新聞與事件
6个关键改革方向
经过多年的讨论,随着香港政府和个人资料私隐专员(以下称“私隐专员”)努力研究按照国际发展趋势与时并进更新香港的《个人资料(私隐)条例》(以下称“《私隐条例》”),并应对资讯和通讯科技迅速发展对保障个人资料私隐带来的新挑战,改革《私隐条例》的行动势头越来越盛。
改革检讨尚处于初步阶段,还没有修例草案。不过,香港政府的政制及內地事务局(以下称“该局”)及私隐专员已在2020年1月20日的立法会政制事务委员会会议上发表咨询文件,并征询立法会议员的意见,提出6个关键改革方向:
(1)设立强制性资料外泄通报机制;
(2)加强资料保留义务;
(3)增强私隐专员的执法权力;
(4)引入对资料处理者的直接规管;
(5)修订和扩展《私隐条例》对“个人资料”的定义; 和
(6)加强规管不当披露属于其他资料当事人的个人资料的行为
有关我行对主要改革方案的概要简介和评论,请见下表。
接下来的改革发展路向
该局和私隐专员已经表明他们渴望尽快推进改革,并表示不会进行公众咨询。一项要求进行公众咨询的动议没有在1月20日的会议上通过,目前还没有具体的时间表说明何时会提出具体的修正案。在拟订修例草案之前,预计该局和私隐专员将作更深入研究并与相关利益持份者磋商。如任何法律改革和立法程序,推进《私隐条例》的实际修订需时。但敬请密切关注我行有关更新资讯!
资料使用者和资料处理者需注意的关键要点
按全球趋势和惯例,在香港遵从保障个人资料隐私合规义务的负担显然将会增加,并将继续成为所有公司最重要注意合规领域之一。特别是,在《私隐条例》有史以来首次对资料处理者进行直接规管的改革,这意味着香港的资料处理者将需要提前计划并审查其现有做法,为合规做足准备。
咨询文件中的某些方案显然受到欧盟《通用数据保护条例》的影响(例如,对资料处理者的直接规管、强制性资料外泄通报机制,以及增强私隐专员的执法权力的方案)。现阶段要断言香港的资料使用者和资料处理者在改革后最终需要增加承担什么确切的合规义务还为时过早。如果这些改革确实采纳了类似于欧盟《通用数据保护条例》的规定,则在香港开展业务的跨国企业和国际公司,以及已经在国外开展业务的大型香港公司,可能已习惯遵守此等更严格的制度。对香港的小型企业资料使用者和资料处理者而言,为这些新增要求做准备则可能带来相关挑战。我行建议各企业密切关注此改革进一步的发展。
公众和监管部门高度关注资料保安以及缺乏强制性和及时通报资料外泄等问题,源于最近私营和公共机构均发生数项重大资料泄露相关事件,包括国泰航空IT系统遭黑客攻击,导致未经授权访问个人资料的情况,影响大约940万乘客。私隐专员去年向国泰发出执行通知,指出尽管目前《私隐条例》尚无法定规例要求资料使用者向公众通报资料泄露事宜,但国泰航空本可在发现可疑情况时通知受影响乘客,并及时告知他们采取适当措施,以符合他们的合理期望。涉及大量消费者资料、选民资料和医疗资料的大规模资料泄露事件、政府机构电子设备丢失或被盗事件、使用移动应用程序和在线服务的资料保安问题事件,以及在香港抗议活动中盛行的“起底”(人肉搜索)事件等,削弱了公众和消费者对私营和公共机构采取保障个人资料私隐和资讯安全措施的信任和信心。
在这数码时代,资料保安、透明度和保障个人资料私隐的责任应属资料使用者和资料处理者计划及执行其业务和法律合规战略的重要基石之一。资料使用者和资料处理者应定期审核和查察其现有保障个人资料私隐的做法和策略,以识别和处理相关不合规事宜,并制定计划以在出现任何安全性问题或资料泄露的情况下能迅速采取行动。私隐专员和該局的最新改革方案正好适时地提醒资料使用者和资料处理者要这样做。
另外,值得注意的是,咨询文件对法律改革关注多年的其他热点问题保持沉默,包括,例如,《私隐条例》对个人资料跨境传输的规管,以及立法引入“敏感”个人资料的具体定义(如生物识别资料、民族、种族、性取向、宗教信仰和政治派别资料)。不过,我行预计私隐专员和该局日后亦将对这些热点问题作相关改革。尤其私隐专员已在立法会会议上表示,其公署计划发布有关《私隐条例》长期入蛰的第33条有关跨境个人资料传输的最新指引,所以敬请继续关注我行的相关更新!
