私隱外洩響警號 填補漏洞不能拖
梁美芬 全國人大代表 香港基本法委員會委員 立法會議員
近期,政府部門接連爆出涉及大量市民及員工私隱的數據洩露事件,嚴重程度令人擔憂。政府應迅速採取行動,制定更嚴格的數據保護機制和處罰措施,以確保《個人資料(私隱)條例》能夠應對現代科技的挑戰。在公營服務增加後備用的資訊科技系統、大型基建工程系統失靈的預警機制,應實施更嚴格的數據訪問控制,以及定期進行安全審計,開發更安全的數據處理和儲存技術,推動私營部門和學術界合作,研究新的數據保護方法和工具。
擴大法律涵蓋面
香港洩露私隱的事件接二連三發生。早在2009年,八達通將240萬名客戶的資料轉售給其他公司;2017年,又發生選舉事務處遺失載有全港378萬名地方選區選民個人資料的手提電腦的事件;2018年,國泰航空公司又發生洩露940萬名乘客個人資料事件;2024年4月,機電署及公司註冊處洩露私隱,之後在5月3日,消防處又發現其一電腦系統存在潛在資料外洩風險,涉及數據包括去年颱風「蘇拉」期間約480名市民的報案資料,以及約5,000名消防處員工的個人信息,包括姓名、電話號碼、職級與編號及駐守崗位等,其中甚至包括960名員工的不完整身份證號碼。
今年4月19日,公司註冊處首次揭露了其電子服務網站存在個人資料外洩的風險。調查結果顯示,有約11萬人的個人資料受到影響,這些資料包括姓名、完整的護照號碼、身份證號碼、通常住址、電話號碼以及電郵地址。更令人擔憂的是,公司註冊處未能及時通知公眾和受影響者。他們未有交代何時發現網站有資料外洩風險,也沒有交代何時發現有11萬人受影響。事件損害了公眾對政府部門能夠保護其個人資料的信任,也為社會以及國家安全響起警號。
基於社會對一系列嚴重的個人資料洩露事件的關注與擔憂,筆者曾於2019年5月22日在立法會提出題為「追上科技發展,加強保障市民私隱」的議案,指出本港現時保障個人私隱的法例不全面,特別是沒有針對性規管以網絡儲存個人私隱資料的法例,導致本港多次發生大規模個人私隱資料外洩的嚴重事故。為了引起大眾對未來科技將會造成人類私隱重大威脅的重視,筆者更自費拍攝微電影《走入2036》,呼籲加強規管人工智能。
現行《個人資料(私隱)條例》1996年生效,隨着互聯網、社交媒體、大數據、人工智能等科技發展一日千里所帶來的私隱風險及歐盟《通用數據保障條例》生效,相較之下,香港現行的《個人資料(私隱)條例》明顯需要更新。這不僅是一個法律問題,更是一個社會問題,因為這涉及市民的隱私權和數據安全,以及使用人工智能的道德問題。
加強保護數據傳輸
私隱洩露的事件反覆出現,揭示政府在數據保護方面比較薄弱,尤其是在內部控制和技術安全措施的落實上顯得不足。在數據化時代,資料安全應成為政府部門最優先考慮的議題之一,這不僅是因為保護市民資料的法律責任,更因為這直接關係到公眾對政府的信任。
有別於本港的法例,歐盟的《通用數據保障條例》列明,數據主體有權知道其個人資料被收集、處理和使用的具體情況;對於數據洩露的處罰和補救措施,條例可以對違反規定的企業處以高達其全球年營業額4%的罰款,這對企業是一個強而有力的威懾。在數據化時代,跨境數據傳輸頻繁,在跨境傳輸保護方面,如何確保個人資料在傳輸過程中得到適當的保護以及如何保護數據刪除權(又被稱為「被遺忘的權利」)等,也是政府需要進一步明確和加強的環節。這不僅是對國際標準的遵循,更是對香港市民隱私權的一種負責任的保護。
