國泰客戶個人資料外洩要等「自爆」 議員促訂立強制通報
國泰航空疑因管理個人資料不善,導致940萬乘客資料外洩,包括信用卡、身份證和護照號碼等敏感資料,而國泰3月時已發現資料可能被接觸過、5月初證實事件,但延至昨日(10月24日)才公布,不過否認隱瞞。
現行《個人資料(私隱)條例》(下稱《條例》)並無規定企業在個人資料外洩事故後必須通報,而是自願性質,因此可算「無牙老虎」,很多時要企業「良心發現」,公眾才會知曉事件。
有立法會議員指出,現時企業管理的個人資料愈來愈多,今次國泰外洩資料規模極大,性質嚴重,認為政府應更進一步,強制這類嚴重事故必須在指定時間內通報。
政府2009年檢討政策 諮詢意見:先訂自願通報
《條例》自1996年生效至今,隨着互聯網愈趨普及,企業掌握市民的個人資料不斷增多。十多年前起,由於經常有市民發現有個人資料被企業拿作直接促銷用途,甚至無故被轉交第三方,公眾廣泛關注個人資料安全問題。
政府在2009年就《條例》展開檢討,並進行公眾諮詢,當時其中一個討論點,正是「應否訂立機制,以規定個人資料外洩或遺失時,資料使用者須通知私隱專員及受事故影響的人士,以減低受影響人士因此而導致的損失」。
根據當時的公眾諮詢報告,已有部分人士提出,自願機制並無足夠誘因促使資料保管人通報事件,因為他們往往可能害怕形象受損,不肯通報。亦有部分人提出,可以只限定當外洩的資料涉及財務和醫學等可能造成重大損失的資料時,才作強制通報。
然而,當時的總體意見傾向先設自願性的通報機制。主要的理由是,當時通報機制仍未成熟,未有清晰及客觀的通報標準,而過多通報亦可能減低大眾對個人資料外洩的警覺性。最終,個人資料私隱專員公署採納了自願通報機制,延續至今。私隱專員在2010年6月發出《資料外洩事故的處理及通報指引》,建議資料使用者「在發生事故後盡快通報」,如果未能即時辨識資料當事人身份或涉及公眾利益,「較有效做法」為公開通報。
指引無約束力 若非國泰「自爆」公眾難以知曉
不過指引並無約束力,只屬鼓勵性質,因此像國泰航空般,3月就初步懷疑資料外洩,5月內部證實,但到10月才公開事件,相隔達七個月。公眾要知悉事件,一般只有兩種可能:一是像今次般國泰「自爆」,二是有資料當事人自行發現資料被用作不當用途,並再深入追查。
前年6月,立法會保險界議員陳健波向政府提問,當局有否打算將通報訂為強制性的法律責任。當時署理政制及內地事務局局長陳岳鵬的回覆是,目前只有少數地區有強制要求有關資料使用者向負責私隱或資料保障的機構作通報,其中一些司法管轄區的通報要求,只適用於個別指定的行業或界別。
政府亦以2009年的諮詢結果作為「擋箭牌」,指大部分收到的意見也認為自願性的通報機制較為可取,只答允「會繼續留意相關發展」,但至今沒有相關進展。
陳健波:企業有責任保護資料 設強制通報非常合理
陳健波接受《香港01》記者查詢時表示,就他所知,政府現時未就個人私隱保障問題有重大政策立場改動。但他提到,現時企業得到的個人資料愈來愈多,資訊科技不斷發展之下,這些資料非常容易成為黑客攻擊目標,今次足足940萬乘客資料受影響,規模可說極大。
他指出,規定企業通報外洩事故,可讓客戶及早提高警覺,減少損害。因此強制通報事故,他在原則上會支持,至於細節例如限定的通報時間、罰則等等,陳健波建議參考國際做法,取一個平均水平。
不過強制通報個人資料外洩事故,以至加強罰則,可能牽涉龐大的商界利益,那商界是否對於強制通報存在強烈反對聲音?陳健波指出,暫時未聽聞有哪些業界人士表達強烈反對意見,但他認為企業保存客戶個人資料,本身有一定的保護責任,難以找出有力原因反對強制通報。