ISE02/19-20
| 主题: | 政制事务、资料外泄、个人资料、私隐、通报机制 |
- 科技进步使政府和企业可以电子方式收集及贮存大量个人资料,但同时亦增加了资料外泄的风险,尤其是日益猖獗的黑客恶意入侵,而因系统漏洞或人为错误亦造成资料意外泄漏。这些入侵或泄漏事故会令资料当事人的敏感个人资料曝光,甚至会被罪犯乘机滥用。资料外泄亦可令企业付上高昂代价,在2018年的资料外泄事故中,预计全球每宗平均总成本高达390万美元(3,040万港元)。在这背景下,一些海外司法管辖区如欧洲、美国和澳洲,陆续设立强制性个人资料外泄通报制度。1注释符号代表加州在2003年推行强制性通报制度,是美国首个实施有关制度的州份。目前,美国全部50个州均已订立类似的强制性规定。澳洲的通报制度在2018年2月生效,而加拿大的相关制度则于2018年11月实施。欧洲联盟的《一般个人资料规例》(General Personal Data Regulation)在2018年5月生效,英国亦实施有关规例。新加坡亦渐迈向推行强制性通报制度,而新西兰也预期在2019年通过实施有关制度的法案。 尽管此制度未能杜绝外泄事故,但仍被认为是有效保障个人资料机制的重要一环。
- 在香港,立法会曾促请政府检讨《个人资料(私隐)条例》("《私隐条例》"),尤其是有否需要设立强制性通报机制。就此,政府最近表示已就《私隐条例》各方面的事宜进行检讨,包括研究引入强制性通报机制。2注释符号代表请参阅Constitutional and Mainland Affairs Bureau (2019)。 本期《资讯述要》审视有关资料外泄的趋势及本港目前沿用的自愿性通报机制,继而研究澳洲近年由自愿性通报制度过渡至强制性通报制度的经验,并概括评估该制度运作一年多后的成效。
香港的个人资料外泄趋势
- 香港在1995年制定了《私隐条例》并于1996年成立个人资料私隐专员公署("公署"),属邻近地区內最早实施个人资料保障机制的城市之一。多年来,公众关注私隐保障大多聚焦于收集及使用个人资料,例如持有资料的机构未经授权销售及使用个人资料。近年,香港的网络攻击事件与日俱增,加上连串瞩目的个人资料外泄事故,3注释符号代表在2009年至2018年间,香港生产力促进局的电脑保安事故协调中心接获的保安事故报告增幅达10倍至10 081宗,当中有三分之一与恶意软件有关。同期,警方录得的"科技罪案"如网上银行骗案和身份盜窃,亦由1 500宗增加至7 800宗。 公众变得越来越关注资料保安,4注释符号代表请参阅Wong, Stephen (2018)。 而公署在自愿性通报机制下接获的个人资料外泄事故通报亦有所增加,某程度上反映了上述情况。
- 在2012-2013年度,公署接获约61宗个人资料外泄事故通报,但有关数字在6年间几乎增加1倍,至2017-2018年度达116宗。从事故中受影响的人数可见,不但事故宗数上升,资料外泄严重程度亦见增加。在2012-2013年度,只有17 000人受影响,而2016-2017年度有多达386万人受影响,主要因为其中一宗个案涉及遗失载有约378万选民资料的电脑(图1)。
图1 ── 公署经自愿性通报机制接获的资料外泄事故通报宗数
资料来源:个人资料私隐专员公署。年份 私营机构 公营机构 总数 受影响人数 2012-2013 29 32 61 17 000 2013-2014 22 54 76 114 000 2014-2015 25 42 67 77 000 2015-2016 60 44 104 854 000 2016-2017 51 37 88 3 860 000 2017-2018 79 37 116 765 834 - 近年,私营机构自愿向公署通报资料外泄事故的数目,已超过公营机构及政府机关。然而,市民大众对私营机构是否有足够诱因及时通报仍有疑虑。例如,一家以香港为基地的航空公司在2018年10月通报公署一宗影响人数达940万人的资料外泄事故,但航空公司其实早在2018年3月已察觉资料外泄。尽管沒有强制通报的要求,公署认为航空公司当初应在发现可能引致资料外泄的"可疑活动"时就立即通报,让受影响人士可立即采取保障措施。
现行的自愿性通报机制
- 因应《私隐条例》在2009年的检讨,自愿通报机制在2010年正式成立。5注释符号代表在2009年进行检讨《私隐条例》前,包括公营机构在內的部分机构已有向公署通报资料外泄事故。为加强有关安排,公署在2010年公布了指引须知及通报范本。请参阅PCPD (2010)。 在进行检讨时,政府与公署曾对是否有需要设立强制性机制意见分歧。政府最终选择设立一个自愿性机制,以避免对商界造成"沉重的负担",并给予各方时间评估推行该机制的影响。6注释符号代表在检讨《私隐条例》的公众咨询期间,大多数意见基于以下原因而支持推行自愿性机制:(a)当时国际间的强制性制度仍在初期的发展阶段;(b)强制性模式或会造成太多通报,有机会导致出现"通报疲劳";及(c)缺乏一套通报机制的国际标准,令跨国企业难以遵循。政府自2008年起,率先要求各部门"尽快"向公署呈报外泄事故,并"尽可能"通知受影响人士。
