新闻公报

立法会十九题:《个人资料(私隱)条例》第33条的实施

  以下是今日(四月二十九日)在立法会会议上梁继昌议员的提问和政制及內地事务局局长谭志源的书面答覆:

问题:

  《个人资料(私隱)条例》(第486章)於一九九五年制定,但当中的第33条尚未实施。该条文就移转个人资料至香港以外地方的行为作出规管。就此,政府可否告知本会:

(一)鑑於第486章制定至今已二十年,为何政府仍未实施当中的第33条;政府计划在何时实施该条文;

(二)现时有何措施规管移转个人资料至香港以外地方的行为,以及保护有关的个人资料;及

(三)当局及个人资料私隱专员公署有否评估及研究现时个人资料被移转至香港以外地方的情况(包括移转的目的、模式和规模、保障措施,以及所涉个人资料的种类和敏感度);如有,详情为何?

答覆:

主席:

(一)实施《个人资料(私隱)条例》(《私隱条例》)第33条会对不同界別的跨境资料移转活动施以比现时严厉的规管,需要多方面的准备。政府正与个人资料私隱专员公署(公署)密切跟进有关工作,包括聘请顾问研究资料使用者为符合该条文的要求而须採取的措施、探討其他司法管辖区在遵规和执法方面的相关做法、研究实施细节(例如检討指明地方名单的安排)等。有关准备工作旨在確保实施该条文所需的配套已经具备。政府亦会密切留意业界自愿遵守公署发出的《保障个人资料:跨境资料转移指引》的实际情况及相关意见。当所有准备工作完成后,政府会考虑为条文订定生效日期。

(二)儘管《私隱条例》第33条尚未实施,资料使用者跨境移转个人资料的活动,包括资料使用者本身或获其授权的人士在境外持有、处理或使用被移转的个人资料,亦受《私隱条例》其他条文规管。

  根据《私隱条例》下的保障资料第3原则,移转个人资料的目的须与原来收集有关资料时的目的相同或直接有关,或得到资料当事人的同意,才可將资料移转至香港以外地方。若资料使用者把个人资料移转至外地获其授权的人士从事任何活动(例如资料处理),根据《私隱条例》第65(2)条,获授权人士的作为亦被视为资料使用者作出,受《私隱条例》规管。

  如资料使用者將个人资料交由资料处理者在香港境外代为处理,根据保障资料第2(3)原则及保障资料第4(2)原则,该资料使用者须採取合约规范方法或其他方法以防止移转予该资料处理者的个人资料(i)被保存超过处理该资料所需的时间,或(ii)受未获准许或意外的查阅、处理、刪除、丧失或使用所影响。

(三)根据公署的评估,隨着科技进步及机构的业务模式和行事方式改变,国际间的电子资料移转规模越来越大,数据化的个人资料移转已相当普遍,而且跨境数据流动的模式也多样化,例如有些机构透过云端运算技术把数据分散存放在不同的司法管辖区,有些则把处理资料的工序外判给世界各地的承办商。

  上文第(一)部份提及政府將聘请顾问为实施《私隱条例》第33条所需的配套作评估研究,包括研究资料使用者现时进行跨境个人资料移转的实际情况。

2015年4月29日(星期三)