立法会:政制及内地事务局局长就「追上科技发展,加强保障市民私隐」议员议案总结发言(只有中文)
**********************************************
代主席:
我们细心聆听了12位议员就原议案及修订议案提出的宝贵意见。正如我在开场发言提及,政府高度重视个人资料私隐的保障,我亦同意在保障私隐方面需要与时并进,尤其因为科技的快速发展,所以我们正联同个人资料私隐专员公署检讨《个人资料(私隐)条例》。
刚才在开场发言提过,我们有四个研究方向,现在我进一步分享在这检讨上,有关这四个方向的想法:
(一)就研究设立强制性个人资料外泄通报机制方面,有关机制会要求涉事机构向私隐专员通报资料外泄事故,此举可以确保私隐专员得以监察该等机构处理事故的做法,而该等机构亦可向私隐专员寻求指示作跟进。我们需要考虑的课题包括通报的门槛,即机构遇到什么类型和规模的资料外泄事故才需要通报公署和资料当事人,而向两者作出通报的门槛又应否一样,以及通报时限。此外,通报的详细内容和方式,如个别通知、发出或刊登集体通知等选项,均需仔细研究。
(二)在资料保留时限方面,保存资料时间越长,外泄的风险以及造成的影响当然亦会相应增加。考虑到不同机构的服务性质和独特需要,硬性设立划一的资料保留期限可能未必合适。因此,我们考虑方向是要求资料使用者设立一套清晰的个人资料保留政策,包括订立其最长保留期限,并于收集个人资料时清晰告知资料当事人。就此,我们预期机构的个人资料保留政策需要包括不同类别资料的保留期限、影响资料保留期限的法律要求、保留期限的计算准则、确保政策妥善执行的措施等,这些资料均需有效向资料当事人解释,并贯彻执行。
(三)就严重违反保障资料原则处以罚款方面,我们的研究方向是授权私隐专员就严重违反保障资料原则的个案直接处以行政罚款。我们认为行政罚款水平和金额需要详细研究,并须小心平衡阻吓力和对营商和合规成本的影响。同时,我们亦会考虑是否需要设立上诉机制,给予机构就私隐专员公署的决定上诉的机会,亦预期私隐专员公署需要推出指引,清晰列明处以罚款的考虑因素和原则,让机构可知所跟从。
(四)在直接规管资料处理者方面,目前《私隐条例》把保障个人资料的责任施加予资料使用者,然后由使用者以合约方式,确保资料处理者或分判商采取措施确保个人资料安全。然而,随着科技发展,把个人资料处理工作分判予包括云端服务供应商的第三者进行处理的做法日益普遍,令个人资料外泄的风险增加。我们的研究方向是直接向资料处理者或分判商施加法律责任,例如要求资料处理者为个人资料的保留及其保安直接负责,资料处理者有责任于出现资料外泄事故,包括怀疑外泄事故时,向私隐专员公署和受影响资料当事人作出通报。
以上是我们关于目前四个研究方向的一些想法。政制及内地事务局及私隐专员公署在研究以上的修例方向时会参考不同司法管辖区的相关法例,包括欧盟的《通用数据保障条例》,以及加拿大、新加坡、澳洲、纽西兰等地的个人私隐保障法例。我们亦会结合香港的实际情况,平衡各持份者的利益,提出切合香港环境的建议,修订和完善《私隐条例》。因此,多谢议员在这个议案辩论中所提出的意见。
我们明白,收紧《私隐条例》将影响资料使用者的合规成本。我们会在保障个人私隐、让资讯自由流通,和确保商业运作空间等公众利益间取得平衡。
刚才有议员提及教育和推广保障个人资料私隐,我希望强调修例并非加强保障个人资料私隐的单一途径,加强公私营机构保障个人资料私隐的意识和公众教育均同样重要。
在加强公私营机构处理个人资料的政策和保安措施方面,私隐专员公署以结果为本的取向履行其法定职责,除了执法外亦积极进行推广,就循规和良好行事方式向机构提供指引及支援,包括在二○一八年修订的《私隐管理系统—最佳行事方式指引》(指引),协助公私营机构,包括政府部门,建立全面私隐管理系统。
公署亦会根据《私隐条例》对作为资料使用者的公私营机构所使用之个人资料系统进行视察,以向有关机构或所属业界作建议。近年视察报告包括的行业有补习服务、地产代理业及旅行社等。公署于二○一九年亦会对与雇佣有关的个人资料系统作视察行动。透过这些视察行动,公署对有关行业的个人资料保障措施提出建议,帮助业界减低发生资料外泄事故的可能性。
在公众宣传方面,公署于二○一九至二○二○年度的宣传教育重点,是提高企业对保障个人资料私隐的意识。公署会提供培训班、派员到商会和有关机构讲解《私隐条例》和发出行业指引,协助业界遵从法规。
《私隐条例》的保障适用于包括儿童在内不同年龄的资料当事人,葛珮帆议员提出关注儿童私隐的保护。事实上,不少司法管辖区包括澳洲、加拿大、纽西兰和新加坡的个人资料保障法规,均适用于所有的资料当事人,而不会以资料当事人的年龄作区分。欧盟的《通用数据保障条例》要求机构若提供网上服务予16岁以下儿童,需要得到其家长同意。而英国的私隐保障法例则要求机构于提供网上服务予13岁以下儿童时,需要取得家长同意。目前来说,直接规管网上收集儿童个人资料的主要是美国的《Children's Online Privacy Protection Act》,但这并非普遍的做法。私隐专员公署明白儿童的个人资料私隐需要保障,因此,一直透过各类宣传教育,加强保障儿童个人私隐,所以政府现时未有计划专门制定《网上儿童私隐法》。
另外,有议员提到有关《私隐条例》第33条的实施,《私隐条例》第33条对不同界别的跨境资料转移活动施以比现时更严厉的规管,需要各方面的准备,所以政府已进行对营商环境影响的评估,结果指出,一般的中小企难有足够资源对转移资料的目的地的私隐保障法例进行专业评估。私隐专员公署委托的法律顾问现正进一步研究业界有关实施《私隐条例》第33条的问题,当中会参考其他司法管辖区的相关法例。现时,根据《私隐条例》下的保障资源的第三项原则,个人资料转移的目的需要与原来收集有关资料时的目的相同,或直接有关,或得到资料当时人的同意,才可进行。
有议员提到《截取通讯及监察条例》(《条例》)的涵盖范围,是否与现代科技及通讯媒体的发展与时并进。根据保安局提供的资料,政府过往在修订《条例》的法案委员会及其后的其他场合已多次清楚交代,《条例》自二○○六年运作以来,依然有效地支援执法机关的运作。《条例》清楚界定须获授权才可以进行的截取作为,执法机关必须根据有关规定行事。在《条例》下,如有关通讯是藉电讯系统传送,而执法机关是在传送的过程中截取这些通讯,便属于《条例》下的「截取作为」。不论执法机关获取情报的行动使用何等技术,若有关行动可构成《条例》所定义的截取通讯或秘密监察行动,有关行动必须取得小组法官或指定授权人员的授权,行动的各个阶段均受《条例》严格监控,而截取通讯及监察事务专员亦会监督有关执法机关遵守《条例》下各项规定的情况。
主席,最后我再次感谢今日发言的12位议员。我们会联同个人资料私隐专员公署,参考各位的意见,以及其他司法管辖区的私隐相关条例,尽快完成就《私隐条例》的检讨工作,并在适当时候谘询相关持分者和立法会相关事务委员会的意见。主席,我谨此陈辞。
完
2019年5月22日(星期三)
香港时间20时18分
香港时间20时18分