《私隐条例》关键改革方向概要
改革方向 | 该局和私隐专员的建议 | 需要继续关注的事项 |
设立强制性资料外泄通报机制 | 建立强制性资料外泄通报机制,以在切实可行的情况下尽快,并在任何情况下不得多于五个工作日内,通报任何有“具真正风险构成重大损害”的资料外泄(包括发生违反资料保安的情况而引致个人资料意外地或不法地被损毁、丧失、更改、未经授权披露或被查阅)。 | 一些立法会议员担心拟议“构成重大损害的真正风险”的通报门槛不明确,并认为应予以澄清。 该局和私隐专员将进一步制定此方案的详情,包括:(1)强制性机制范围内所涉及资料外泄情况的确切范围;(2)通报门槛;(3)通报和纠正外泄时限;(4)向私隐专员和受影响资料当事人发出通报的确切内容和方式。 私隐专员计划将适时提供符合此方案的范本和指引。 |
加强资料保留义务 | 实际上很难划一设立资料保留期限(鉴于各种个人资料的性质和种类的多样性以及可能涉及的众多不同目的,每种情况均需视乎其自身景况而定)。 阐明和补充《私隐条例》现有的保障资料原则,并提出新的义务,要求资料使用者(1)制定一套清晰的资料保留政策,(2)告知资料当事人有关该政策,以加强资料使用者在保障和处理个人资料方面的责任和透明度。 | 该局和私隐专员将进一步制定反映此方案所需修订 《私隐条例》现有第二项和第五项保障资料原则的详情。 私隐专员计划将适时提供符合此方案的范本和指引。 |
增强私隐专员的执法权力 | 此方案具两项主要方针需要进一步检讨:(1)提高对不遵从私隐专员执行通知的罪行之刑事罚款;(2)引入新的行政罚款和私隐专员对违反《私隐条例》的行为的直接惩处权力。 此改革方案的目的是为提高《私隐条例》的阻吓性,以及更恰当地反映该条例所列罪行的严重性。 | 该局和私隐专员将进一步制定此方案的详情,包括(1)惩处权力的确切范围,(2)刑事罚款和/或行政罚款的规模和级别分类,(3)行政罚款的机制和门槛,及(4)对私隐专员在行政罚款制度下所作决定的法律程序和上诉机制。 在行政处罚方面,该局和私隐专员表示,他们正在探讨引入类似欧盟《通用数据保护条例》之行政处罚体系的可行性,即行政罚款与资料使用者的年营业额挂钩,并根据营业额将资料使用者划分为不同的规模。 一些立法会议员对私隐专员现时的执法权力不足问题表示关注,并呼吁在刑事及行政惩处制度下进一步制衡警方和私隐专员的执法权力,以加强《私隐条例》的执法效能和效率。 |
引入对资料处理者的直接规管 | 为提高资料保安,并加强对资料使用者和资料处理者就外判和资料处理活动的问责、管治和管制事宜,意识到需要对资料处理者作直接规管的迫切要求。 在《私隐条例》引入直接规管资料处理者的新制度,包括向资料处理者(及其分包商)施加直接法律责任,当中包括但不限于要求他们为资料保留及保安直接负责,并于资料外泄时作出通报。 | 该局和私隐专员将进一步就直接规管资料处理者的新制度和相关法律责任的方案制定详细规定。 若实施此方案,影响资料使用者的其他关键改革方案(包括强制性资料外泄通报、资料保留义务和增强私隐专员的执法权力)相应地亦可能适用于资料处理者。 |
