新聞公報

立法會三題:政府部門處理個人資料外泄事件

  以下為今日(六月十一日)在立法會會議上湯家驊議員的提問和政制及內地事務局局長林瑞麟的口頭答覆:

問題:

  關於政府部門處理市民個人資料外泄事件,政府可否告知本會:

(一)鑑於懷疑屬警方內部機密的檔案最近在互聯網上流傳,警方在這些事件發生時是否已有內部指引,指示警員應如何使用及保障公眾的個人資料;如果有指引,內容是甚麼;在泄密事件後,警方有沒有即時徹查是否有警務人員違反指引,以及有沒有聯絡所有受影響的人士,向他們交代將會如何就事件作出補救及有沒有向違反指引的警務人員作出處分;

(二)金融管理局(金管局)現時有沒有設立機制,要求銀行在發生個人資料外泄事件後立即向金管局匯報;如果有設立機制,金管局為甚麼容許香港上海滙豐銀行有限公司在事發後六天後才向其匯報遺失了一部載有客戶資料的伺服器,以及金管局為甚麼在接報後的四日內沒有公布事件;及

(三)會不會檢討所有政府部門處理個人資料的程序,以及將如何加強公眾對政府處理個人資料的信心?

答覆:

主席女士:

(一)警務處一向根據訂定的內部指引,規定警務人員應如何處理及保護個人資料。《警察通例》及《警務處程序手冊》均詳細說明,警務人員須根據《個人資料(私隱)條例》(第486章)(《私隱條例》)下的保障資料原則,處理及保護個人資料。《警隊資訊保安手冊》亦訂有嚴格的指引,列明警務人員以電子形式處理內部資料及個人資料時應注意的事項及程序。

  警務處非常關注近日部分內部文件在互聯網上流傳的事件,並已交由商業罪案調查科科技罪案組全力跟進調查。對於那些查明並不涉及刑事成份的個案,警隊已著手進行紀律調查。若經調查後發現有任何警務人員違反警隊內部指令或規定,警方會按既定程序採取紀律行動。

  此外,警方已通知資料當事人有關事件,並建議他/她若懷疑所泄露的個人資料遭不當使用時,應即時聯絡警方跟進。

  警隊已成立工作小組,負責全面審視警隊現有的資訊保安及資料(包括個人資料及須保護資料)保護措施和程序,其中包括檢討使用私人電腦處理公務的政策,及提出改善措施,以減低外泄個人資料或須保護的資料的風險。

(二)金管局已就保障銀行客戶資料發出清晰的指引。指引要求認可機構(包括銀行)就遺失客戶資料或客戶資料被第三者未經授權取得制訂事故管理程序,包括對外(例如金管局及受影響客戶)的通報安排。金管局的監管標準是要求銀行在事故發生後,須盡快通知金管局及向金管局提交事故報告。

  就問題提及的有關事件,金管局在二○○八年五月二日(星期五)傍晚接到香港上海滙豐銀行有限公司(滙豐銀行)的通報,指銀行在二○○八年四月二十六日遺失了一部載有客戶資料的電腦伺服器。金管局在接獲通報後已立即要求滙豐銀行採取有關的跟進工作,包括迅速通知受影響客戶、加強保護客戶個人資料的措施,以及向金管局提交事故報告。

  金管局並沒有容許滙豐銀行在事發後六天才向金管局匯報有關事件。金管局已收到滙豐銀行提交的事故報告,並會從監管角度考慮滙豐銀行就上述事件的處理手法(包括通報安排)是否符合有關指引的規定。若發現有任何違反指引規定的情況,金管局會考慮採取適當的監管行動。

  涉及客戶資料外泄的銀行有責任迅速通知受影響客戶。至於銀行透過何種方法通知受影響客戶,包括應否發出公布,是銀行的決定。然而,考慮到這次事件中受影響客戶的數目眾多,金管局認為作出公布是通知可能受影響客戶的合適及有效方法。因此,金管局在滙豐銀行已初步確定受影響客戶的數目及有可能外泄的資料後,已立即要求滙豐銀行公布事件,而滙豐銀行亦於二○○八年五月六日就有關事件作出公布。

(三)自《私隱條例》於一九九六年十二月生效後,當局已向各決策局及部門發出多份通告,闡釋有關《私隱條例》條文及如何遵守條例若干規定。個別決策局及部門須遵照《私隱條例》的規定,及因應個別的運作需要,制定其處理個人資料的措施。每個決策局及部門均需要委任一至兩名人員為「資料管制人員」負責評估、批准、監察及檢討部門內的個人資料保障措施,以確保部門能遵守《私隱條例》的規定。個人資料私隱專員公署(公署)亦有定期向這些人員提供一些關於條例的資訊,讓他們得知有關個人資料私隱的最新發展。

  各部門除了要設立切合部門運作需要的保障個人資料制度外,亦須加強培訓,提高員工對條例的認知及處理個人資料的警覺性。

  我們鼓勵各部門派員加入由公署成立的「保障資料主任聯會」,透過參與各種交流活動,加深對條例的認識和了解。聯會主要為在任職機構負責推行及統籌保障個人私隱措施的專業人員提供聯繫網絡。目前已有三十二個部門派員加入這個聯會。公署將於二○○八年八月為會員舉辦以個人資料保安為主題的研討會,並會於十月至十二月期間舉行多個工作坊,以加強會員的保障個人資料知識。

  在二○○八/○九年度,政府為公署額外提供一百萬元撥款,加強宣傳及教育工作,當中包括製作「了解《個人資料(私隱)條例》」教材套,協助公私營機構資料使用者自行為員工舉辦培訓班,教導員工如何正確處理個人資料。這份教材套預計可於二○○九年年初分發給各政府部門使用。此外,在未來數月,政府會與公署舉辦一系列講座及個案研究,以進一步提升各部門對條例的認識,包括個人資料的保安及處理查閱個人資料的要求。

  當局亦時有提醒員工善用私隱專員網頁所提供的各類資訊(如實務守則、指引、資料概覽等),以提升員工對條例的認識。

2008年6月11日(星期三)