企业保障客户个人资料意识不足 倡私隐条例引入强制通报机制

2018年11月15日 年月日
《选择》月刊
505
转发
电邮此页面

企业保障客户个人资料意识不足   倡私隐条例引入强制通报机制

近年本港频频发生客户资料外洩事故,年初先后有3间旅行社的电脑系统怀疑遭黑客入侵,超过30万名消费者的个人资料外洩;9月,香港寛频公布,一个已停用的资料库遭黑客入侵,38万名客户资料怀疑外洩;10月,国泰航空公布940万名客户资料外洩,所涉人数及资料之多,令全城哗然。

这些事件暴露了目前本港法例对个人私隐的保障明显不足,企业处理资料外洩的手法与社会的期望也存在巨大落差,在在打击消费者的信心,种种问题已不容政府和企业忽视。

以国泰事件为例,早在3月,公司已发现系统有可疑活动,至5月初确认资料外洩,发现大量客户的个人资料包括姓名、信用卡号码、身份证号码、护照号码等,曾被不当阅览。然而,该公司延至10月底才对外公布事件,事隔半年,期间并没有向个人资料私隐专员公署通报事件,遑论报警求助。如此处理事件,不仅错失调查事件的「黄金时间」,受影响消费者更被蒙在鼓里,未能及早防範,随时招致更多损失。

根据《个人资料(私隐)条例》,机构须採取所有切实可行的步骤,确保所持有的个人资料受到保障,不会在未获准许或意外的情况下,被查阅、处理、删除、遗失或使用。私隐条例亦清晰说明,一旦发现资料外洩,黑客须负上刑责,但并没有规定企业必须向私隐专员公署或受影响市民通报;私隐专员公署发出的「资料外洩事故的处理及通报指引」,亦只建议机构通报,及妥善处理有关事故。

本港在保障个人私隐的法规上,明显比较宽鬆,其实早于2007年,私隐专员公署已提交修例建议,当中包括强制机构一旦发生个人资料外洩事件,须向公署及受影响人士通报,但建议最终被否决,原因是为免对机构造成沉重负担,并建议政府先审慎推行自愿通报机制。

在同类法例中,今年5月生效的欧盟《通用数据保障条例》(General Data Protection Regulation)最严厉。条例规定,机构须于72小时内向监管机构通报资料外洩事故。如事故对资料当事人的权益构成高度风险,更须通知当事人。一旦违规,罚款可高达2,000万欧元或全球年度总营业额的4%。任何处理个人资料的机构,如在欧盟设立公司,或跟拥有欧盟国籍的人士有生意往来,都必须遵守有关条例。条例大大提升对个人私隐的保障,并体现企业掌握具商业价值的用户资料的同时,须承担保护资料的法律责任。

数码发展趋势不能逆转,互联网已占据生活每个细节,无论消费、娱乐、日常沟通或商业活动,重要资料如云端储存的相片、通讯录等,都可能在过程中授权企业收集和使用。以电召的士App为例,下载过程中,就需要提供大量个人资料例如姓名、年龄、身份证号码、工作及收入,部分App甚至要求控制用户手机的权限。消费者有必要提高戒心,慎选服务。在数码消费的环境下,消费者想确保资料不外洩,自我保护的能力十分有限,在目前的法例框架下,一旦企业发生资料外洩事件,消费者更是求助无门。

有危必有机,仅仅一年内便发生多宗事故,为个人私隐的保障敲响警号,有必要马上採取行动,检视法例和加强对公众的保障。政府在事故发生后已宣布会採取行动,本会期望《个人资料(私隐)条例》能早日更新,加强保障,例如引入强制通报机制及违规的罚则,以防止同类事故再次发生。