件。金管局已收到
丰银行提交的事故报告,并会从监管角度考虑
丰银行就上述事件的处理手法(包括通报安排)是否符合有关指引的规定。若发现有任何违反指引规定的情况,金管局会考虑采取适当的监管行动。
涉及客户资料外泄的银行有责任迅速通知受影响客户。至於银行透过何种方法通知受影响客户,包括应否发出公布,是银行的决定。然而,考虑到这次事件中受影响客户的数目众多,金管局认为作出公布是通知可能受影响客户的合适及有效方法。因此,金管局在丰银行已初步确定受影响客户的数目及有可能外泄的资料后,已立即要求
丰银行公布事件,而
丰银行亦於二○○八年五月六日就有关事件作出公布。
(三)自《私隐条例》於一九九六年十二月生效后,当局已向各决策局及部门发出多份通告,阐释有关《私隐条例》条文及如何遵守条例若干规定。个别决策局及部门须遵照《私隐条例》的规定,及因应个别的运作需要,制定其处理个人资料的措施。每个决策局及部门均需要委任一至两名人员为「资料管制人员」负责评估、批准、监察及检讨部门内的个人资料保障措施,以确保部门能遵守《私隐条例》的规定。个人资料私隐专员公署(公署)亦有定期向这些人员提供一些关於条例的资讯,让他们得知有关个人资料私隐的最新发展。
各部门除了要设立切合部门运作需要的保障个人资料制度外,亦须加强培训,提高员工对条例的认知及处理个人资料的警觉性。
我们鼓励各部门派员加入由公署成立的「保障资料主任联会」,透过参与各种交流活动,加深对条例的认识和了解。联会主要为在任职机构负责推行及统筹保障个人私隐措施的专业人员提供联系网络。目前已有三十二个部门派员加入这个联会。公署将於二○○八年八月为会员举办以个人资料保安为主题的研讨会,并会於十月至十二月期间举行多个工作坊,以加强会员的保障个人资料知识。
在二○○八/○九年度,政府为公署额外提供一百万元拨款,加强宣传及教育工作,当中包括制作「了解《个人资料(私隐)条例》」教材套,协助公私营机构资料使用者自行为员工举办培训班,教导员工如何正确处理个人资料。这份教材套预计可於二○○九年年初分发给各政府部门使用。此外,在未来数月,政府会与公署举办一系列讲座及个案研究,以进一步提升各部门对条例的认识,包括个人资料的保安及处理查阅个人资料的要求。
当局亦时有提醒员工善用私隐专员网页所提供的各类资讯(如实务守则、指引、资料概览等),以提升员工对条例的认识。
完
2008年6月11日(星期三)
香港时间14时26分
