個人資料保障不能落後於中外

內地上月開始實行《個人信息保護法》，是國家首部針對個人資料保護的專項法律。香港個人資料私隱專員鍾麗玲近日在報章撰文，稱其「反映了保護個人信息方面最新的國際標準」，呼籲在內地開展個人資料處理活動的香港企業應該了解並且遵循相關規定，並且推廣私隱專員公署出版的《個人信息保護法》小冊子。

當歐盟在2016年4月《通用數據保障條例》的時候，時任私隱專員黃繼兒也曾表示：「只要香港機構、企業涉及收集和處理歐盟人士的個人資料，便須為遵從《通用數據保障條例》的規定作好準備。」到2018年5月歐盟《條例》生效後，公署亦像今次對內地《個人信息保護法》一樣推出相關介紹刊物，當中提及「在制定個人資料保障標準方面……訂立了一個前所未有的高標準」。

未劃分敏感信息及強制外洩通報

其實，單是私隱專員需要特別提醒香港企業需要注意遵守內地《個人信息保護法》與歐盟《通用數據保障條例》一事，本身便足以反映我們自己的《個人資料（私隱）條例》在監管企業、機構使用個人資料方面未夠它們嚴格。若將本港與大陸、歐盟的幾部個人資料法律內容認真地作出比較，更能發現香港《私隱條例》不少規定根本十分落後，跟所謂個人資料保障的國際標準有着很大距離。

舉例來說，香港法例並未有明確區分敏感與非敏感的個人資料，但內地就將生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等視作「敏感個人信息」，歐盟則把跟個人種族、政見、宗教信仰、工會身份、基因、生物識別、性向相關的資料列為「特殊類別」，處理它們均得符合更嚴格的條件。與此同時，中國大陸、歐盟都強制發生資料外洩事故的處理者向監管部門通報，然而香港卻無這種規定。

個人無權提刪除或反對處理要求

除此之外，香港資料當事人的權利也跟內地、歐盟存在明顯差異。在香港《私隱條例》下，當事人僅具備向機構提出查閱自己資料、索取資料複本及要求改正錯誤的權利，可是內地《個人信息保護法》第47條規定在當事人「個人撤回同意」的時候「個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除」，而歐盟《通用數據保障條例》第17條亦給予了資料當事人相類的「被遺忘權」。

私隱專員和公署積極介紹內地《個人信息保護法》、歐盟《通用數據保障條例》，反映它們也知道香港《私隱條例》跟兩者有所分別。然而不久前提出和通過的《2021年個人資料（私隱）（修訂）條例草案》，焦點只放在對付「起底」罪行，未有把握機會填補前述漏洞。專員公署未來必須盡快跟當局作更多溝通，繼續完善本港個人資料保障法制，這樣才能追上國家與國際的標準。