修订和扩阔《私隐条例》对“个人资料”的定义 | 考虑到现时数据分析和追踪技术的广泛应用,为更符合社会大众对保障个人资料的期望,修订《私隐条例》现有包括与“已识辨身分”人士有关资料的“个人资料”定义,以扩阔该定义涵盖与“可识辨身分”人士有关的资料。 | 该局和私隐专员将进一步制定此方案的详情。 鉴于私营和公共机构增加采用人工智能、面部识别和其他类似的工具和技术作追踪和识别分析,为加强保障个人资料私隐,一些立法会议员对现时《私隐条例》缺乏对“敏感个人资料”(包括面部识别、指纹、掌纹、声纹/语音认证、视网膜扫描等生物识别资料)作明文法律定义表示关注。 |
加强规管不当披露属于其他资料当事人的个人资料的行为 | 此方案具数项需详细检讨的拟议改革方向,例如包括,在《私隐条例》中(1)引入立法修订案以专门处理“起底”(人肉搜索)行为,(2)赋予私隐专员进一步的法定权力要求从社交媒体平台、网站和其他在线平台移除起底内容,(3)增强相关刑事调查、检控和执法权力。 | 该局在咨询文件中表示,目前正在研究如何修订/加强《私隐条例》,以更有效地遏制“起底”行为,以及加强《私隐条例》第64条现时所订明有关不当披露其他资料当事人个人资料的刑事罪行。不过,该局和私隐专员尚未公布任何进一步的细节。 一些立法会议员对私隐专员现时的执法权力不足问题表示关注,并呼吁进一步制衡《私隐条例》赋予警方和私隐专员的执法权力。 |
6个关键改革方向
经过多年的讨论,随着香港政府和个人资料私隐专员(以下称“私隐专员”)努力研究按照国际发展趋势与时并进更新香港的《个人资料(私隐)条例》(以下称“《私隐条例》”),并应对资讯和通讯科技迅速发展对保障个人资料私隐带来的新挑战,改革《私隐条例》的行动势头越来越盛。
改革检讨尚处于初步阶段,还没有修例草案。不过,香港政府的政制及內地事务局(以下称“该局”)及私隐专员已在2020年1月20日的立法会政制事务委员会会议上发表咨询文件,并征询立法会议员的意见,提出6个关键改革方向:
(1)设立强制性资料外泄通报机制;
(2)加强资料保留义务;
(3)增强私隐专员的执法权力;
(4)引入对资料处理者的直接规管;
(5)修订和扩展《私隐条例》对“个人资料”的定义; 和
(6)加强规管不当披露属于其他资料当事人的个人资料的行为
有关我行对主要改革方案的概要简介和评论,请见下表。
接下来的改革发展路向
该局和私隐专员已经表明他们渴望尽快推进改革,并表示不会进行公众咨询。一项要求进行公众咨询的动议没有在1月20日的会议上通过,目前还没有具体的时间表说明何时会提出具体的修正案。在拟订修例草案之前,预计该局和私隐专员将作更深入研究并与相关利益持份者磋商。如任何法律改革和立法程序,推进《私隐条例》的实际修订需时。但敬请密切关注我行有关更新资讯!