- 在自愿机制下,"在资料外泄事故中,如可以合理地估计实在的伤害风险",便应通知公署、资料当事人、执法部门或相关规管机构。为协助资料管控者作出通报,公署发出了通报范本及指引须知,列出可造成损害的例子,包括人身安全受到威胁。然而,资料管控者须自行评估如何才算达到须要通报的门槛。至于通报时间表,指引须知只订明"应在发生事故后尽快作出通报",但并未订明尽快的时限或察觉事故发生后作通报的容许最长时限。
- 在2018年11月14日举行的一次事务委员会联席会议上,政制及內地事务局表示,当局正考虑设立强制性通报机制,但同时察悉公众关注如何定义资料外泄、企业循规能力和对其营运成本的影响。在2019年9月,该局在其就立法会一项有关私隐的议案所提交的进度报告中表示,当局同意引入强制性通报机制可有助加强对个人资料的保障,同时亦指出多项须要考虑的事宜,例如涉及外泄资料类别和规模的通报门槛,以及通报时限是否应计及评估及调查所需的时间。7注释符号代表请参阅Constitutional and Mainland Affairs Bureau (2019)。
澳洲的强制性资料外泄通报制度
- 澳洲在1988年制定《私隐法》后引入私隐保障制度,但直至2017年才将现行的强制性资料外泄通报计划("通报计划")纳入《私隐法》成为法例规定,以取代自2008年以来一直实施的自愿性通报制度。《私隐法》适用于澳洲所有联邦机构及全国各州和领地的私营机构,8注释符号代表澳洲各州和领地的公营机构受个别地方本身的私隐法例规管。《私隐法》亦不适用于公立大学和学校,以及政党。 但豁免全年营业额低于300万澳元(1,760万港元)的小型企业 9注释符号代表《私隐法》的规定在2000年扩大至涵盖私营机构。澳洲政府当时豁免小型企业遵守该项法例,以爭取私营界别广泛支持,亦同时避免对小型企业造成额外的循规负担。然而,小型企业仍须根据《2006年打击洗钱及恐怖主义资金筹集法》(Anti-Money Laundering and Counter Terrorism Financing Act 2006)的规定收集和保留客戶、财务和交易纪录。请参阅Australian Law Reform Commission (2008)。 ,除非有关机构为信贷提供者(例如银行)、私人医疗服务提供者、信贷报告机构和处理稅务档案号码的机构。此外,与香港情况类似,《私隐法》并无赋权澳洲资料专员公署作出检控和罚款。
强制性通报制度的发展
- 通报计划源自澳洲法律改革委员会(Australian Law Reform Commission)在2008年提出的建议。然而,澳洲联邦政府当时指出须就有关建议作更多咨询,故先推行一项自愿性计划作为中期措施。然而,尽管商界关注到通报门槛及循规成本等事宜,因当地个人资料外泄事故与日俱增,澳洲政府受到更大压力要尽快处理有关问题。10注释符号代表联邦政府在2012年开始就强制性制度咨询公众,并在2013年就详细立法模式集中咨询相关各方 在此背景下,澳洲联邦政府于2016年向国会提交《私隐修订(须通报资料外泄)法案》(Privacy Amendment (Notifiable Data Breaches) Bill),而国会于2017年通过该法案。在法案的公众咨询及审议阶段期间提出有关实施强制性通报制度的主要理据综述如下:
(a) 未有全数通报及延迟通报事故:虽然自愿通报个案数目近年持续上升,11注释符号代表自愿通报外泄事故的数目由2008-2009年度的44宗升至2015-2016年度的107宗。 但基于涉事机构或会因试图避免公开事故所带来的损害而不通报,致整体通报数目可能比实际情况为少。此外,某些机构亦会延迟通报或隐瞒事故;12注释符号代表在其中一宗个案,澳洲一家大型零售商在2011年被黑客盜取200万名顾客的个人资料和信用卡资料,其后要到2014年才向顾客及澳洲资料专员公署通报资料外泄事故。 (b) 受影响人士可及早采取补救措施:如获尽早通报,受资料外泄影响的当事人可迅速采取补救行动,例如取消信用卡或更改密码,以避免或减少损害;13注释符号代表2014年公布的一份政府报告亦指出,身份盜窃个案渐增与资料外泄事故之间存在关连,而澳洲一个提供身份及数码保安支援服务、称为IDCARE的组织,亦发表报告指网上有非法平台出售个人资料的情况。此外,据估计至少三分之一的外泄资料会进一步被滥用。 (c) 改善循规情况:在强制性制度下,机构倾向更审慎重新考虑哪些个人资料属必须收集及应保留多久;及 (d) 公平监管环境:强制性模式有助建立公平营商环境,消除处理资料外泄的不一致做法。
