立法会四题:保护个人资料 |
以下为今日(五月二十一日)在立法会会议上余若薇议员的提问和政制及內地事务局局长林瑞麟的口头答覆: 问题: 近日有多个政府部门、法定机构及商业机构遗失载有个人资料的设备和装置,有传媒形容该等事件为「私隱灾难」。就此,政府可否告知本会: (一) 除了发出关於资讯保安的內部程序通告或指引外,政府还有甚么补救措施;是否知悉,有关的法定机构及商业机构採取了甚么补救措施,包括有没有通知受影响的市民;如果有,详情是甚么;如果没有,原因是甚么; (二) 市民遇到政府部门、法定机构或商业机构疏忽处理他们的个人资料时,可以循甚么途径作出投诉及申索;及 (三) 鉴於这次「私隱灾难」,政府会不会考虑修订法例,以扩大个人资料私隱专员(私隱专员)的权力,以及会不会考虑就政府档案的管理事宜立法,以清楚界定各政府部门处理个人资料时的权限,从而加强保障市民的私隱;如果会修订法例,时间表是甚么;如果不会,原因是甚么? 答覆: 主席女士: (一) 在数宗涉及政府部门的资料外泄事件发生后,政府已即时发出內部资讯保安程序通告及指引,要求各政府人员切实遵行。为了加强管理个人资料的处理以及使用便携式电子储存装置的保安措施,各部门將会尽用应用软件所提供的相关保安功能和採用可支援资料保护的储存装置,例如设有密码、加密、生物特徵(例如指纹)等功能的產品。员工如有需要把资料存入便携式储存装置,必须先取得上级的许可和將资料適当地加密,使用后亦要尽快刪除。此外,员工不可以把个人资料存入私人的装置或电脑。 政府会加强与公务员的沟通,以提高他们对保安规例的认知,並提醒他们须遵守有关规例。政府资讯科技总监办公室、保安局和公务员事务局,將制定有关计划,並於未来数月与部门资讯科技保安主任、各政策局及部门合作推行。政府会加强审视政策局和部门执行有关使用便携式储存装置规定的情况。另外,亦会因应近期事故的调查结果,检討资讯科技保安政策、保安规例和工作守则。 涉及资料外泄的有关部门及法定机构,已个別採取了相应的补救措施,包括检討部门的资讯保安程序,发出內部指引,以加强员工的资料保障意识,通知受影响人士、个人资料私隱专员公署(私隱专员公署)或警方等。有关详情请参阅附件。 根据我们了解,涉及资料外泄的银行已在五月七日作出声明,表示正联络受事件影响的账户持有人。 (二) 市民若怀疑政府部门、法定机构或商业机构疏忽处理他们的个人资料,可向私隱专员公署作出投诉。私隱专员於完成调查后,若发现资料使用者正在违反《个人资料(私隱)条例》(《私隱条例》)的规定,或已违反条例的规定,而违反情况有相当可能持续或重复发生,私隱专员可向有关的资料使用者发出执行通知,指令採取步骤纠正违反的行为或作为。若资料使用者不遵从执行通知,则属刑事罪行,一经定罪,可被处第五级罚款(最高罚款为五万元)及监禁两年,若属持续罪行,可被处每日罚款一千元。 此外,资料当事人若因资料使用者违反《私隱条例》的规定而蒙受损害,可根据条例第66条,提出民事索偿,追討损失。 (三) 《私隱条例》第36条赋与私隱专员权力,视察资料使用者的个人资料系统,並作出建议,促使资料使用者遵守《私隱条例》的条文。私隱专员亦可行使条例第38条的权力,主动调查有关资料使用者,或在接到投诉后作出调查,以確定有否违反《私隱条例》的情况。条例亦赋权私隱专员进入处所视察或调查、搜集证据。私隱专员可向有关资料使用者发出执行通知,指令採取步骤纠正违规行为。就近日数宗个人资料外泄事件而言,私隱专员已行使《私隱条例》赋予的法定权力,展开调查及视察等跟进工作。我们认为《私隱条例》已赋予私隱专员適当权力,有效跟进个人资料外泄事件。 我们正联同私隱专员检討《私隱条例》,在检討时我们会研究在资料的收集、持有、处理及使用方面如何能进一步加强保障个人资料私隱。 现时《私隱条例》对政府具约束力,政府部门处理涉及个人资料的档案,亦须按条例规定办事。我们认为目前並无需要立法规管政府档案管理。 完 2008年5月21日(星期三) |