新聞公報

立法會十四題:個人資料被洩漏事宜

  以下是今日(二月二十日)在立法會會議上何俊仁議員的提問和政制及內地事務局局長林瑞麟的書面答覆:

問題:

  《個人資料(私隱)條例》(第486章)(《私隱條例》)的附表一列明保障資料原則,其中的第4原則要求資料使用者須採取所有切實可行的步驟,以確保由他們持有的個人資料受保障而不受未獲准許的或意外的查閱、處理、刪除或其他使用所影響。但該條例並沒有施加明確的強制性法律責任,資料使用者須在資料保安出現問題或他們所持有的個人資料被洩漏時,通知個人資料私隱專員(專員)及受影響人士。專員正在檢討應否將違反該條例內的保障資料原則的行為定為罪行。就此,政府可否告知本會:

(一)過去三年,專員獲悉涉及個人資料保安出現了問題或該等資料被洩漏的個案數目;當中資料使用者曾主動就有關情況通知專員及受影響人士的個案數目;

(二)有否研究應否在該條例加入上述的法律責任;若有,研究的結果;若否,會否進行該研究;及

(三)上述檢討的進度?

答覆:

主席女士:

(一)於二○○五年至二○○七年期間,專員共接獲三百八十九宗指稱違反保障資料第4原則(第4原則)的投訴(其中四十六宗涉及同一宗個人資料被洩漏個案)。截至二○○八年二月十一日,共五十一宗個案經正式調查後確定為違反第4原則,其中四十六宗涉及同一宗個人資料被洩漏個案。這些個案的資料使用者在出現資料保安/洩漏問題時,並沒有通知專員。上述四十六宗個案的資料使用者曾通知因洩漏資料而受影響的資料當事人。至於其餘的五名資料使用者,其中一名表示會通知資料當事人有關洩漏資料的情況,其餘的資料使用者則沒有作出通知。專員沒有有關其餘三百三十八宗個案的資料使用者有否把資料保安/洩漏的問題通知專員和受影響的資料當事人的統計數字。
  
  於同一段時間內,專員亦就懷疑違反第4原則的個案,主動進行了六十九次循規查察。查察的目的是確保資料使用者立即終止可能/已經違反第4原則的意圖行動或行為,因此專員沒有進行正式的調查,以確定有關行為是否確實違反第4原則。專員沒有有關資料使用者有否把洩漏資料的情況通知資料當事人的統計數字。

(二)至於明文規定資料使用者有法律責任,在其管有的個人資料出現保安或者被洩漏問題時通知規管私隱當局和受影響人士,並不能防止資料被洩漏;不過,這項強制通知的規定可能在某些情況下,有助於在洩漏個人資料的初期,令情況受到控制,從而盡量減低對有關的資料當事人可能造成的傷害。

(三)目前,根據《私隱條例》的規定,違反保障資料原則不屬罪行。專員已完成有關外國的保障資料法例的比較研究,發現《私隱條例》現時的條文與國際上私隱法例的法理相符。違反保障資料原則若定為罪行,資料使用者或會因無心之失或疏忽大意而須負上刑事責任,對公民自由有重大影響。

2008年2月20日(星期三)