全面保障私隱 提升企業競爭力

數碼港電腦系統去年遭黑客入侵，導致大量個人資料外洩。個人資料私隱專員公署昨公布調查報告，裁定數碼港違反私隱條例規定，要求數碼港作出糾正。本港洩露私隱事件層出不窮，連擁有豐富資源、最應保障私隱的大機構亦不能倖免，反映本港在立法和執行層面落伍於時代，不足以令企業、機構充分重視保障數據安全、市民私隱，滯礙數字經濟發展。政府必須與時俱進修例，加強本港對個人私隱、數據安全的保護，企業更應將保障私隱作為保持核心競爭力、履行良好企業管治的重要責任，建立健全企業保障私隱機制，贏得客戶、社會的信任和支持。

針對數碼港資料外洩，私隱專員公署指事件涉及五大缺失，包括無法有效偵測黑客入侵等，裁定數碼港違反私隱條例規定，已向數碼港送達執行通知，指示在兩個月內糾正，若再次違規將構成刑事罪行。受事件影響的人士如何追討損失，備受關注。公署表示，私隱條例有相關說明規定，如資料當事人因機構違規而蒙受損失，可提出民事索償，但一切需視乎有無足夠證據，如當事人有任何查詢或需要協助，可聯絡公署跟進。這再度凸顯本港保障私隱的不足和無奈之處。

私隱條例及私隱專員公署一向被形容為「無牙老虎」，公署僅有權調查而無權檢控，亦沒權代表市民向涉事機構採取法律行動、爭取補償；出事企業或機構在限期內糾正，短期內不會重犯，相關罰則極難執行，更遑論受刑事追究；私隱條例對初次違規最高罰款只是5萬元及監禁2年，再犯的最高罰款亦不過10萬元及監禁2年，對收入龐大的大企業而言，處罰成本太輕，難以構成阻嚇力。在欠缺法律阻嚇的情況下，本港私隱外洩事件層出不窮，數碼港、國泰航空、消委會等掌握海量個人資料、最應把數據安全做到滴水不漏的機構，紛紛發生用戶資料外洩事件，動搖市民對本港保障私隱的信心。

進入數據時代，保障數據安全是大勢所趨，內地、歐美都收緊法例、加重處罰。內地《個人信息保護法》規定，違例者可處人民幣100萬元以下罰款，情節嚴重的可處人民幣5,000萬元以下，或上一年度營業額5%以下罰款；歐盟的《通用資料保護規則》規定分兩級罰款，次級最高罰款1,000萬歐元或對上一年全球營業額的2%；高級最高罰款2,000萬歐元或對上一年全球營業額的4%，以較高者為準。亞馬遜、Facebook、WhatsApp等網絡巨企都曾被歐美當局重罰，罰款額數以億計。

2021年，本港立法會三讀通過《2021年個人資料（私隱）（修訂）條例草案》，旨在打擊「起底」行為，賦權私隱專員進行刑事調查和檢控，並可強制將「起底」內容移除。修改私隱條例，防範私隱外洩，同樣必要迫切。多任私隱專員都表示過有必要修例，修例工作不能再議而不決，必須從法例上增加私隱專員公署的「牙力」，才能更有效保障本港個人私隱。

數碼科技已成為企業發展、經濟增長的最重要動力，個人資料是企業最寶貴的資產和核心競爭力，對個人資料保障的重視，直接影響客戶對企業的信心和信任，企業的競爭優勢亦受到影響。依法保障個人資料只是企業良好管治的基本要求，要贏得客戶、業務夥伴的忠實支持，不斷鞏固競爭優勢，企業需要從最高管理層做起，由上而下培養尊重私隱的文化，展現保障個人私隱的決心。

企業應設立保障私隱的專責部門，監督遵從私隱條例的規定行事，建立內部匯報機制、問責機制，有清晰架構及程序防範風險、應對突發事件，恪守保障私隱的企業操守，從而營造全社會重視保障私隱的風氣，創造企業、客戶和社會共贏局面。