************
以下为今日(五月二十一日)在立法会会议上余若薇议员的提问和政制及内地事务局局长林瑞麟的口头答覆:
问题:
近日有多个政府部门、法定机构及商业机构遗失载有个人资料的设备和装置,有传媒形容该等事件为「私隐灾难」。就此,政府可否告知本会:
(一) 除了发出关於资讯保安的内部程序通告或指引外,政府还有什么补救措施;是否知悉,有关的法定机构及商业机构采取了什么补救措施,包括有没有通知受影响的市民;如果有,详情是什么;如果没有,原因是什么;
(二) 市民遇到政府部门、法定机构或商业机构疏忽处理他们的个人资料时,可以循什么途径作出投诉及申索;及
(三) 鉴於这次「私隐灾难」,政府会不会考虑修订法例,以扩大个人资料私隐专员(私隐专员)的权力,以及会不会考虑就政府档案的管理事宜立法,以清楚界定各政府部门处理个人资料时的权限,从而加强保障市民的私隐;如果会修订法例,时间表是什么;如果不会,原因是什么?
答覆:
主席女士:
(一) 在数宗涉及政府部门的资料外泄事件发生后,政府已即时发出内部资讯保安程序通告及指引,要求各政府人员切实遵行。为了加管理个人资料的处理以及使用便携式电子储存装置的保安措施,各部门将会尽用应用软件所提供的相关保安功能和采用可支援资料保护的储存装置,例如设有密码、加密、生物特征(例如指纹)等功能的产品。员工如有需要把资料存入便携式储存装置,必须先取得上级的许可和将资料适当地加密,使用后亦要尽快删除。此外,员工不可以把个人资料存入私人的装置或电脑。
政府会加强与公务员的沟通,以提高他们对保安规例的认知,并提醒他们须遵守有关规例。政府资讯科技总监办公室、保安局和公务员事务局,将制定有关计划,并於未来数月与部门资讯科技保安主任、各政策局及部门合作推行。政府会加审视政策局和部门执行有关使用便携式储存装置规定的情况。另外,亦会因应近期事故的调查结果,检讨资讯科技保安政策、保安规例和工作守则。
涉及资料外泄的有关部门及法定机构,已个别采取了相应的补救措施,包括检讨部门的资讯保安程序,发出内部指引,以加强员工的资料保障意识,通知受影响人士、个人资料私隐专员公署(私隐专员公署)或警方等。有关详情请参阅附件。
根据我们了解,涉及资料外泄的银行已在五月七日作出声明,表示正联络受事件影响的账户持有人。
(二) 市民若怀疑政府部门、法定机构或商业机构疏忽处理他们的个人资料,可向私隐专员公署作出投诉。私隐专员於完成调查后,若发现资料使用者正在违反《个人资料(私隐)条例》(《私隐条例》)的规定,或已违反条例的规定,而违反情况有相当可能持续或重复发生,私隐专员可向有关的资料使用者发出执行通知,指令采取步骤纠正违反的行为或作为。若资料使用者不遵从执行通知,则属刑事罪行,一经定罪,可被处第五级罚款(最高罚款为五万元)及监禁两年,若属持续罪行,可被处每日罚款一千元。
此外,资料当事人若因资料使用者违反《私隐条例》的规定而蒙受损害,可根据条例第66条,提出民事索偿,追讨损失。
(三) 《私隐条例》第36条赋与私隐专员权力,视察资料使用者的个人资料系统,并作出建议,促使资料使用者遵守《私隐条例》的条文。私隐专员亦可行使条例第38条的权力,主动调查有关资料使用者,或在接到投诉后作出调查,以确定有否违反《私隐条例》的情况。条例亦赋权私隐专员进入处所视察或调查、搜集证据。私隐专员可向有关资料使用者发出执行通知,指令采取步骤纠正违规行为。就近日数宗个人资料外泄事件而言,私隐专员已行使《私隐条例》赋予的法定权力,展开调查及视察等跟进工作。我们认为《私隐条例》已赋予私隐专员适当权力,有效跟进个人资料外泄事件。
我们正联同私隐专员检讨《私隐条例》,在检讨时我们会研究在资料的收集、持有、处理及使用方面如何能进一步加强保障个人资料私隐。
现时《私隐条例》对政府具约束力,政府部门处理涉及个人资料的档案,亦须按条例规定办事。我们认为目前并无需要立法规管政府档案管理。
完
2008年5月21日(星期三)
香港时间13时24分