最近全城哄动的一宗大新闻就是国泰航空公司九百多万的客户个人资料于今年三月外泄,直至相隔七个月后该公司才在上星期通知个别受影响的客户。
资料外泄的事件可说是无日无之,一般市民对这些事故已经可能有点麻木,国泰航空公司这一个案,类似2010 年的「八达通」事件,因为牵连甚广,所以才再次唤起大家对私隐保障的关注。
很多机构对这方面的关注,似乎仍然停留在一个爱理不理的阶段,它们倾向保持一侥幸的心态,不会主动建立和维持一套完整的私隐保障管理系统,当它们被投诉或违规事件曝光之后才采取补救的措施。
个人资料私隐专员公署,多年来在促进机构及市民对个人资料私隐条例的认识以及遵守,都可说是不遗余力;但宣传及教育工作涉及潜移默化,是需要长年累月的努力才可收到成效的。
既然远水不能救近火,我们便需要积极考虑修改现时的私隐条例,以增强其阻吓力。私隐条例是于1996生效,是亚洲地区最早出现的保障私隐法例,当时是香港保护人权的一项划时代壮举。该条例其后于2012 及2013 年亦作出大幅度的修订以加强私隐保障。
但回想起来,修订后的私隐条例仍然未足够抗衡日益严重的私隐保障问题,最近的国泰航空事故可见一斑。当年公署向政府提出的条例修订建议但未被采纳的有多项,其中适用于资料外泄的建议包括:
1. 强制机构向公署以及受影响的客户适时地通报资料外泄事件;
2. 公署可向违规者罚款及指令违规者向受屈人士作出补偿;
3. 资料当事人可向使用资料的机构要求述明资料的来源。
第一及第二项建议的意义显而易见。第三项的重要性也不可忽略。现时国泰航空公司的公布强调没有证据显示外泄的资料曾被滥用,其实是无意义的。即使我们的身份不幸被盗用是因为这外泄事件,我们在没有追溯资料源头的权利下亦无从确立资料外泄及身份被盗用的因果闗系。
无论如何,现时私隠条例所提供的资料保障水平,由以前的领先地位,变为已经远远落后于很多其他国家,是值得重新检讨的。
法例是一纸公文,有效与否有赖执法者的取态。公署已公布会向国泰航空公司开展「循规审查」,这跟进模式是近年公署对已曝光的私隐侵犯事件惯常地应用的,公署检视有闗机构的资讯保障系统后,会向该机构提出改善建议,跟着便销案,而无须裁决该机构有否违规;事件的详细始末也不一定公开交代。这种宽松的处理方法谈不上是严谨的执法。
不可不知,私隠条例一向都赋予公署一定的执法权力,包括针对怀疑违规的机构主动作「调查」,若确认违规属实,公署可向违规者发出执行通知,指令它采取措施纠正违规行为及防止这些行为再发生。机构违反执行通知,即属犯罪。再者,2012年私隐条例的修定亦提升了公署在这执法方面的力度。
总括而言,「调查」比「循规审查」具阻吓力,若将调查报告公开更可对其他机构以儆效尤,增加公众及传媒监察之效。但过往三年,公署主动「调查」及发出执行通知的宗数锐减,而其中只有一宗曾发表调查报告。
*摘录自2018年11月3日《香港家书》: http://www.rthk.hk/radio/radio1/programme/hkletter/episode/535824