澳洲通报制度的设计要点
- 相比美国加利福尼亚州("加州")和欧洲等其他司法管辖区,澳洲的强制性通报制度似乎较溫和,其通报门槛被认为较高,加上通报时限较具弹性,这可平衡制度要具透明度的要求与资料管控者需负担的循规成本。14注释符号代表例如,就对个人的通报门槛而言,加州并无规定资料外泄事故须导致"损害"才要通报,但通报规定一般只适用于未经加密的电子资料。欧盟的通报门槛则范围较阔,包括损害个人权利和自由的风险。 澳洲通报制度的各项设计要素载列如下:
(a) 通报门槛:只有合乎条件的资料外泄事故须予通报。合乎条件的外泄事故必须符合以下情况:15注释符号代表对于若干外泄事故,即使全数符合3项条件,亦可豁免通报,相关的考虑因素包括,通报后会否不利执法事宜或违反其他法例的"保密条文"。 (i)出现未经授权取用、披露或遗失相关机构所持个人资料的情况;(ii)从合理个人的观点考虑,事故相当可能对1人或多人造成重大损害;16注释符号代表用作咨询的法案草拟初稿曾以"重大损害的实质风险"为门槛。然而,商界认为这用词意思含糊。有关用词其后改为"相当可能引致重大损害",当局认为这用词所订的门槛较高,可免被狭义诠释,以致令公众产生"通报疲劳"及对规管机构造成资源负担。 以及(iii)相关机构未能防止相当可能出现重大损害的风险。
然而,有关须通报资料外泄事故的法例并无定义何谓"重大损害",而根据相关法例的摘要说明,这些损害可包括重大身体、心理、情绪、财政或名誉上的损害。澳洲当局建议因受外泄事故影响的机构应"全面"评估蒙受重大损害的风险,当中应考虑各项相关事宜,例如外泄资料的类别和敏感程度、资料有否加密、谁人取得外泄资料和损害性质等。(b) 通报时限:涉事机构在察觉有理由怀疑已出现合乎条件的外泄事故后30日內,必须完成评估并作通报。该机构须迅速行动,在切实可行情况下尽快完成评估及作出通报。17注释符号代表有关时限较欧盟所订的宽松,欧盟规定涉事机构知悉外泄事故后,须在72小时內通报监管当局。 如评估程序为时超过30日,该机构必须递交文件显示曾合理及迅速采取的措施,以及解释延误的原因。有关机构亦可向私隐保障监管当局提出要求延期。 (c) 通报选项和內容:澳洲规例要求涉事机构须向资料专员及受影响人士通报合乎条件的资料外泄事故,不论外泄资料的类别和数量。18注释符号代表这有别于欧盟的规定,即如外泄事故可能对权利和自由构成风险,即须通报监管当局,但就通报个人而言,只有在构成损害的风险被认为偏高时,才须向相关人士通报。 就此,资料管控者须向专员提交陈述声明,內容包括其联络人身份和联络方法的资料、对资料外泄事故的描述、牵涉的资料类别及建议受影响人士为减低潜在损害所采取的步骤。向个别受影响人士作出的通报亦应提供类似资料。
至于向受影响人士作出的通报,涉事机构可通报所有人士或只是个别有风险的人士,视乎该机构能否合理识别相关人士。后者选项可避免对个别人士构成不必要的忧虑、减少公众可能出现的"通报疲劳",以及降低行政成本。倘若上述两个选项均不实切可行,涉事机构应在网站公布上述陈述声明,为期不少于6个月,或采取其他合理步骤,以显眼方式在其网站、社交媒体或印刷宣传品公布。通报方式并无任何限制,惟必须合理。
《私隐法》亦订明,如资料外泄事故只有专员知悉,或如任何涉事机构在是否须要通报一事上与专员意见分歧,该法例赋权专员指令该机构向相关人士作出通报。(d) 离岸适用范围:强制性计划亦适用于澳洲关连机构在海外的活动,该等机构包括在澳洲注册成立的机构、在澳洲经营业务或在澳洲收集和持有个人资料的机构。如该等机构有向海外机构披露客戶的个人资料(例如离岸服务提供者持有的资料),就须确保该海外机构处理有关资料时,须符合澳洲《私隐法》有关的私隐原则;如出现资料外泄事故,该等机构一般亦须遵守强制通报规定。 (e) 违规罚则:任何机构如未能遵守强制通报规定,会被视为侵扰相关人士的私隐,专员可就此向联邦法院申请民事惩处令。至于罚则方面,个人的最高罚款为36万澳元(210万港元),企业则为180万澳元(1,050万港元)。19注释符号代表有关罚则与欧盟相反,欧盟的规管私隐当局可向未有作出通报的公司施加行政罚款,最高金额为1,000万欧罗(9,250万港元)或全年营业额的2%。
通报计划的成效和关注事项
