改变即将来临:《个人资料(私隐)条例》修订建议的最新动态

284月2020

2018年涉及国泰航空有限公司(国泰航空)和环联资讯有限公司(环联)的两宗重大个人资料泄露事件正在推动香港迟迟未进行的个人资料隐私保护的立法改革。2020年1月20日,政制及内地事务局与香港私隐专员公署合作撰写建议修改相关法律的检讨报告,这咨询阶段是将推动立法改革的第一步。泰德威律师事务所个人资料私隐及网络安全事务组Pádraig Walsh对检讨报告中建议的修订进行了审阅和评估。

建议的修订是什么?

检讨报告內有六项关键的提议:

  1. 建立强制性个人资料外泄通报机制;必须在5个工作日内向私隐专员公署报告任何存在确实重大损害的资料外泄风险。
     
  2. 要求资料使用者采用管理资料保留的书面政策,资料使用者根据其持有不同类别的个人资料订立指定资料保留时限。
     
  3. 赋予私隐专员公署行政处罚权。
     
  4. 将个人资料处理程序置于私隐专员公署的直接监管之下,以便对个人资料处理程序的保留和安全性作直接负责。
     
  5. 扩大「个人资料」的定义,使其能包含在网络上追踪「可识辨身分」的资料。
     
  6. 授予私隐专员公署权力要求在线媒体删除人肉搜索内容, 以及额外的调查和起诉权。

哪些是动议中的正面提议?

全部提议都是正面的。自上一次香港私隐条例改革后,世界已经发生了变化。于2012年,主要被受关注的问题是收集个人资料以及过时的使用和处理个人资料的方式。从那时起,大数据、人工智能和相关技术的快速发展带来了新的隐私风险,而目前的框架并不足以应对这些风险。

1997年香港推出保护个人资料时,香港是走在前列的。然而,法例并没有与时并进。具体而言,欧洲联盟(欧盟)《通用数据保障条例》在保障个人资料方面创造了新的黄金标准。现在的个人资料只要可移动就有其价值和意义。考虑到个人资料使用的全球性,如想达到全球商贸领域的国际标准,必须趋近通用个人资料保障条例标准,而香港需要迎头赶上。

全部六项提议都已滞后了。香港没有强制性通报机制这个致命问题已持续了一段时间。国泰航空资料外泄事件首次于2018年3月13日被发现为一个值得注意的问题,但最终于2018年10月24日才首次通知私隐专员公署。由于香港法例下没有任何的强制性通报要求,那通知只是自发的。

由于私隐专员公署缺乏真正的罚款和强制执行权力,因此常常被误以为是一个较弱的监管机构。在国泰航空调查报告发布后一个月内,英国资讯专员办公室拟根据欧盟《通用数据保障条例》对英国航空公司(英国航空)进行罚款。下面的这个对比非常明显,国泰航空被发出强制执行通知但未被处以罚款(因为私隐专员公署不具备该项权力),英国航空收到通知其可能会被罚款1.83亿英镑。处罚权力不是万能的,但它是框架的一个关键部分,而香港却沒有这权力。

其他的提议则反映了我们现在生活的数码世界的变化。网络安全事件不仅仅是庞大政府和大型企业的事,这也是所有人要面对的风险。个人资料保存的时间越长,泄露的风险越大,造成的伤害也就越大。要求使用资料使用者遵守有指定个人资料保存期此承诺是基本原则, 意思是个人资料的保存期不会超过实际使用个人资料所需的时间。此外,在过去,将工作外包给个人资料处理器是不常见的,而现在已成为常态。

个人资料定义的延伸是件有趣的事,这意味着不能直接识别具姓名人士但仍然可以帮助辨认身份的个人资料将会受到保护。这将席卷到监管网络在线和设备标识符,如互联网协议(IP)地址、信息记录程序 (cookies)、设备ID、位置数据、用户名称和匿名数据,这是我们活于被监视的资本主义世界里真正必要的。

上述提议是对香港最近发生的个人资料泄露事件、全球监管发展,以及我们目前数码世界的变化的良好回应。

是否还有更好的提议?

尽管上述提议是的正面的。隐私权倡导者将会希望变得更好。

以下是一些可以纳入立法改革,但现在并未被考虑的要点:

  1. 引入特定类别的个人敏感资料(如种族、民族、性别、政见、宗教、生理健康、生物识别特征等), 具有更高级别的保护和法规。
     
  2. 引入具体规定监察儿童个人资料。
     
  3. 赋予个人资料主体在特定情况下要求永久删除其个人资料的权利。
     
  4. 赋予个人资料主体接收其提供给资料使用者的个人资料,并将个人资料传送给另一数据用户的权利(换言之,资料可携权)。
     
  5. 对个人资料转移至香港以外地区实施监管的承诺时间表(第33条)。
     
  6. 在所有情况下(有限的例外情况除外)而不是在现行基于信息的制度下(除直接营销外),要求同意收集个人资料。

毫无疑问,仍然还有很多方面可以去下功夫,但或许香港独特的经济文化并未能使其成为全球所有标准中的最高标准。香港一向兼顾社会规范和经济自由。在香港,对于诸如个人资料的社会立法方面,香港做了很多但不是最多的现象并不罕见。

企业现在应该怎么做?

企业起码需要制定、审查和改进个人资料保留政策。广告技术或以其他方式使用类似个人资料跟踪手段的企业需要开始考虑升级为规范个人信息的范围。这促使业界特别关注网络安全,及对其IT使用、保留和安全的内部控制和流程作全面审视。

开始准备吧,改变即将来临。

如欲对文章中提到的任何问题进行探讨,请联络合伙人Pádraig Walsh或合伙人梁志深

免责声明:本文章非常概括,不能成为法律意见。您在采取文中提及的任何行动前,请寻求专业意见。