去年個人資料外洩個案激增逾倍至217宗 政府研修例加重罰則
政制及內地事務局長曾國衞指,個人資料私隱專員公署過去數年,接獲的個人資料外洩通報,及透過主動調查發現的資料外洩事件的數量相對穩定,每年約為100宗,但去年升至217宗,約10%涉及資料處理者的不當行為。他説,政府和私隱專員公署高度關注情況,採取多管齊下應對,包括研究修訂《個人資料(私隱)條例》,設立強制通報機制和加重罰則。 不過,他也指商界特別是中小企對修例有疑慮,擔心帶來經營壓力。
選委界議員簡慧敏關注每年個人資料私隱專員公署接獲多少宗由機構通報的資料外泄事故,及政府擬修訂《個人資料(私隱)條例》及《銀行業條例》,旨在容許認可機構為防範及偵測金融罪案而交換客户、帳户及交易的信息的進展。
曾國衞稱,公署已加強執法工作,一旦確認相關的資料外洩事件涉及違反私隱條例下的數據安全原則,私隱專員將視乎情況向相關資料使用者發出建議信或警告信,甚至向機構發出執行通知,指示其採取適當的補救措施以防止類似情況再發生,如機構未有按執行通知落實相關措施,最高可被罰款5萬元及監禁兩年。
至於研究修訂《個人資料(私隱)條例》,曾國衞表示,公署早前已就條例進行全面檢討,提出初步修訂建議,包括設立強制性個人資料外洩通報機制;直接規管資料處理者;要求資料使用者制定個人資料保存期限政策;加強罰則及授權個人資料私隱專員可裁定行政罰款;澄清個人資料的定義等。
不過,他也指出,商界特別是中小企表達疑慮,擔心在當前經濟情況下,修例加重罰則會對中小企帶來壓力,政府理解業界關注,正研究調整修例建議,例如分階段實施,及釐定行政罰款金額在可接受水平,同時不失阻嚇性,以減少對商界的可能影響。 他説,完成研究後會盡快提出具體修例建議,並諮詢立法會。而私隱專員公署會繼續提升機構保護個人資料的意識,減低個人資料外洩的風險,包括推出數據安全一站式主題網頁,並推熱線接受業界查詢。
