ISE02/19-20
| 主題: | 政制事務、資料外洩、個人資料、私隱、通報機制 |
- 科技進步使政府和企業可以電子方式收集及貯存大量個人資料,但同時亦增加了資料外洩的風險,尤其是日益猖獗的黑客惡意入侵,而因系統漏洞或人為錯誤亦造成資料意外洩漏。這些入侵或洩漏事故會令資料當事人的敏感個人資料曝光,甚至會被罪犯乘機濫用。資料外洩亦可令企業付上高昂代價,在2018年的資料外洩事故中,預計全球每宗平均總成本高達390萬美元(3,040萬港元)。在這背景下,一些海外司法管轄區如歐洲、美國和澳洲,陸續設立強制性個人資料外洩通報制度。1註釋符號代表加州在2003年推行強制性通報制度,是美國首個實施有關制度的州份。目前,美國全部50個州均已訂立類似的強制性規定。澳洲的通報制度在2018年2月生效,而加拿大的相關制度則於2018年11月實施。歐洲聯盟的《一般個人資料規例》(General Personal Data Regulation)在2018年5月生效,英國亦實施有關規例。新加坡亦漸邁向推行強制性通報制度,而新西蘭也預期在2019年通過實施有關制度的法案。 儘管此制度未能杜絕外洩事故,但仍被認為是有效保障個人資料機制的重要一環。
- 在香港,立法會曾促請政府檢討《個人資料(私隱)條例》("《私隱條例》"),尤其是有否需要設立強制性通報機制。就此,政府最近表示已就《私隱條例》各方面的事宜進行檢討,包括研究引入強制性通報機制。2註釋符號代表請參閱Constitutional and Mainland Affairs Bureau (2019)。 本期《資訊述要》審視有關資料外洩的趨勢及本港目前沿用的自願性通報機制,繼而研究澳洲近年由自願性通報制度過渡至強制性通報制度的經驗,並概括評估該制度運作一年多後的成效。
香港的個人資料外洩趨勢
- 香港在1995年制定了《私隱條例》並於1996年成立個人資料私隱專員公署("公署"),屬鄰近地區內最早實施個人資料保障機制的城市之一。多年來,公眾關注私隱保障大多聚焦於收集及使用個人資料,例如持有資料的機構未經授權銷售及使用個人資料。近年,香港的網絡攻擊事件與日俱增,加上連串矚目的個人資料外洩事故,3註釋符號代表在2009年至2018年間,香港生產力促進局的電腦保安事故協調中心接獲的保安事故報告增幅達10倍至10 081宗,當中有三分之一與惡意軟件有關。同期,警方錄得的"科技罪案"如網上銀行騙案和身份盜竊,亦由1 500宗增加至7 800宗。 公眾變得越來越關注資料保安,4註釋符號代表請參閱Wong, Stephen (2018)。 而公署在自願性通報機制下接獲的個人資料外洩事故通報亦有所增加,某程度上反映了上述情況。
- 在2012-2013年度,公署接獲約61宗個人資料外洩事故通報,但有關數字在6年間幾乎增加1倍,至2017-2018年度達116宗。從事故中受影響的人數可見,不但事故宗數上升,資料外洩嚴重程度亦見增加。在2012-2013年度,只有17 000人受影響,而2016-2017年度有多達386萬人受影響,主要因為其中一宗個案涉及遺失載有約378萬選民資料的電腦(圖1)。
圖1 ── 公署經自願性通報機制接獲的資料外洩事故通報宗數
資料來源:個人資料私隱專員公署。年份 私營機構 公營機構 總數 受影響人數 2012-2013 29 32 61 17 000 2013-2014 22 54 76 114 000 2014-2015 25 42 67 77 000 2015-2016 60 44 104 854 000 2016-2017 51 37 88 3 860 000 2017-2018 79 37 116 765 834 - 近年,私營機構自願向公署通報資料外洩事故的數目,已超過公營機構及政府機關。然而,市民大眾對私營機構是否有足夠誘因及時通報仍有疑慮。例如,一家以香港為基地的航空公司在2018年10月通報公署一宗影響人數達940萬人的資料外洩事故,但航空公司其實早在2018年3月已察覺資料外洩。儘管沒有強制通報的要求,公署認為航空公司當初應在發現可能引致資料外洩的"可疑活動"時就立即通報,讓受影響人士可立即採取保障措施。
現行的自願性通報機制
- 因應《私隱條例》在2009年的檢討,自願通報機制在2010年正式成立。5註釋符號代表在2009年進行檢討《私隱條例》前,包括公營機構在內的部分機構已有向公署通報資料外洩事故。為加強有關安排,公署在2010年公布了指引須知及通報範本。請參閱PCPD (2010)。 在進行檢討時,政府與公署曾對是否有需要設立強制性機制意見分歧。政府最終選擇設立一個自願性機制,以避免對商界造成"沉重的負擔",並給予各方時間評估推行該機制的影響。6註釋符號代表在檢討《私隱條例》的公眾諮詢期間,大多數意見基於以下原因而支持推行自願性機制:(a)當時國際間的強制性制度仍在初期的發展階段;(b)強制性模式或會造成太多通報,有機會導致出現"通報疲勞";及(c)缺乏一套通報機制的國際標準,令跨國企業難以遵循。政府自2008年起,率先要求各部門"盡快"向公署呈報外洩事故,並"盡可能"通知受影響人士。
