保私隱與時並進 數據安全妥審視

　　私隱專員公署發表去年工作報告，喜憂參半。公眾樂見「起底」個案大減，壓低整體投訴量，惟涉及個人資料外洩的通報，卻創下歷年新高，而且個別重大事故的調查報告尚未遞交，在在反映私隱條例仍有所偏廢。

　　在網絡世代，法規有需要與時並進，不僅要在個人層面，防範公私營機構過分收集資訊，更要全盤審視如何安全管理數量和價值均與日俱增的大數據。

禁起底見成效 欠權力查外洩

　　公署去年接獲近3,600宗投訴，按年跌約7%，當中牽涉起底性質者，以及署方主動網上巡查發現的案件，合計有765宗，大跌57%。

　　因應社會運動修訂的《私隱條例》反起底部分2021年10月生效後，公署不僅獲得刑事調查權，亦可拘捕檢控，且就相關罪行發出停止披露通知。雖然通知對象大部分是海外平台，但未見公署鞭長莫及，信息移除遵從率已升至95%。私隱專員鍾麗玲也指，打擊有成效，暫不需採取強硬舉措，尋求封閉Telegram。

　　署方針對以金錢、感情糾紛為主的惡意起底，堪稱雷厲風行，但在範圍更廣的一般信息處理，卻仍像「無牙老虎」，無論於商企前期的資訊收集，到後期的外洩事故皆然。

　　公署昨揭示，本港10間設程式點餐的食肆，悉數追蹤用戶數據來直接促銷，絕大多數預設同意，更有餐廳沒提供任何選擇權，但署方只能提供「建議」，教市民自保，促商企改進。

　　這明顯不及歐盟完備的《通用數據保障條例》（GDPR），要求由客戶主動「選擇參與」（opt-in）分享個人數據，且有權「選擇退出」（opt-out），如停收宣傳電郵。

　　當私隱規例不能勒令機構限時刪除個人資料，疊加網絡保安人才不足、制度疏失等連串問題，便觸發數碼港去年遭黑客攻擊入侵後，連離職多時的員工都成暗網外洩的受害者。數碼港、消委會及Carousell等至今未能為重大事故提交報告，私隱公署亦無能為力。

　　為應對網絡科技新挑戰，港府去年11月表示，正與公署研究私隱條例，強制資料外洩通報、賦權專員作行政罰款、直接規管資料處理者，及釐清個人資料定義等，將參考其他司法管轄區及本港實況作建議。

釐清資訊收集 確立監管權責

　　隨著人工智能愈趨盛行，公私營機構於日常生活收集的海量資訊愈益有價值，政府有責任參考海外最佳私隱法規自我改進，防止市民不知就裏交出無必要的個人資訊。

　　本港正致力推動的生物醫學、金融科技，每每倚賴反映社會趨勢和特質的大數據，當中的個人資訊不時會經過匿名化處理，不再是傳統意義上的私隱。相關機構須採用哪級數的安全標準，會否有認證制度等，要通盤考慮。

　　就著網絡安全，現時屬於法定機構的私隱公署、生產力局，以及即將合併升格的政府資科辦，各擔起不同諮詢顧問角色。現有的私隱專員，與未來專責數字政府、數據治理的數字政策專員，需要清晰分工。

　　港府必須反思，今後應修例為私隱公署簡單擴權，還是像新加坡額外增設網絡安全局，以互補不足。當地成立不足9年的網安局將獲擴大權限，方便監管高風險關鍵設施如數據中心、擁敏感信息的機構，本港當前與大灣區的跨境數據互通、基建對接日，箇中權責和保障也要及早釐清。