- 通报计划在2018年4月至2019年3月运作首年,澳洲资料专员公署共接获1 132宗通报,当中964宗为合乎条件的资料外泄事故,亦另有168宗被列为自愿通报事故,即按通报计划的定义不被视为合乎条件的资料外泄事故。虽然商界在咨询期间质疑有否需要引入强制性通报机制,但自强制计划推行后,合乎条件外泄事故的通报宗数较计划推行前高出712%,远高于原本估计的200%,这或可印证上文所指,个人资料外泄事故一直未有全数通报。另外,在计划实施首年,并无机构因违反通报规定而被罚款。
- 强制计划亦有助澳洲当局取得完整数据以了解资料外泄整体情况,包括资料外泄问题的规模及性质。例如,在已通报的外泄事故个案中,60%是因恶意攻击而起,35%源自人为错误,而5%则由系统故障引致,事故个案中以金融及医疗界别最受影响,尽管前者的外泄事故较大机会是因人为错误所致。
- 在约83%合乎条件的通报个案中,每宗个案影响的人数少于1 000人,而有25%个案只影响1人。此外,最常见的外泄资料类别是电邮地址等联络资料。相对于信用卡资料等其他敏感资料,泄露联络资料未必会引致即时或金钱损失。因此,澳洲资料专员公署亦承认,资料管控者就厘定个人资料外泄是否构成重大损害仍面对不少挑战。除此之外,在计划运作首年內曾发生涉及多方的外泄事故,因涉事的多间机构共同持有客戶个人资料,令通报责任谁属的问题上出现了混淆情况。澳洲资料专员公署其后特别发出指引,厘清通报责任和避免重复通报。20注释符号代表例如,一家向全球不同行业众多客戶提供网上招聘服务的公司曾发生资料外泄事故,并引起混乱,原因是该公司和客戶之间未能肯定应由哪方将事故通报当地私隐保障监管当局和受影响人士。此外,涉事机构根据英国规例须通报怀疑资料外泄事故的时间,较根据澳洲法例作出通报的时间为早,反映当局有需要就应对牵涉多个司法管辖区的外泄事故订定适当计划。 根据澳洲资料专员公署的建议,在资料外泄事故中,与受影响人士关系最直接的机构应向规管机构通报事故。
- 至于通报时限,当地发现在涉事机构察觉外泄事故后,平均需时28.25日才作通报,大致与容许的最长30日评估期相符。循规成本方面,澳洲资料专员公署并无备存任何相关数字。不过,一项有关全球资料外泄情况的研究显示,在资料外泄事故的总成本中,通报成本只占5%,而在澳洲,通报成本在2010年至2017年间呈现微跌趋势。21注释符号代表请参阅Ponemon Institute (2017)。
- 整体而言,澳洲资料专员公署认为,强制规定能推动不少资料管控者改善其处理资料的做法,例如制订及实施资料外泄应对计划、提高安全和私隐标准,并采取资料减量政策,以减少资料外泄的整体风险。然而,由于《私隐法》的适用范围不包括为数不少的小型企业,或会令制度的整体成效大打折扣。此外,澳洲法律界预期通报计划会加快发展关乎资料外泄的集体诉讼机制,因计划可提供多一个证据来源,让受影响人士据以寻求补救。当地企业或因而需要增加投购相关的责任保险。
结语
- 因网络攻击、系统故障或人为错误造成的个人资料外泄,令公众深切关注资料保安问题,并为持有大量个人资料的机构带来各种挑战。强制要求通报个人资料外泄事故已成为现今国际趋势,有关措施除了能够让受影响人士能迅速采取保障措施,亦促使了资料管控者重新考量其持有个人资料的管理制度。香港政府现正研究引入强制性通报机制,以助加强保障个人资料。
- 鉴于在自愿性通报计划下,个人资料外泄事故与日俱增,澳洲于2018年实施强制性通报制度。澳洲的机制模式被认为设有较高通报门槛,而通报时限亦较具弹性。当地的通报数目在强制计划下大幅增加,提供了有用资料以了解当前资料外泄问题的性质。然而,制度运作首年的检讨显示,在评估应通报资料外泄事故、通报责任和计划的整体涵盖范围等方面,仍然有各种关注和挑战。
立法会秘书处
资讯服务部
资料研究组
张志辉
2019年11月20日
附注:
参考资料:
| 澳洲
| |
| 1. | Attorney-General's Department. (2014) Identity crime and misuse in Australia Key findings from the National Identity Crime and Misuse Measurement Framework Pilot.
|
| 2. | Attorney-General's Department. (2016) Serious Data Breach Notification.
|
| 3. | Australian Law Reform Commission. (2008) For Your Information: Australian Privacy Law and Practice.
|
| 4. | IDCARE. (2016) Submission to the Serious Data Breach Notification Consultation.
|