- 在自願機制下,"在資料外洩事故中,如可以合理地估計實在的傷害風險",便應通知公署、資料當事人、執法部門或相關規管機構。為協助資料管控者作出通報,公署發出了通報範本及指引須知,列出可造成損害的例子,包括人身安全受到威脅。然而,資料管控者須自行評估如何才算達到須要通報的門檻。至於通報時間表,指引須知只訂明"應在發生事故後盡快作出通報",但並未訂明盡快的時限或察覺事故發生後作通報的容許最長時限。
- 在2018年11月14日舉行的一次事務委員會聯席會議上,政制及內地事務局表示,當局正考慮設立強制性通報機制,但同時察悉公眾關注如何定義資料外洩、企業循規能力和對其營運成本的影響。在2019年9月,該局在其就立法會一項有關私隱的議案所提交的進度報告中表示,當局同意引入強制性通報機制可有助加強對個人資料的保障,同時亦指出多項須要考慮的事宜,例如涉及外洩資料類別和規模的通報門檻,以及通報時限是否應計及評估及調查所需的時間。7註釋符號代表請參閱Constitutional and Mainland Affairs Bureau (2019)。
澳洲的強制性資料外洩通報制度
- 澳洲在1988年制定《私隱法》後引入私隱保障制度,但直至2017年才將現行的強制性資料外洩通報計劃("通報計劃")納入《私隱法》成為法例規定,以取代自2008年以來一直實施的自願性通報制度。《私隱法》適用於澳洲所有聯邦機構及全國各州和領地的私營機構,8註釋符號代表澳洲各州和領地的公營機構受個別地方本身的私隱法例規管。《私隱法》亦不適用於公立大學和學校,以及政黨。 但豁免全年營業額低於300萬澳元(1,760萬港元)的小型企業 9註釋符號代表《私隱法》的規定在2000年擴大至涵蓋私營機構。澳洲政府當時豁免小型企業遵守該項法例,以爭取私營界別廣泛支持,亦同時避免對小型企業造成額外的循規負擔。然而,小型企業仍須根據《2006年打擊洗錢及恐怖主義資金籌集法》(Anti-Money Laundering and Counter Terrorism Financing Act 2006)的規定收集和保留客戶、財務和交易紀錄。請參閱Australian Law Reform Commission (2008)。 ,除非有關機構為信貸提供者(例如銀行)、私人醫療服務提供者、信貸報告機構和處理稅務檔案號碼的機構。此外,與香港情況類似,《私隱法》並無賦權澳洲資料專員公署作出檢控和罰款。
強制性通報制度的發展
- 通報計劃源自澳洲法律改革委員會(Australian Law Reform Commission)在2008年提出的建議。然而,澳洲聯邦政府當時指出須就有關建議作更多諮詢,故先推行一項自願性計劃作為中期措施。然而,儘管商界關注到通報門檻及循規成本等事宜,因當地個人資料外洩事故與日俱增,澳洲政府受到更大壓力要盡快處理有關問題。10註釋符號代表聯邦政府在2012年開始就強制性制度諮詢公眾,並在2013年就詳細立法模式集中諮詢相關各方 在此背景下,澳洲聯邦政府於2016年向國會提交《私隱修訂(須通報資料外洩)法案》(Privacy Amendment (Notifiable Data Breaches) Bill),而國會於2017年通過該法案。在法案的公眾諮詢及審議階段期間提出有關實施強制性通報制度的主要理據綜述如下:
(a) 未有全數通報及延遲通報事故:雖然自願通報個案數目近年持續上升,11註釋符號代表自願通報外洩事故的數目由2008-2009年度的44宗升至2015-2016年度的107宗。 但基於涉事機構或會因試圖避免公開事故所帶來的損害而不通報,致整體通報數目可能比實際情況為少。此外,某些機構亦會延遲通報或隱瞞事故;12註釋符號代表在其中一宗個案,澳洲一家大型零售商在2011年被黑客盜取200萬名顧客的個人資料和信用卡資料,其後要到2014年才向顧客及澳洲資料專員公署通報資料外洩事故。 (b) 受影響人士可及早採取補救措施:如獲盡早通報,受資料外洩影響的當事人可迅速採取補救行動,例如取消信用卡或更改密碼,以避免或減少損害;13註釋符號代表2014年公布的一份政府報告亦指出,身份盜竊個案漸增與資料外洩事故之間存在關連,而澳洲一個提供身份及數碼保安支援服務、稱為IDCARE的組織,亦發表報告指網上有非法平台出售個人資料的情況。此外,據估計至少三分之一的外洩資料會進一步被濫用。 (c) 改善循規情況:在強制性制度下,機構傾向更審慎重新考慮哪些個人資料屬必須收集及應保留多久;及 (d) 公平監管環境:強制性模式有助建立公平營商環境,消除處理資料外洩的不一致做法。
