私隱:誰管、點管、有乜資源管?
最近有兩單大嘢:國泰資料外洩、環聯出現保安漏洞。我起了條題,問三個問題,並嘗試找答案。
誰監管私隱?
答案本應明顯 — 香港個人資料專員公署(公署)。但有意見認為環聯事件「金管局責無旁貸」,我不想爭辯,不如看看環境證供。
私隱專員根據《私隱條例》第12條發出「個人信貸資料實務守則」,裏面有獨立章節講「信貸資料機構為資料保安及系統完整性所採取的措施」,並指明「信貸資料機構須自費聘用由專員核准(或專員選擇由其委任)的獨立循規審核人進行定期循規審核」,而且「每次進行循規審核開始後三個月內向專員呈交審核報告,供其考慮及/或評論」。環聯作為信貸資料機構,好明顯係完完全全受公署監管。
如果唔係環聯,而係其他被監管機構(例如銀行/證券行),咁又邊個管?有賊打劫銀行,斷估你會覺得應該搵差人,由警方建議銀行如何做好防盜。但點解私隱外洩就覺得關金記事?因為有個「重疊位」 — 數據安全。不同監管機構對數據安全各有要求,目的都是履行各自的法定責任。例如金記要確保銀行體系穩健和存戶保障等等,而公署則是保障私隱。兩者要求可能近似但未必完全相同,而銀行就要同時滿足兩者要求。所以要分清楚權責範圍,當牽涉到私隱問題,合規與否及如何改正是公署的權責範圍。如果銀行蠢到唔聽公署話,金記從企業管治角度已可出手,但這是後話。
公署點管?有無資源管?
嘗試從公署的年報找答案,裏面有case studies,值得睇,學到嘢。但有三個驚起(驚到彈起)位。
第一個驚起位是人手和資源。原來公署只有75人,涵蓋傳訊及教育、投訴、合規及查詢、企業支援、法律、和政策及研究六個部門,而且一年開支只有八千幾萬 (證監開支係佢20倍,17億幾)。以咁嘅人手資源,一年可以處理到萬六宗查詢、千六宗投訴、273個循規審查及調查行動,仲有時間做68次傳媒訪問,真係堅過梁栢堅!但大話怕計數,inputs(資源 x 方法) = outputs(質 x 量)。雖然我深信公署職員必盡力工作,但75人要完成咁嘅量,除非「方法」好特別,「質」難免有所犧牲。
講到「方法」就發現第二個驚起位,公署在「執法」和「監察及監管符規」兩項工作的策略都有這句:「夥拍其他規管者,憑藉他們的法定權力、制度和執法權力,履行公署的責任」。我對此策略感到很奇怪,公署怎能把法定責任外判給其他規管者?其他規管者知唔知、有無同意?公署與其他規管者有無合作備忘錄說明如何分工?《私隱條例》有無賦予公署足夠權力履行責任,點解要借他人之力? 這策略會否導致受規管機構與不受規管機構出現雙重標準(因後者無得借力)?對於這些問題,希望公署能多說明,讓公眾理解。
第三個驚起位是有關Facebook的調查,年報提及「Facebook HK 並不控制香港帳戶資料的收集、持有、處理或使用,所以不能被視為《私隱條例》下的「資料使用者」; 雖然Facebook Ireland是香港帳戶的「資料使用者」,但沒有香港帳戶向公署表示受影響,故《私隱條例》 相關規管條文未能適用於是次事件。」這結論可能建基法律觀點,但從風險管理角度看就不太合理。要預防風險,公署不應只看結果,還要看有關安排,在最壞情況下可導致什麼惡果。另一個是操作問題:如真有香港帳戶表示受影響,公署究竟有無辦法搞得掂負責人員不在香港的 Facebook Ireland?
我非常尊敬及同情公署,管私隱即是管晒全世界所有可能有港人個人資料嘅機構,單是擁有大量個人資料的機構如金融機構、航空公司、旅行社、電訊公司、超市、藥房等等都唔知有幾多間!得咁少資源,除了扮管同埋屈其他監管機構幫手,仲有什麼辦法?希望公署能想清楚應該點管,要幾多資源管,然後積極向政府爭取。
鄭發
歡迎轉載,請註明出處 #貼地風管
Search