以下為今日(五月二十一日)在立法會會議上余若薇議員的提問和政制及內地事務局局長林瑞麟的口頭答覆:
問題:
近日有多個政府部門、法定機構及商業機構遺失載有個人資料的設備和裝置,有傳媒形容該等事件為「私隱災難」。就此,政府可否告知本會:
(一) 除了發出關於資訊保安的內部程序通告或指引外,政府還有甚麼補救措施;是否知悉,有關的法定機構及商業機構採取了甚麼補救措施,包括有沒有通知受影響的市民;如果有,詳情是甚麼;如果沒有,原因是甚麼;
(二) 市民遇到政府部門、法定機構或商業機構疏忽處理他們的個人資料時,可以循甚麼途徑作出投訴及申索;及
(三) 鑒於這次「私隱災難」,政府會不會考慮修訂法例,以擴大個人資料私隱專員(私隱專員)的權力,以及會不會考慮就政府檔案的管理事宜立法,以清楚界定各政府部門處理個人資料時的權限,從而加強保障市民的私隱;如果會修訂法例,時間表是甚麼;如果不會,原因是甚麼?
答覆:
主席女士:
(一) 在數宗涉及政府部門的資料外洩事件發生後,政府已即時發出內部資訊保安程序通告及指引,要求各政府人員切實遵行。為了加强管理個人資料的處理以及使用便攜式電子儲存裝置的保安措施,各部門將會盡用應用軟件所提供的相關保安功能和採用可支援資料保護的儲存裝置,例如設有密碼、加密、生物特徵(例如指紋)等功能的產品。員工如有需要把資料存入便攜式儲存裝置,必須先取得上級的許可和將資料適當地加密,使用後亦要盡快刪除。此外,員工不可以把個人資料存入私人的裝置或電腦。
政府會加強與公務員的溝通,以提高他們對保安規例的認知,並提醒他們須遵守有關規例。政府資訊科技總監辦公室、保安局和公務員事務局,將制定有關計劃,並於未來數月與部門資訊科技保安主任、各政策局及部門合作推行。政府會加强審視政策局和部門執行有關使用便攜式儲存裝置規定的情況。另外,亦會因應近期事故的調查結果,檢討資訊科技保安政策、保安規例和工作守則。
涉及資料外洩的有關部門及法定機構,已個別採取了相應的補救措施,包括檢討部門的資訊保安程序,發出內部指引,以加強員工的資料保障意識,通知受影響人士、個人資料私隱專員公署(私隱專員公署)或警方等。有關詳情請參閱附件。
根據我們了解,涉及資料外洩的銀行已在五月七日作出聲明,表示正聯絡受事件影響的賬戶持有人。
(二) 市民若懷疑政府部門、法定機構或商業機構疏忽處理他們的個人資料,可向私隱專員公署作出投訴。私隱專員於完成調查後,若發現資料使用者正在違反《個人資料(私隱)條例》(《私隱條例》)的規定,或已違反條例的規定,而違反情況有相當可能持續或重複發生,私隱專員可向有關的資料使用者發出執行通知,指令採取步驟糾正違反的行為或作為。若資料使用者不遵從執行通知,則屬刑事罪行,一經定罪,可被處第五級罰款(最高罰款為五萬元)及監禁兩年,若屬持續罪行,可被處每日罰款一千元。
此外,資料當事人若因資料使用者違反《私隱條例》的規定而蒙受損害,可根據條例第66條,提出民事索償,追討損失。
(三) 《私隱條例》第36條賦與私隱專員權力,視察資料使用者的個人資料系統,並作出建議,促使資料使用者遵守《私隱條例》的條文。私隱專員亦可行使條例第38條的權力,主動調查有關資料使用者,或在接到投訴後作出調查,以確定有否違反《私隱條例》的情況。條例亦賦權私隱專員進入處所視察或調查、搜集證據。私隱專員可向有關資料使用者發出執行通知,指令採取步驟糾正違規行為。就近日數宗個人資料外洩事件而言,私隱專員已行使《私隱條例》賦予的法定權力,展開調查及視察等跟進工作。我們認為《私隱條例》已賦予私隱專員適當權力,有效跟進個人資料外洩事件。
我們正聯同私隱專員檢討《私隱條例》,在檢討時我們會研究在資料的收集、持有、處理及使用方面如何能進一步加強保障個人資料私隱。
現時《私隱條例》對政府具約束力,政府部門處理涉及個人資料的檔案,亦須按條例規定辦事。我們認為目前並無需要立法規管政府檔案管理。
完
2008年5月21日(星期三)
附件
|