资料使用者和资料处理者需注意的关键要点
按全球趋势和惯例,在香港遵从保障个人资料隐私合规义务的负担显然将会增加,并将继续成为所有公司最重要注意合规领域之一。特别是,在《私隐条例》有史以来首次对资料处理者进行直接规管的改革,这意味着香港的资料处理者将需要提前计划并审查其现有做法,为合规做足准备。
咨询文件中的某些方案显然受到欧盟《通用数据保护条例》的影响(例如,对资料处理者的直接规管、强制性资料外泄通报机制,以及增强私隐专员的执法权力的方案)。现阶段要断言香港的资料使用者和资料处理者在改革后最终需要增加承担什么确切的合规义务还为时过早。如果这些改革确实采纳了类似于欧盟《通用数据保护条例》的规定,则在香港开展业务的跨国企业和国际公司,以及已经在国外开展业务的大型香港公司,可能已习惯遵守此等更严格的制度。对香港的小型企业资料使用者和资料处理者而言,为这些新增要求做准备则可能带来相关挑战。我行建议各企业密切关注此改革进一步的发展。
公众和监管部门高度关注资料保安以及缺乏强制性和及时通报资料外泄等问题,源于最近私营和公共机构均发生数项重大资料泄露相关事件,包括国泰航空IT系统遭黑客攻击,导致未经授权访问个人资料的情况,影响大约940万乘客。私隐专员去年向国泰发出执行通知,指出尽管目前《私隐条例》尚无法定规例要求资料使用者向公众通报资料泄露事宜,但国泰航空本可在发现可疑情况时通知受影响乘客,并及时告知他们采取适当措施,以符合他们的合理期望。涉及大量消费者资料、选民资料和医疗资料的大规模资料泄露事件、政府机构电子设备丢失或被盗事件、使用移动应用程序和在线服务的资料保安问题事件,以及在香港抗议活动中盛行的“起底”(人肉搜索)事件等,削弱了公众和消费者对私营和公共机构采取保障个人资料私隐和资讯安全措施的信任和信心。
在这数码时代,资料保安、透明度和保障个人资料私隐的责任应属资料使用者和资料处理者计划及执行其业务和法律合规战略的重要基石之一。资料使用者和资料处理者应定期审核和查察其现有保障个人资料私隐的做法和策略,以识别和处理相关不合规事宜,并制定计划以在出现任何安全性问题或资料泄露的情况下能迅速采取行动。私隐专员和該局的最新改革方案正好适时地提醒资料使用者和资料处理者要这样做。
另外,值得注意的是,咨询文件对法律改革关注多年的其他热点问题保持沉默,包括,例如,《私隐条例》对个人资料跨境传输的规管,以及立法引入“敏感”个人资料的具体定义(如生物识别资料、民族、种族、性取向、宗教信仰和政治派别资料)。不过,我行预计私隐专员和该局日后亦将对这些热点问题作相关改革。尤其私隐专员已在立法会会议上表示,其公署计划发布有关《私隐条例》长期入蛰的第33条有关跨境个人资料传输的最新指引,所以敬请继续关注我行的相关更新!
《私隐条例》关键改革方向概要
改革方向 | 该局和私隐专员的建议 | 需要继续关注的事项 |
设立强制性资料外泄通报机制 | 建立强制性资料外泄通报机制,以在切实可行的情况下尽快,并在任何情况下不得多于五个工作日内,通报任何有“具真正风险构成重大损害”的资料外泄(包括发生违反资料保安的情况而引致个人资料意外地或不法地被损毁、丧失、更改、未经授权披露或被查阅)。 | 一些立法会议员担心拟议“构成重大损害的真正风险”的通报门槛不明确,并认为应予以澄清。 该局和私隐专员将进一步制定此方案的详情,包括:(1)强制性机制范围内所涉及资料外泄情况的确切范围;(2)通报门槛;(3)通报和纠正外泄时限;(4)向私隐专员和受影响资料当事人发出通报的确切内容和方式。 私隐专员计划将适时提供符合此方案的范本和指引。 |
