黃繼兒:私隱法33條具迫切性
2019年9月30日

撰文:鄭雲風 本刊記者

除了本地執法欠「大棒」,數據跨境流通也是公眾關注的題目之一,例如剛剛推出的iPhone 11,便因為電話跟了大陸型號,旋即引起網民熱烈討論,擔心資料「被送中」。隨着中港進一步融合、大灣區合作如箭在弦,各地如何合作溝通、訂立統一監管準則的需求愈來愈迫切。

現時內地監管個人資料私隱採用「斬件式」,根據不同行業訂立不同條文,包括電訊、貿易、國家能源等等;相反,本地的私隱法是全港通用,可用於各行各業。私隱專員黃繼兒透露,內地正研究綜合性保障個人資料法,預計於明年或大後年推出,經中港十多次的溝通接觸、區域研討會,他發現內地希望跟隨香港私隱準則。

當年香港迅速推行《私隱條例》,便是希望與歐盟通商。但時至今日,香港《私隱條例》多年來未有重大更新,已顯得落伍,反觀歐盟因應科技進步及全球化,於去年中推出《通用數據保障條例》,取代1995年的《資料保護指令》,提升私隱保障。

該條例除了擴闊個人資料定義、賦予權力向違規機構收取高額罰款等等,也就個人資料能否移送至歐盟境外,訂立詳細準則。

各處鄉村各處例

理論上,香港《私隱條例》第33條亦有類似作用。條例禁止將個人資料移至香港以外地方,除非獲資料當事人書面同意、或者該地方與香港有相同的私隱保障等等。因此,當兩地私隱保障有差異,仍能阻止個人資料外傳,可是這道防火牆拖延23年仍未生效。

結果是數據「送中冇王管」。2017年,傳真社偵查報道發現,百度旗下的「來電攔截」應用程式DUCaller涉嫌侵犯私隱,一旦安裝程序,就算未同意私隱政策,已將用戶手機資料如電話簿、電話號碼等,傳送至北京的伺服器。

另外,今年有傳媒發現中資銀行將客戶資料移送到內地數據中心。由於《私隱條例》欠缺境外執法權,有資訊科技界議員擔心兩地法律保障有差異,出事時欠缺有效罰則。

黃繼兒解釋,條文未實施的主要原因,是擔心加重中小企的營運成本,「生效後,中小企轉移資料時是否有好多功夫?點樣可以證明那些地區,跟我們一樣有相應的資料保障?」2016年,政府曾經就33條作營商影響評估,並於立法會會議上討論,有議員表示,中小企缺乏資源僱用法律顧問,要評估轉移資料地區的私隱保障有重大困難,亦有議員擔心會否影響海外公司來港投資興趣。

在商言商,全球進入網絡時代,數據貴為未來石油,已成為各地如新加坡必爭的資源之一,早前將軍澳已吸引多家科技公司進駐,逐漸發展成數據中心。但黃繼兒表示,33條一直未生效,原來有損香港營商環境,「聽過有機構說,因為香港沒有這條條例,而要將data中心移去其他地方。」33條生效有迫切性嗎?他果斷回答:「當然有,推行大灣區、一帶一路,你有33條,其他人咪有信心,這是一個指標」。

過去實行33條只聞樓梯響,記者再次問及政府有何回應,黃繼兒說:「都差不多,政府做了一次諮詢,我又做了一次,方向都已經有,不過現在香港這樣局勢,那有時間理會?」他笑言,於云云工作中,政府處理私隱問題的優先次序向來不高,「政府一定是先研究樓、土地」。

——節錄自十月份《信報財經月刊》