私隱條例應修改：強制機構通報資料外洩事件

　　最近全城哄動的一宗大新聞就是國泰航空公司九百多萬的客戶個人資料於今年三月外洩，直至相隔七個月後該公司才在上星期通知個別受影響的客戶。

　　資料外洩的事件可說是無日無之，一般市民對這些事故已經可能有點麻木，國泰航空公司這一個案，類似2010 年的「八達通」事件，因為牽連甚廣，所以才再次喚起大家對私隱保障的關注。

　　很多機構對這方面的關注，似乎仍然停留在一個愛理不理的階段，它們傾向保持一僥倖的心態，不會主動建立和維持一套完整的私隱保障管理系統，當它們被投訴或違規事件曝光之後才採取補救的措施。

　　個人資料私隱專員公署，多年來在促進機構及市民對個人資料私隱條例的認識以及遵守，都可說是不遺餘力；但宣傳及教育工作涉及潛移默化，是需要長年累月的努力才可收到成效的。

　　既然遠水不能救近火，我們便需要積極考慮修改現時的私隱條例，以增強其阻嚇力。私隱條例是於1996生效，是亞洲地區最早出現的保障私隱法例，當時是香港保護人權的一項劃時代壯舉。該條例其後於2012 及2013 年亦作出大幅度的修訂以加強私隱保障。

　　但回想起來，修訂後的私隱條例仍然未足夠抗衡日益嚴重的私隱保障問題，最近的國泰航空事故可見一斑。當年公署向政府提出的條例修訂建議但未被採納的有多項，其中適用於資料外洩的建議包括：

　　1.  強制機構向公署以及受影響的客戶適時地通報資料外洩事件；

　　2.  公署可向違規者罰款及指令違規者向受屈人士作出補償；

　　3.  資料當事人可向使用資料的機構要求述明資料的來源。

　　第一及第二項建議的意義顯而易見。第三項的重要性也不可忽略。現時國泰航空公司的公布強調沒有證據顯示外洩的資料曾被濫用，其實是無意義的。即使我們的身份不幸被盜用是因為這外洩事件，我們在沒有追溯資料源頭的權利下亦無從確立資料外洩及身份被盜用的因果闗係。

　　無論如何，現時私隠條例所提供的資料保障水平，由以前的領先地位，變為已經遠遠落後於很多其他國家，是值得重新檢討的。

　　法例是一紙公文，有效與否有賴執法者的取態。公署已公布會向國泰航空公司開展「循規審查」，這跟進模式是近年公署對已曝光的私隱侵犯事件慣常地應用的，公署檢視有闗機構的資訊保障系統後，會向該機構提出改善建議，跟著便銷案，而無須裁決該機構有否違規；事件的詳細始末也不一定公開交代。這種寬鬆的處理方法談不上是嚴謹的執法。

　　不可不知，私隠條例一向都賦予公署一定的執法權力，包括針對懷疑違規的機構主動作「調查」，若確認違規屬實，公署可向違規者發出執行通知，指令它採取措施糾正違規行為及防止這些行為再發生。機構違反執行通知，即屬犯罪。再者，2012年私隱條例的修定亦提昇了公署在這執法方面的力度。

　　總括而言，「調查」比「循規審查」具阻嚇力，若將調查報告公開更可對其他機構以儆效尤，增加公眾及傳媒監察之效。但過往三年，公署主動「調查」及發出執行通知的宗數銳減，而其中只有一宗曾發表調查報告。

*摘錄自2018年11月3日《香港家書》: http://www.rthk.hk/radio/radio1/programme/hkletter/episode/535824