是時候進步了
先是數碼港資料外洩,後有虛擬資產服務涉嫌詐騙,香港還想做國際金融中心、國際創新科技中心?或許得先承認,現在我們很多不足。
數碼港是第一任特首董建華提出的重大項目,以推動香港的創科發展,多年來獲得大量公帑支持。政府資訊科技總監辦公室的智慧政府創新實驗室,也是設立在數碼港之中。很大程度上,它應該代表着香港的創科水平。
然而,在8月中,數碼港卻發現被黑客入侵,多達400GB的資料其後被「撕票」在暗網公開。保安出現漏洞,業界形容是「嚴重疏忽」,本身研究創新科技的立法會議席吳傑莊亦認為,事件反映網絡安全意識不足。
根據目前機制,資料外洩後,有關人士應「盡快」通知資料當事人及個人資料私隱專員,惟《資料外洩事故的處理及通報指引》屬自願性質,未訂明具體時限。專員亦可向相關人士發出執行通知,違者最高可判罰款五萬元及監禁兩年。
資料外洩後,數碼港於8月18日通報個人資料私隱專員公署。向公眾交代時,數碼港行政總裁又指沒有機構可以「百毒不侵」,及暫時未發現涉及人為疏忽。這相當於說,數碼港要做的都做了,對於受害人士沒有什麼責任要負。他們的履歷、個人資料在暗網公開,也無計可施。
在現行的制度上,可能是這樣。但應不應該是這樣?眾所周知,歐盟視個人資料保障作為基本權利,制定的《通用數據保障條例》相當嚴格,不但罰款可以數以億計,亦強制規定機構及企業委任保障資料主任,負責履行問責工具(例如為資料處理活動及政策/措施作記錄、進行資料保障影響評估)。數碼港的外洩事件如果發生在《通用數據保障條例》之下,要負的責任隨時大很多。
香港政府過去曾研究修例,考慮授權私隱專員直接向嚴重違反保障資料原則的個案處以行政罰款,以及直接規管雲端服務供應商等資料處理者,後來2021年修例法案卻只集中在打擊起底行為。到今年2月,私隱專員鍾麗玲又在立法會表示打算在第二季徵詢立法會政制事務委員會意見,惟至今未見修例下文。
無獨有偶,虛擬資產交易平台JPEX事件中,證監會交代的時候多次提及以往對於交易平台沒有監管權力,修例後的職權亦未包括場外交易(OTC)等。最終,證監會可以說已經盡了力提醒社會,盡了力調查JPEX有否涉嫌違反《打擊洗錢及恐怖分子資金籌集條例》,即使客觀結果顯示,仍有不少投資者受騙。
什麼是盡了責任,視乎我們的法規如何制定、如何要求。本身是執業律師的立法會議員江玉歡近日提到,「我們的法律草擬無疑較為被動,法律的更新及草擬主要由政策局帶領⋯⋯要整個社會進步,法律是可以走在發展前面」。也不說「走在發展前面」,現在看來,政府的法規工作不要落後形勢也可能算是不錯了。