資訊洞見
6个关键改革方向
经过多年的讨论,随着香港政府和个人资料私隐专员(以下称“私隐专员”)努力研究按照国际发展趋势与时并进更新香港的《个人资料(私隐)条例》(以下称“《私隐条例》”),并应对资讯和通讯科技迅速发展对保障个人资料私隐带来的新挑战,改革《私隐条例》的行动势头越来越盛。
改革检讨尚处于初步阶段,还没有修例草案。不过,香港政府的政制及內地事务局(以下称“该局”)及私隐专员已在2020年1月20日的立法会政制事务委员会会议上发表咨询文件,并征询立法会议员的意见,提出6个关键改革方向:
(1) |
设立强制性资料外泄通报机制; |
(2) |
加强资料保留义务; |
(3) |
增强私隐专员的执法权力; |
(4) |
引入对资料处理者的直接规管; |
(5) |
修订和扩展《私隐条例》对“个人资料”的定义; 和 |
(6) |
加强规管不当披露属于其他资料当事人的个人资料的行为 |
有关我行对主要改革方案的概要简介和评论,请见下表。
接下来的改革发展路向
该局和私隐专员已经表明他们渴望尽快推进改革,并表示不会进行公众咨询。一项要求进行公众咨询的动议没有在1月20日的会议上通过,目前还没有具体的时间表说明何时会提出具体的修正案。在拟订修例草案之前,预计该局和私隐专员将作更深入研究并与相关利益持份者磋商。如任何法律改革和立法程序,推进《私隐条例》的实际修订需时。但敬请密切关注我行有关更新资讯!
资料使用者和资料处理者需注意的关键要点
按全球趋势和惯例,在香港遵从保障个人资料隐私合规义务的负担显然将会增加,并将继续成为所有公司最重要注意合规领域之一。特别是,在《私隐条例》有史以来首次对资料处理者进行直接规管的改革,这意味着香港的资料处理者将需要提前计划并审查其现有做法,为合规做足准备。
咨询文件中的某些方案显然受到欧盟《通用数据保护条例》的影响(例如,对资料处理者的直接规管、强制性资料外泄通报机制,以及增强私隐专员的执法权力的方案)。现阶段要断言香港的资料使用者和资料处理者在改革后最终需要增加承担什么确切的合规义务还为时过早。如果这些改革确实采纳了类似于欧盟《通用数据保护条例》的规定,则在香港开展业务的跨国企业和国际公司,以及已经在国外开展业务的大型香港公司,可能已习惯遵守此等更严格的制度。对香港的小型企业资料使用者和资料处理者而言,为这些新增要求做准备则可能带来相关挑战。我行建议各企业密切关注此改革进一步的发展。
公众和监管部门高度关注资料保安以及缺乏强制性和及时通报资料外泄等问题,源于最近私营和公共机构均发生数项重大资料泄露相关事件,包括国泰航空IT系统遭黑客攻击,导致未经授权访问个人资料的情况,影响大约940万乘客。私隐专员去年向国泰发出执行通知,指出尽管目前《私隐条例》尚无法定规例要求资料使用者向公众通报资料泄露事宜,但国泰航空本可在发现可疑情况时通知受影响乘客,并及时告知他们采取适当措施,以符合他们的合理期望。涉及大量消费者资料、选民资料和医疗资料的大规模资料泄露事件、政府机构电子设备丢失或被盗事件、使用移动应用程序和在线服务的资料保安问题事件,以及在香港抗议活动中盛行的“起底”(人肉搜索)事件等,削弱了公众和消费者对私营和公共机构采取保障个人资料私隐和资讯安全措施的信任和信心。
在这数码时代,资料保安、透明度和保障个人资料私隐的责任应属资料使用者和资料处理者计划及执行其业务和法律合规战略的重要基石之一。资料使用者和资料处理者应定期审核和查察其现有保障个人资料私隐的做法和策略,以识别和处理相关不合规事宜,并制定计划以在出现任何安全性问题或资料泄露的情况下能迅速采取行动。私隐专员和該局的最新改革方案正好适时地提醒资料使用者和资料处理者要这样做。
另外,值得注意的是,咨询文件对法律改革关注多年的其他热点问题保持沉默,包括,例如,《私隐条例》对个人资料跨境传输的规管,以及立法引入“敏感”个人资料的具体定义(如生物识别资料、民族、种族、性取向、宗教信仰和政治派别资料)。不过,我行预计私隐专员和该局日后亦将对这些热点问题作相关改革。尤其私隐专员已在立法会会议上表示,其公署计划发布有关《私隐条例》长期入蛰的第33条有关跨境个人资料传输的最新指引,所以敬请继续关注我行的相关更新!
《私隐条例》关键改革方向概要
改革方向 |
该局和私隐专员的建议 |
需要继续关注的事项 |
设立强制性资料外泄通报机制 |
|
|
加强资料保留义务 |
|
|
增强私隐专员的执法权力 |
|
|
引入对资料处理者的直接规管 |
|
|
修订和扩阔《私隐条例》对“个人资料”的定义 |
|
|
加强规管不当披露属于其他资料当事人的个人资料的行为 |
|
|