加强资料保留义务 | 实际上很难划一设立资料保留期限(鉴于各种个人资料的性质和种类的多样性以及可能涉及的众多不同目的,每种情况均需视乎其自身景况而定)。 阐明和补充《私隐条例》现有的保障资料原则,并提出新的义务,要求资料使用者(1)制定一套清晰的资料保留政策,(2)告知资料当事人有关该政策,以加强资料使用者在保障和处理个人资料方面的责任和透明度。 | 该局和私隐专员将进一步制定反映此方案所需修订 《私隐条例》现有第二项和第五项保障资料原则的详情。 私隐专员计划将适时提供符合此方案的范本和指引。 |
增强私隐专员的执法权力 | 此方案具两项主要方针需要进一步检讨:(1)提高对不遵从私隐专员执行通知的罪行之刑事罚款;(2)引入新的行政罚款和私隐专员对违反《私隐条例》的行为的直接惩处权力。 此改革方案的目的是为提高《私隐条例》的阻吓性,以及更恰当地反映该条例所列罪行的严重性。 | 该局和私隐专员将进一步制定此方案的详情,包括(1)惩处权力的确切范围,(2)刑事罚款和/或行政罚款的规模和级别分类,(3)行政罚款的机制和门槛,及(4)对私隐专员在行政罚款制度下所作决定的法律程序和上诉机制。 在行政处罚方面,该局和私隐专员表示,他们正在探讨引入类似欧盟《通用数据保护条例》之行政处罚体系的可行性,即行政罚款与资料使用者的年营业额挂钩,并根据营业额将资料使用者划分为不同的规模。 一些立法会议员对私隐专员现时的执法权力不足问题表示关注,并呼吁在刑事及行政惩处制度下进一步制衡警方和私隐专员的执法权力,以加强《私隐条例》的执法效能和效率。 |
引入对资料处理者的直接规管 | 为提高资料保安,并加强对资料使用者和资料处理者就外判和资料处理活动的问责、管治和管制事宜,意识到需要对资料处理者作直接规管的迫切要求。 在《私隐条例》引入直接规管资料处理者的新制度,包括向资料处理者(及其分包商)施加直接法律责任,当中包括但不限于要求他们为资料保留及保安直接负责,并于资料外泄时作出通报。 | 该局和私隐专员将进一步就直接规管资料处理者的新制度和相关法律责任的方案制定详细规定。 若实施此方案,影响资料使用者的其他关键改革方案(包括强制性资料外泄通报、资料保留义务和增强私隐专员的执法权力)相应地亦可能适用于资料处理者。 |
修订和扩阔《私隐条例》对“个人资料”的定义 | 考虑到现时数据分析和追踪技术的广泛应用,为更符合社会大众对保障个人资料的期望,修订《私隐条例》现有包括与“已识辨身分”人士有关资料的“个人资料”定义,以扩阔该定义涵盖与“可识辨身分”人士有关的资料。 | 该局和私隐专员将进一步制定此方案的详情。 鉴于私营和公共机构增加采用人工智能、面部识别和其他类似的工具和技术作追踪和识别分析,为加强保障个人资料私隐,一些立法会议员对现时《私隐条例》缺乏对“敏感个人资料”(包括面部识别、指纹、掌纹、声纹/语音认证、视网膜扫描等生物识别资料)作明文法律定义表示关注。 |
加强规管不当披露属于其他资料当事人的个人资料的行为 | 此方案具数项需详细检讨的拟议改革方向,例如包括,在《私隐条例》中(1)引入立法修订案以专门处理“起底”(人肉搜索)行为,(2)赋予私隐专员进一步的法定权力要求从社交媒体平台、网站和其他在线平台移除起底内容,(3)增强相关刑事调查、检控和执法权力。 | 该局在咨询文件中表示,目前正在研究如何修订/加强《私隐条例》,以更有效地遏制“起底”行为,以及加强《私隐条例》第64条现时所订明有关不当披露其他资料当事人个人资料的刑事罪行。不过,该局和私隐专员尚未公布任何进一步的细节。 一些立法会议员对私隐专员现时的执法权力不足问题表示关注,并呼吁进一步制衡《私隐条例》赋予警方和私隐专员的执法权力。 |