【香港寬頻資料外洩】私隱專員公署淪無牙老虎 阻力源於政府
香港寬頻早前(4月23日)就舊客戶資料遭到非法盜取一事,召開記者會交代最新情況。行政總裁楊主光承認事件涉及人為過失,並強調是個別事件。個人資料私隱專員公署(下稱,公署)表示接獲了30宗查詢及11宗投訴,已主動就事件展開循規審查。不過,公署多次被外界質疑形同「無牙老虎」,歸根究柢其「無能」都是源於政府的掣肘。再者,現時違反保障資料原則不會直接構成刑事罪行,但保障客戶個人資料是企業的責任,守則不會成為「無心之失的刑事法」,政府宜重提刑事化方案。
香港寬頻上周受到黑客攻擊,存放在舊伺服器的38萬舊客戶資料及及超過4萬項信用卡資料遭到非法盜取,行政總裁楊主光承認事件涉及人為過失,包括未有為該伺服器加密,亦沒有把舊伺服器離線。楊主光表示,香港寬頻將推出補救措施,例如未來3個月內刪除90萬舊客戶資料、只會保留舊客的個人資料6個月、隨機刪除其身份證及信用卡號碼的部分數字等。
個人資料私隱專員黃繼兒表示,受影響的客戶人數眾多,當中或涉及大量敏感的個人資料。他又提醒,不論公私營機構,必須按《個人資料(私隱)條例》(簡稱:《條例》)規定妥善儲存客戶的個人資料,否則便有可能違反條例下的資料保安原則。
港府未授權檢控 公署有心無力
個人資料私隱專員公署是一個獨立法定機構,負責監察香港法例第486章《個人資料(私隱)條例》的施行。條例在1996年12月20日生效。
不過,《條例》的阻嚇力十分有限。近年公署多次在企業洩漏個人資料的事件中,被批評為「無牙老虎」,原因並非公署「無能」,而是政府不願就此修例,加強《條例》阻嚇性。
《條例》生效至今已經22年,在2009年,因藝人裸照在網上廣泛流傳、公私機構連串外洩個人資料風波,引起社會關注,故政制及內地事務局在公署協助下,全面檢討《條例》。當年公署認為條例過時,而向政制及內地事務局提交了超過 50 項修訂建議,長達119頁,但主要建議不獲政府採納。
立法會文件顯示,政府不支持授予私隱專員刑事調查及檢控權力、就嚴重違反保障資料原則處以罰款、重複違反執行通知等修訂建議,但理由荒謬。以「重複違反執行通知」一項為例,「執行通知」即是公署發給違反《條例》人士的修正命令,若該人士不遵守執行通知即屬刑事罪行,公署建議對多次不遵守執行通知者,加重罰則。政府當時以「屢犯的問題並不嚴重」為由表態不支持建議,但公署指出,法例對屢犯者施以較重刑罰在其他法例也甚為常見。更何況,即使當時屢次犯罪的情況不算嚴重,但不代表問題不會日趨惡化。故此,政府的說法難言合理。
政府設立《條例》的原意是保障市民私隱,理應加強條例的阻嚇力,若到屢犯情況嚴重才展開修例行動,恐怕已經太遲了,不能發揮保障市民的作用,而且公署是獨立法定機構,政府應多採納其專業意見,而非對公署多年的「訴求」聽而不聞、視而不見。
違反保障資料原則再倡刑事化
香港寬頻今次事件中或違反了保障資料原則(下稱,原則)──保留原則、資料保安原則,因其沒有採取切實可行的步驟處理舊客戶資料(即加密程序),但根據《條例》,香港寬頻並不須受罰。
《個人資料(私隱)條例》列出六項保障資料原則,違反保障資料原則並不直接構成刑事罪行,惟私隱專員可發出執行通知,指令違反的人士/機構採取補救措施;不遵守執行通知才屬於刑事罪行,一經定罪,可被判處最高罰款港幣五萬元及監禁兩年。
違反保障資料原則不會直接構成刑事罪行,使該原則形同虛設,要靠企業自覺。 公署於2009年曾提倡將違反保障資料原則的行為,一概列為刑事罪行,但遭政府拒絕。時任政制及內地事務局局長林瑞麟解釋說,若將非蓄意的行為或遺漏列為刑事責任,會影響公民自由,令原則成為「無心之失的刑事法」。
然而,企業有責任做好資料保安措施,保障客戶個人資料。即使企業的行為是「無心之失」的遺漏和非蓄意,也不能合理化這個行為,單靠企業自覺無法保障市民的個人私隱。如早前連連發生有旅行社遭黑客入侵伺服器,盜取客戶資料並被勒索比特幣,可見企業對於資料被竊欠缺危機意識,遑論要主動實行資料保安措施。
其實政府擔心原則成為「無心之失的刑事法」,亦不無道理,一般市民或易墮法網,但政府仍可就此修例針對企業,排除市民的個人行為,例如參考歐美國家做法,設立企業罰款,並定為其營業額的某個百分比,相信能提高企業的保安意識。