Hongkong Invest

立法會二題:防範個人資料外泄及金融罪案

Staff Writer
  ​以下是今日(一月二十二日)在立法會會議上簡慧敏議員的提問和政制及內地事務局局長曾國衞的答覆:

問題:

  關於防範個人資料外泄及金融罪案,政府可否告知本會:

(一)過去六年,每年個人資料私隱專員公署(公署)接獲多少宗由機構通報的資料外泄事故,以及有多少宗事故由公署主動調查發現;該兩類事故分別涉及資料處理者的事故數目及受影響的人數為何;

(二)鑑於據悉,公署與政府正研究修訂《個人資料(私隱)條例》,包括設立強制性個人資料外泄通報機制、直接規管資料處理者、賦權個人資料私隱專員判處行政罰款等,但政府擬於二○二五年度向本會提交的條例草案名單並沒有包括該條例,有關工作的進展及立法時間表為何;及

(三)鑑於政府擬修訂《銀行業條例》,旨在容許認可機構為防範及偵測金融罪案而交換客戶、帳戶及交易的信息,而政府在去年十月向本會財經事務委員會提交的文件表示,公署就有關修訂提出意見,政府有何策略和措施確保有關修訂既符合公署的意見,又能應對急劇上升的騙案數字?

答覆:

主席:
  
  就簡慧敏議員的提問,經諮詢財經事務及庫務局和個人資料私隱專員公署(公署)後,現回覆如下: 

(一)在過去數年,公署接獲的個人資料外泄事故通報及經主動循規審查而發現的資料外泄事故個案數字相對較為平穩,每年總和約100多宗。而數字至二○二四年則呈現上升趨勢,升至217宗。當中,約一成的外泄個案涉及資料處理者的不當而導致,而受影響的人數則視乎個別個案情況而有所不同。詳細相關統計數字見附件。

(二)鑑於近年個人資料外泄事故呈上升趨勢,政府和公署對此都十分關注。公署方面亦從多方面針對這情況作出應對,一方面更新相關指引並加強宣傳教育工作,同時亦加強執法工作及研究修訂《個人資料(私隱)條例》(《私隱條例》)以遏止有關情況。

  在數據安全的宣傳教育方面,公署從以下三方面加強機構保障個人資料的意識,從而減低個人資料外泄的風險:

(1)設立支援業界的「數據安全」工具:包括(i)開設一站式「數據安全」專題網頁;(ii)設立「數據安全快測」供機構評核其數據安全措施的安全穩妥性;(iii)設立「數據安全熱線」供業界查詢;(iv)發表數據安全指引文件包括《資料外泄事故的處理及通報指引》及《資訊及通訊科技的保安措施指引》等;

(2)加強和業界的合作:包括(i)為機構舉辦培訓講座宣傳數據的安全管理,以及為公眾、教育及非牟利機構舉辦數據安全研討會;(ii)與國家互聯網信息辦公室、香港警務處、數字政策辦公室、香港金融管理局等合辦或參與和數據安全及處理資料外泄事故相關的研討會及活動;(iii)透過舉辦「私隱之友嘉許獎」表揚機構在保障個人資料私隱的傑出表現;以及

(3)舉辦各項宣傳活動:包括(i)「關注私隱週2024」以「數據安全保私隱」為主題,安排流動展覽車「保障私隱號」走入社區;(ii)推出數據安全吉祥物「數據保寶」;(iii)在中英文報章、網媒及專業期刊撰文,向公眾及業界講解數據安全的重要性。

  同時,公署亦加強執法工作,如確定有關資料外泄事故涉及違反《私隱條例》下的資料保安原則,私隱專員會按情況向有關資料使用者發出勸喻信、警告信,或送達執行通知,指示機構採取適當措施以糾正違規事項及防止類似情況再次發生。若機構未有按執行通知採取相關措施,則會違反《私隱條例》而構成罪行,最高刑罰為罰款五萬元及監禁兩年。

  在研究修訂《私隱條例》方面,公署早前經全面檢視條例後,初步建議修訂內容包括:(1)設立強制性個人資料外泄通報機制;(2)直接規管資料處理者;(3)要求資料使用者制訂個人資料保留時限政策;(4)加重罰則及賦權個人資料私隱專員施加行政罰款;(5)釐清個人資料的定義等。就上述建議,公署去年諮詢個人資料(私隱)諮詢委員會及科技發展常務委員會,並聽取不同界別的意見。其中業界表示對加重罰則深表關注,特別是在目前經濟困難的情況下對中小企會造成很大影響和壓力。對此,政府亦能理解業界的憂慮。因此,政府正研究考慮適當調整修例建議,例如是否可分階段實施修訂建議,以減少對業界可能造成的影響,以及適當釐定行政罰款的金額,以起阻嚇作用的同時亦在可接受的水平。政府會爭取盡早完成研究及制定具體的修例建議,並諮詢立法會的意見,以期盡早修訂《私隱條例》進一步保障巿民的個人私隱。

  (三)為打擊詐騙和其他金融罪行,香港金融管理局(金管局)於二○二四年一月發出諮詢文件,建議修訂《銀行業條例》,容許銀行為防範或偵測罪行而交換客戶(包括個人客戶)帳戶信息。在諮詢過程中,金管局共收到18份回覆,包括公署的意見。

  政府有意在法例修訂中載入具體條文,訂明只有在合理懷疑有關個人帳戶可能涉及詐騙、洗錢或恐怖分子資金籌集的情況下,銀行方可交換個人客戶帳戶信息。金管局會要求銀行確保在所有情況下均符合相關規定,並能證明作出有關決定的合理理據。此外,法例修訂中亦會載入條文,要求銀行對交換的信息保密及制定適當的制度和管控措施。

  在二○二四年十月向立法會財經事務委員會作出簡報後,政府正擬訂相關法例修訂,並將繼續諮詢公署及其他持份者,確保相關法例修訂在打擊金融罪行和保障個人資料私隱之間取得合適平衡。

  多謝主席。

Trending