新聞公報

立法會十九題:《個人資料(私隱)條例》第33條的實施

  以下是今日(四月二十九日)在立法會會議上梁繼昌議員的提問和政制及內地事務局局長譚志源的書面答覆:

問題:

  《個人資料(私隱)條例》(第486章)於一九九五年制定,但當中的第33條尚未實施。該條文就移轉個人資料至香港以外地方的行為作出規管。就此,政府可否告知本會:

(一)鑑於第486章制定至今已二十年,為何政府仍未實施當中的第33條;政府計劃在何時實施該條文;

(二)現時有何措施規管移轉個人資料至香港以外地方的行為,以及保護有關的個人資料;及

(三)當局及個人資料私隱專員公署有否評估及研究現時個人資料被移轉至香港以外地方的情況(包括移轉的目的、模式和規模、保障措施,以及所涉個人資料的種類和敏感度);如有,詳情為何?

答覆:

主席:

(一)實施《個人資料(私隱)條例》(《私隱條例》)第33條會對不同界別的跨境資料移轉活動施以比現時嚴厲的規管,需要多方面的準備。政府正與個人資料私隱專員公署(公署)密切跟進有關工作,包括聘請顧問研究資料使用者為符合該條文的要求而須採取的措施、探討其他司法管轄區在遵規和執法方面的相關做法、研究實施細節(例如檢討指明地方名單的安排)等。有關準備工作旨在確保實施該條文所需的配套已經具備。政府亦會密切留意業界自願遵守公署發出的《保障個人資料:跨境資料轉移指引》的實際情況及相關意見。當所有準備工作完成後,政府會考慮為條文訂定生效日期。

(二)儘管《私隱條例》第33條尚未實施,資料使用者跨境移轉個人資料的活動,包括資料使用者本身或獲其授權的人士在境外持有、處理或使用被移轉的個人資料,亦受《私隱條例》其他條文規管。

  根據《私隱條例》下的保障資料第3原則,移轉個人資料的目的須與原來收集有關資料時的目的相同或直接有關,或得到資料當事人的同意,才可將資料移轉至香港以外地方。若資料使用者把個人資料移轉至外地獲其授權的人士從事任何活動(例如資料處理),根據《私隱條例》第65(2)條,獲授權人士的作為亦被視為資料使用者作出,受《私隱條例》規管。

  如資料使用者將個人資料交由資料處理者在香港境外代為處理,根據保障資料第2(3)原則及保障資料第4(2)原則,該資料使用者須採取合約規範方法或其他方法以防止移轉予該資料處理者的個人資料(i)被保存超過處理該資料所需的時間,或(ii)受未獲准許或意外的查閱、處理、刪除、喪失或使用所影響。

(三)根據公署的評估,隨着科技進步及機構的業務模式和行事方式改變,國際間的電子資料移轉規模越來越大,數據化的個人資料移轉已相當普遍,而且跨境數據流動的模式也多樣化,例如有些機構透過雲端運算技術把數據分散存放在不同的司法管轄區,有些則把處理資料的工序外判給世界各地的承辦商。

  上文第(一)部份提及政府將聘請顧問為實施《私隱條例》第33條所需的配套作評估研究,包括研究資料使用者現時進行跨境個人資料移轉的實際情況。

2015年4月29日(星期三)