澳洲通報制度的設計要點
- 相比美國加利福尼亞州("加州")和歐洲等其他司法管轄區,澳洲的強制性通報制度似乎較溫和,其通報門檻被認為較高,加上通報時限較具彈性,這可平衡制度要具透明度的要求與資料管控者需負擔的循規成本。14註釋符號代表例如,就對個人的通報門檻而言,加州並無規定資料外洩事故須導致"損害"才要通報,但通報規定一般只適用於未經加密的電子資料。歐盟的通報門檻則範圍較闊,包括損害個人權利和自由的風險。 澳洲通報制度的各項設計要素載列如下:
(a) 通報門檻:只有合乎條件的資料外洩事故須予通報。合乎條件的外洩事故必須符合以下情況:15註釋符號代表對於若干外洩事故,即使全數符合3項條件,亦可豁免通報,相關的考慮因素包括,通報後會否不利執法事宜或違反其他法例的"保密條文"。 (i)出現未經授權取用、披露或遺失相關機構所持個人資料的情況;(ii)從合理個人的觀點考慮,事故相當可能對1人或多人造成重大損害;16註釋符號代表用作諮詢的法案草擬初稿曾以"重大損害的實質風險"為門檻。然而,商界認為這用詞意思含糊。有關用詞其後改為"相當可能引致重大損害",當局認為這用詞所訂的門檻較高,可免被狹義詮釋,以致令公眾產生"通報疲勞"及對規管機構造成資源負擔。 以及(iii)相關機構未能防止相當可能出現重大損害的風險。
然而,有關須通報資料外洩事故的法例並無定義何謂"重大損害",而根據相關法例的摘要說明,這些損害可包括重大身體、心理、情緒、財政或名譽上的損害。澳洲當局建議因受外洩事故影響的機構應"全面"評估蒙受重大損害的風險,當中應考慮各項相關事宜,例如外洩資料的類別和敏感程度、資料有否加密、誰人取得外洩資料和損害性質等。(b) 通報時限:涉事機構在察覺有理由懷疑已出現合乎條件的外洩事故後30日內,必須完成評估並作通報。該機構須迅速行動,在切實可行情況下盡快完成評估及作出通報。17註釋符號代表有關時限較歐盟所訂的寬鬆,歐盟規定涉事機構知悉外洩事故後,須在72小時內通報監管當局。 如評估程序為時超過30日,該機構必須遞交文件顯示曾合理及迅速採取的措施,以及解釋延誤的原因。有關機構亦可向私隱保障監管當局提出要求延期。 (c) 通報選項和內容:澳洲規例要求涉事機構須向資料專員及受影響人士通報合乎條件的資料外洩事故,不論外洩資料的類別和數量。18註釋符號代表這有別於歐盟的規定,即如外洩事故可能對權利和自由構成風險,即須通報監管當局,但就通報個人而言,只有在構成損害的風險被認為偏高時,才須向相關人士通報。 就此,資料管控者須向專員提交陳述聲明,內容包括其聯絡人身份和聯絡方法的資料、對資料外洩事故的描述、牽涉的資料類別及建議受影響人士為減低潛在損害所採取的步驟。向個別受影響人士作出的通報亦應提供類似資料。
至於向受影響人士作出的通報,涉事機構可通報所有人士或只是個別有風險的人士,視乎該機構能否合理識別相關人士。後者選項可避免對個別人士構成不必要的憂慮、減少公眾可能出現的"通報疲勞",以及降低行政成本。倘若上述兩個選項均不實切可行,涉事機構應在網站公布上述陳述聲明,為期不少於6個月,或採取其他合理步驟,以顯眼方式在其網站、社交媒體或印刷宣傳品公布。通報方式並無任何限制,惟必須合理。
《私隱法》亦訂明,如資料外洩事故只有專員知悉,或如任何涉事機構在是否須要通報一事上與專員意見分歧,該法例賦權專員指令該機構向相關人士作出通報。(d) 離岸適用範圍:強制性計劃亦適用於澳洲關連機構在海外的活動,該等機構包括在澳洲註冊成立的機構、在澳洲經營業務或在澳洲收集和持有個人資料的機構。如該等機構有向海外機構披露客戶的個人資料(例如離岸服務提供者持有的資料),就須確保該海外機構處理有關資料時,須符合澳洲《私隱法》有關的私隱原則;如出現資料外洩事故,該等機構一般亦須遵守強制通報規定。 (e) 違規罰則:任何機構如未能遵守強制通報規定,會被視為侵擾相關人士的私隱,專員可就此向聯邦法院申請民事懲處令。至於罰則方面,個人的最高罰款為36萬澳元(210萬港元),企業則為180萬澳元(1,050萬港元)。19註釋符號代表有關罰則與歐盟相反,歐盟的規管私隱當局可向未有作出通報的公司施加行政罰款,最高金額為1,000萬歐羅(9,250萬港元)或全年營業額的2%。
通報計劃的成效和關注事項
