企業保障客戶個人資料意識不足 倡私隱條例引入強制通報機制

2018年11月15日 年月日
《選擇》月刊
505
轉發
電郵此頁面

企業保障客戶個人資料意識不足   倡私隱條例引入強制通報機制

近年本港頻頻發生客戶資料外洩事故,年初先後有3間旅行社的電腦系統懷疑遭黑客入侵,超過30萬名消費者的個人資料外洩;9月,香港寛頻公布,一個已停用的資料庫遭黑客入侵,38萬名客戶資料懷疑外洩;10月,國泰航空公布940萬名客戶資料外洩,所涉人數及資料之多,令全城嘩然。

這些事件暴露了目前本港法例對個人私隱的保障明顯不足,企業處理資料外洩的手法與社會的期望也存在巨大落差,在在打擊消費者的信心,種種問題已不容政府和企業忽視。

以國泰事件為例,早在3月,公司已發現系統有可疑活動,至5月初確認資料外洩,發現大量客戶的個人資料包括姓名、信用卡號碼、身份證號碼、護照號碼等,曾被不當閱覽。然而,該公司延至10月底才對外公布事件,事隔半年,期間並沒有向個人資料私隱專員公署通報事件,遑論報警求助。如此處理事件,不僅錯失調查事件的「黃金時間」,受影響消費者更被蒙在鼓裡,未能及早防範,隨時招致更多損失。

根據《個人資料(私隱)條例》,機構須採取所有切實可行的步驟,確保所持有的個人資料受到保障,不會在未獲准許或意外的情況下,被查閱、處理、刪除、遺失或使用。私隱條例亦清晰說明,一旦發現資料外洩,黑客須負上刑責,但並沒有規定企業必須向私隱專員公署或受影響市民通報;私隱專員公署發出的「資料外洩事故的處理及通報指引」,亦只建議機構通報,及妥善處理有關事故。

本港在保障個人私隱的法規上,明顯比較寬鬆,其實早於2007年,私隱專員公署已提交修例建議,當中包括強制機構一旦發生個人資料外洩事件,須向公署及受影響人士通報,但建議最終被否決,原因是為免對機構造成沉重負擔,並建議政府先審慎推行自願通報機制。

在同類法例中,今年5月生效的歐盟《通用數據保障條例》(General Data Protection Regulation)最嚴厲。條例規定,機構須於72小時內向監管機構通報資料外洩事故。如事故對資料當事人的權益構成高度風險,更須通知當事人。一旦違規,罰款可高達2,000萬歐元或全球年度總營業額的4%。任何處理個人資料的機構,如在歐盟設立公司,或跟擁有歐盟國籍的人士有生意往來,都必須遵守有關條例。條例大大提升對個人私隱的保障,並體現企業掌握具商業價值的用戶資料的同時,須承擔保護資料的法律責任。

數碼發展趨勢不能逆轉,互聯網已佔據生活每個細節,無論消費、娛樂、日常溝通或商業活動,重要資料如雲端儲存的相片、通訊錄等,都可能在過程中授權企業收集和使用。以電召的士App為例,下載過程中,就需要提供大量個人資料例如姓名、年齡、身份證號碼、工作及收入,部分App甚至要求控制用戶手機的權限。消費者有必要提高戒心,慎選服務。在數碼消費的環境下,消費者想確保資料不外洩,自我保護的能力十分有限,在目前的法例框架下,一旦企業發生資料外洩事件,消費者更是求助無門。

有危必有機,僅僅一年內便發生多宗事故,為個人私隱的保障敲響警號,有必要馬上採取行動,檢視法例和加強對公眾的保障。政府在事故發生後已宣布會採取行動,本會期望《個人資料(私隱)條例》能早日更新,加強保障,例如引入強制通報機制及違規的罰則,以防止同類事故再次發生。