| 5. | Office of the Australian Information Commissioner. (2019a) Notifiable Data Breach (NDB) Scheme.
|
| 6. | Office of the Australian Information Commissioner. (2019b) Website.
|
| 7. | Parliament of Australia. (2013) Joint Committee on Intelligence and Security inquiry report.
|
| 8. | Ponemon Institute. (2017) Cost of Data Breach Study: Australia.
|
| 9. | Norton Rose Fulbright. (2017) The end of a long road - Mandatory data breach notification becomes law.
|
| 香港
| |
| 10. | Constitutional and Mainland Affairs Bureau. (2019) Motion on "Keeping up with Technological Development and Enhancing the Protection of People's Privacy" at the Legislative Council meeting of 22 May 2019 Progress Report.
|
| 11. | GovHK. (2018) LCQ2: Enhancing information security and the protection for privacy of personal data.
|
| 12. | GovHK. (2019) Government notes PCPD report on Cathay Pacific data breach incident.
|
| 13. | Minutes of Meeting of the Panel on Constitutional Affairs. (2019) 18 March. LC Paper No. CB(2)1703/18-19.
|
| 14. | PCPD. (2010) Media statement: Privacy Commissioner Publishes Guidance Note on Data Breach Handling and the Giving of Breach Notifications.
|
| 15. | PCPD. (2019) Data Breach Incident Investigation Report: Cathay Pacific Airways Limited and Hong Kong Dragon Airlines Limited.
|
| 16. | Report of the Bills Committee on Personal Data (Privacy) (Amendment) Bill 2011 of the Legislative Council. (2012) 30 May. LC Paper No. CB(2)2197/11-12.
|
| 17. | Wong, Stephen. (2018) Grooving Privacy Evolution with Law Reform and Data Ethics.
|
| 其他
| |
| 18. | California Legislative Information. (2019) Civil Code Section 1798.29.
|
| 19. | EU GDPR.orgn. (2019) Website.
|
| 20. | ICO. (2019) GDPR One year on.
|
| 21. | Lexology. (2018) Dutch Authority fines Uber for violation data breach regulation.
|
资讯述要为立法会议员及立法会辖下委员会而编制,它们并非法律或其他专业意见,亦不应以该等资讯述要作为上述意见。资讯述要的版权由立法会行政管理委员会(下称"行政管理委员会")所拥有。行政管理委员会准许任何人士复制资讯述要作非商业用途,惟有关复制必须准确及不会对立法会构成负面影响,并须注明出处为立法会秘书处资料研究组,而且须将一份复制文本送交立法会图书馆备存。本期资讯述要的文件编号为ISE02/19-20。