香港加强保障市民私隐 将从四个方向研究规管条例

来源: 紫荆网 
香港加强保障市民私隐 将从四个方向研究规管条例

[导读]紫荆网5月23日香港报道:香港特区政府政制及内地事务局局长聂德权日前透露,特区政府高度重视个人资料私隐的保障,保障私隐需要与时并进。

紫荆网5月23日香港报道:香港特区政府政制及内地事务局局长聂德权日前透露,特区政府高度重视个人资料私隐的保障,保障私隐需要与时并进。该局正联同个人资料私隐专员公署检讨《个人资料(私隐)条例》,将从四个方向展开研究,在保障个人私隐、让信息自由流通,和确保商业运作空间等取得平衡。

聂德权透露,首先,有关研究将就设立强制性个人资料外泄通报机制方面,有关机制会要求涉事机构向私隐专员通报数据外泄事故,此举可以确保私隐专员得以监察该等机构处理事故的做法,而该等机构亦可向私隐专员寻求指示作跟进。需要考虑的课题包括通报的门坎,即机构遇到什么类型和规模的数据外泄事故才需要通报公署和数据当事人,而向两者作出通报的门坎又应否一样,以及通报时限。此外,通报的详细内容和方式,如个别通知、发出或刊登集体通知等选项,均需仔细研究。

其次,在数据保留时限方面,保存数据时间越长,外泄的风险以及造成的影响当然亦会相应增加。考虑到不同机构的服务性质和独特需要,硬性设立划一的数据保留期限可能未必合适。因此,考虑方向是要求数据用户设立一套清晰的个人资料保留政策,包括订立其最长保留期限,并于收集个人资料时清晰告知资料当事人。就此,预期机构的个人资料保留政策需要包括不同类别数据的保留期限、影响数据保留期限的法律要求、保留期限的计算准则、确保政策妥善执行的措施等,这些数据均需有效向数据当事人解释,并贯彻执行。

第三,就严重违反保障资料原则处以罚款方面,研究方向是授权私隐专员就严重违反保障数据原则的个案直接处以行政罚款。行政罚款水平和金额需要详细研究,并须小心平衡阻吓力和对营商和合规成本的影响。同时,亦会考虑是否需要设立上诉机制,给予机构就私隐专员公署的决定上诉的机会,亦预期私隐专员公署需要推出指引,清晰列明处以罚款的考虑因素和原则,让机构可知所跟从。

第四,在直接规管数据处理者方面,目前《私隐条例》把保障个人资料的责任施加予数据用户,然后由用户以合约方式,确保数据处理者或分判商采取措施确保个人资料安全。然而,随着科技发展,把个人资料处理工作分判予包括云端服务供货商的第三者进行处理的做法日益普遍,令个人资料外泄的风险增加。目前的研究方向是直接向数据处理者或分判商施加法律责任,例如要求数据处理者为个人资料的保留及其保安直接负责,数据处理者有责任于出现数据外泄事故,包括怀疑外泄事故时,向私隐专员公署和受影响数据当事人作出通报。

聂德权表示,政制及内地事务局及私隐专员公署在研究以上的修例方向时会参考不同司法管辖区的相关法例,包括欧盟的《通用数据保障条例》,以及加拿大、新加坡、澳洲、新西兰等地的个人私隐保障法例。我们亦会结合香港的实际情况,提出切合香港环境的建议,修订和完善《私隐条例》。

责任编辑:李梦怡