- 通報計劃在2018年4月至2019年3月運作首年,澳洲資料專員公署共接獲1 132宗通報,當中964宗為合乎條件的資料外洩事故,亦另有168宗被列為自願通報事故,即按通報計劃的定義不被視為合乎條件的資料外洩事故。雖然商界在諮詢期間質疑有否需要引入強制性通報機制,但自強制計劃推行後,合乎條件外洩事故的通報宗數較計劃推行前高出712%,遠高於原本估計的200%,這或可印證上文所指,個人資料外洩事故一直未有全數通報。另外,在計劃實施首年,並無機構因違反通報規定而被罰款。
- 強制計劃亦有助澳洲當局取得完整數據以了解資料外洩整體情況,包括資料外洩問題的規模及性質。例如,在已通報的外洩事故個案中,60%是因惡意攻擊而起,35%源自人為錯誤,而5%則由系統故障引致,事故個案中以金融及醫療界別最受影響,儘管前者的外洩事故較大機會是因人為錯誤所致。
- 在約83%合乎條件的通報個案中,每宗個案影響的人數少於1 000人,而有25%個案只影響1人。此外,最常見的外洩資料類別是電郵地址等聯絡資料。相對於信用卡資料等其他敏感資料,洩露聯絡資料未必會引致即時或金錢損失。因此,澳洲資料專員公署亦承認,資料管控者就釐定個人資料外洩是否構成重大損害仍面對不少挑戰。除此之外,在計劃運作首年內曾發生涉及多方的外洩事故,因涉事的多間機構共同持有客戶個人資料,令通報責任誰屬的問題上出現了混淆情況。澳洲資料專員公署其後特別發出指引,釐清通報責任和避免重複通報。20註釋符號代表例如,一家向全球不同行業眾多客戶提供網上招聘服務的公司曾發生資料外洩事故,並引起混亂,原因是該公司和客戶之間未能肯定應由哪方將事故通報當地私隱保障監管當局和受影響人士。此外,涉事機構根據英國規例須通報懷疑資料外洩事故的時間,較根據澳洲法例作出通報的時間為早,反映當局有需要就應對牽涉多個司法管轄區的外洩事故訂定適當計劃。 根據澳洲資料專員公署的建議,在資料外洩事故中,與受影響人士關係最直接的機構應向規管機構通報事故。
- 至於通報時限,當地發現在涉事機構察覺外洩事故後,平均需時28.25日才作通報,大致與容許的最長30日評估期相符。循規成本方面,澳洲資料專員公署並無備存任何相關數字。不過,一項有關全球資料外洩情況的研究顯示,在資料外洩事故的總成本中,通報成本只佔5%,而在澳洲,通報成本在2010年至2017年間呈現微跌趨勢。21註釋符號代表請參閱Ponemon Institute (2017)。
- 整體而言,澳洲資料專員公署認為,強制規定能推動不少資料管控者改善其處理資料的做法,例如制訂及實施資料外洩應對計劃、提高安全和私隱標準,並採取資料減量政策,以減少資料外洩的整體風險。然而,由於《私隱法》的適用範圍不包括為數不少的小型企業,或會令制度的整體成效大打折扣。此外,澳洲法律界預期通報計劃會加快發展關乎資料外洩的集體訴訟機制,因計劃可提供多一個證據來源,讓受影響人士據以尋求補救。當地企業或因而需要增加投購相關的責任保險。
結語
- 因網絡攻擊、系統故障或人為錯誤造成的個人資料外洩,令公眾深切關注資料保安問題,並為持有大量個人資料的機構帶來各種挑戰。強制要求通報個人資料外洩事故已成為現今國際趨勢,有關措施除了能夠讓受影響人士能迅速採取保障措施,亦促使了資料管控者重新考量其持有個人資料的管理制度。香港政府現正研究引入強制性通報機制,以助加強保障個人資料。
- 鑒於在自願性通報計劃下,個人資料外洩事故與日俱增,澳洲於2018年實施強制性通報制度。澳洲的機制模式被認為設有較高通報門檻,而通報時限亦較具彈性。當地的通報數目在強制計劃下大幅增加,提供了有用資料以了解當前資料外洩問題的性質。然而,制度運作首年的檢討顯示,在評估應通報資料外洩事故、通報責任和計劃的整體涵蓋範圍等方面,仍然有各種關注和挑戰。
立法會秘書處
資訊服務部
資料研究組
張志輝
2019年11月20日
附註:
參考資料:
| 澳洲
| |
| 1. | Attorney-General's Department. (2014) Identity crime and misuse in Australia Key findings from the National Identity Crime and Misuse Measurement Framework Pilot.
|
| 2. | Attorney-General's Department. (2016) Serious Data Breach Notification.
|
| 3. | Australian Law Reform Commission. (2008) For Your Information: Australian Privacy Law and Practice.
|
| 4. | IDCARE. (2016) Submission to the Serious Data Breach Notification Consultation.
|
