香港個人資料私隱專員鍾麗玲於2月7日透露,個人資料私隱專員公署計劃於今年內就引入強制數據外洩通報機制及相關行政罰款措施,正式諮詢立法會。這標誌著擱置近兩年的私隱法改革重新啟動,香港在數據保護法規方面將邁出重要一步,有望縮窄與其他亞太地區司法管轄區之間的差距。
從自願到強制:法規升級的必要性
目前,香港的《個人資料(私隱)條例》並不要求機構在發生數據外洩時向私隱專員公署或受影響個人作出通報。公署僅於2023年6月發布非約束性的處理數據外洩指引,建議機構在發現數據外洩且可能對受影響人士造成實質風險時,盡快通報公署及受影響人士。
然而,自願通報機制的成效有限。近年本港多次發生大規模數據外洩事件,涉及金融機構、醫療系統、教育機構和零售企業,但不少個案中,受影響市民是在事件被媒體曝光後才得悉個人資料被洩露,錯過了採取自我保護措施的黃金時間。
擬議改革的核心內容
鍾麗玲透露,公署正研究的改革方案主要包括以下幾個方面:
- 強制通報義務:要求資料使用者在發現數據外洩事故後的指定時限內(初步考慮為72小時),向私隱專員公署及受影響的資料當事人作出通報
- 行政罰款機制:引入行政罰款制度,對未能履行通報義務的機構施以罰款,罰款水平將參考其他司法管轄區的做法
- 資料處理者直接規管:將現時僅針對資料使用者(data user)的規管延伸至資料處理者(data processor),填補現行法規的漏洞
- 資料保留政策:要求機構制定明確的個人資料保留期限,避免不必要地長期保存敏感資料
鍾麗玲指出,改革可能分階段推行,優先處理強制通報和行政罰款兩項核心措施,其他改革內容則視乎諮詢結果和立法進度再作安排。
2024年擱置的前因後果
事實上,政府早於2020年1月已發表諮詢文件,建議引入強制數據外洩通報要求。然而,改革方案在2024年因商界憂慮而被擱置。當時部分商會和業界代表擔心,過於嚴格的通報要求和罰款機制可能增加企業合規成本,影響香港的營商環境和競爭力。
對於改革方案的重新推動,鍾麗玲解釋,過去兩年數據外洩事件的頻率和規模持續上升,加上公眾對個人資料保護的意識不斷增強,社會對加強法規保障的呼聲日益高漲。她亦指出,在2026年1月生效的《保護關鍵基礎設施(電腦系統)條例》,為私隱法改革提供了有利的立法環境。
與國際接軌的迫切性
香港在數據保護立法方面已明顯落後於區內同儕。新加坡早於2012年便實施強制數據外洩通報制度,泰國和韓國亦有類似要求。在歐洲,《通用數據保護規則》(GDPR)更設有嚴厲的罰款機制,違規企業最高可被處以全球年營業額4%的罰款。
對於一個定位為國際金融中心和數據樞紐的城市而言,缺乏強制數據外洩通報機制不僅是法規缺口,更可能影響國際企業和投資者對香港數據治理水平的信心。有科技業界人士指出,部分跨國企業在選擇亞太區總部時,已將當地的數據保護法規完善程度列為重要考慮因素。
業界反應:審慎歡迎與實務關注
商界對改革方案的反應可概括為「審慎歡迎」。多數業界領袖認同加強數據保護是大勢所趨,但希望政府在制定細則時充分考慮中小企業的合規能力。
香港資訊科技商會表示,支持引入強制通報機制的方向,但呼籲政府設立過渡期和提供合規支援,協助企業(尤其是中小企)提升數據保護能力。商會亦建議政府考慮按企業規模和處理數據的敏感程度,實施分級的通報要求和罰款標準。
前路展望
私隱專員公署預計將於今年上半年完成與立法會的初步諮詢,隨後發表公眾諮詢文件。若一切順利,立法草案最快可於2027年提交立法會審議。
這場私隱法改革,不僅關乎法律條文的更新,更反映香港在數字經濟時代如何平衡個人權利保障與營商便利之間的取捨。在全球數據保護標準持續提升的背景下,香港能否制定一套既具國際競爭力、又切合本地實際情況的數據保護框架,將是對政府立法智慧的一大考驗。