| 5. | Office of the Australian Information Commissioner. (2019a) Notifiable Data Breach (NDB) Scheme.
|
| 6. | Office of the Australian Information Commissioner. (2019b) Website.
|
| 7. | Parliament of Australia. (2013) Joint Committee on Intelligence and Security inquiry report.
|
| 8. | Ponemon Institute. (2017) Cost of Data Breach Study: Australia.
|
| 9. | Norton Rose Fulbright. (2017) The end of a long road - Mandatory data breach notification becomes law.
|
| 香港
| |
| 10. | Constitutional and Mainland Affairs Bureau. (2019) Motion on "Keeping up with Technological Development and Enhancing the Protection of People's Privacy" at the Legislative Council meeting of 22 May 2019 Progress Report.
|
| 11. | GovHK. (2018) LCQ2: Enhancing information security and the protection for privacy of personal data.
|
| 12. | GovHK. (2019) Government notes PCPD report on Cathay Pacific data breach incident.
|
| 13. | Minutes of Meeting of the Panel on Constitutional Affairs. (2019) 18 March. LC Paper No. CB(2)1703/18-19.
|
| 14. | PCPD. (2010) Media statement: Privacy Commissioner Publishes Guidance Note on Data Breach Handling and the Giving of Breach Notifications.
|
| 15. | PCPD. (2019) Data Breach Incident Investigation Report: Cathay Pacific Airways Limited and Hong Kong Dragon Airlines Limited.
|
| 16. | Report of the Bills Committee on Personal Data (Privacy) (Amendment) Bill 2011 of the Legislative Council. (2012) 30 May. LC Paper No. CB(2)2197/11-12.
|
| 17. | Wong, Stephen. (2018) Grooving Privacy Evolution with Law Reform and Data Ethics.
|
| 其他
| |
| 18. | California Legislative Information. (2019) Civil Code Section 1798.29.
|
| 19. | EU GDPR.orgn. (2019) Website.
|
| 20. | ICO. (2019) GDPR One year on.
|
| 21. | Lexology. (2018) Dutch Authority fines Uber for violation data breach regulation.
|
資訊述要為立法會議員及立法會轄下委員會而編製,它們並非法律或其他專業意見,亦不應以該等資訊述要作為上述意見。資訊述要的版權由立法會行政管理委員會(下稱"行政管理委員會")所擁有。行政管理委員會准許任何人士複製資訊述要作非商業用途,惟有關複製必須準確及不會對立法會構成負面影響,並須註明出處為立法會秘書處資料研究組,而且須將一份複製文本送交立法會圖書館備存。本期資訊述要的文件編號為ISE02/19-20。