在數據外洩事故頻發的背景下,香港個人資料私隱專員公署計劃於2026年內就強制數據外洩通報機制向立法會進行諮詢,重新推動這項曾在2024年因商界憂慮而擱置的立法工作。私隱專員表示,隨着數碼經濟的迅速發展及網絡威脅日益加劇,香港有迫切需要建立與國際接軌的數據保護框架。
目前,香港是少數仍然採用自願性質數據外洩通報機制的已發展經濟體。根據現行《個人資料(私隱)條例》,機構在發生數據外洩事故後,並無法律義務向私隱公署或受影響的個人作出通報。私隱公署多年來一直鼓勵機構主動通報,但實際執行情況參差不齊,不少中小企業甚至未有建立基本的外洩應變機制。
立法建議重點
據了解,私隱公署今次重新提出的立法建議在多個關鍵範疇作出了修訂,以回應2024年首輪諮詢時商界提出的顧慮。修訂後的建議框架力求在保障公眾私隱與減輕企業合規負擔之間取得平衡。
- 通報門檻:以「造成重大損害的真實風險」為觸發條件,避免微小事故亦需通報的過度合規負擔
- 通報時限:5個工作天(折衷方案,介乎歐盟GDPR的72小時與澳洲的30天之間)
- 行政罰款:與機構年度營業額掛鈎,參考GDPR模式,具體比例有待諮詢
- 直接規管資料處理者:外判數據處理的第三方供應商亦須承擔法律責任
- 擴大「個人資料」定義:涵蓋IP地址、電郵地址、用戶名稱等「可識別」資料(現行條例僅涵蓋「已識別」個人的資料)
通報時限:5個工作天的折衷方案
在通報時限的設定上,私隱公署提出5個工作天的方案,被視為在各主要司法管轄區之間尋求中間路線。歐盟的《通用數據保障規例》(GDPR)要求機構在發現數據外洩後72小時內通報監管機構,而澳洲的《可通報數據外洩計劃》則給予機構最多30個日曆天的評估及通報期限。
私隱公署認為,5個工作天既能確保受影響個人及時獲悉外洩事件以採取保護措施,亦能給予機構合理時間進行初步調查及評估事件嚴重程度。有資訊科技業界人士對此表示支持,認為5個工作天的時限「務實可行」,但亦有聲音指出,對於大規模或複雜的外洩事件,5天可能仍然不足以完成全面的影響評估。
擴大個人資料定義
今次立法建議的另一重大變化,是計劃擴大《私隱條例》中「個人資料」的定義範圍。現行條例下的「個人資料」指與一名「已識別」(identified)的在世個人有關的資料。然而,在數碼時代,大量資料雖然未能直接辨識某一特定個人,但透過與其他資料的交叉比對,往往足以鎖定個人身份。
建議的修訂將把定義擴展至「可識別」(identifiable)個人的資料,意味着IP地址、電郵地址、社交媒體用戶名稱、裝置識別碼等網絡標識符號均有可能被納入保障範圍。此舉被認為是與GDPR及其他先進司法管轄區看齊的重要一步。
對企業的影響
若立法建議獲得通過,對香港企業,特別是中小企業,將帶來不容忽視的合規要求變化:
- 企業須建立完善的數據外洩偵測及應變機制
- 需指派專責人員負責數據保護及通報事宜
- 外判數據處理工作時須確保第三方供應商符合法律要求
- 須定期審視及更新數據保護政策,涵蓋新增的「可識別」資料類別
- 違規企業面對的不再是聲譽風險,而是實質的行政罰款
商界審慎回應
商界對重啟立法的反應審慎。香港總商會表示歡迎政府推動數據保護改革的方向,但呼籲當局在制定具體條文時充分考慮不同規模企業的執行能力,尤其是中小企業的資源限制。商會建議設立過渡期及分階段實施機制,讓企業有充足時間準備。
科技業界則普遍對立法表示支持。香港資訊科技商會主席指出,明確的法律框架反而有助提升消費者對數碼服務的信心,長遠而言有利於整個行業的健康發展。「與其讓企業自行決定是否通報,不如有一套清晰的規則,讓所有參與者站在同一起跑線上。」
與關鍵基礎設施法例互相配合
值得注意的是,強制數據外洩通報機制的立法將與2024年12月提交立法會的《保護關鍵基礎設施(電腦系統)條例草案》形成互補。後者已於2026年初生效,針對能源、金融、交通及通訊等關鍵行業的電腦系統安全作出規管。兩項法例合力構建的監管框架,將大幅提升香港在網絡安全及數據保護領域的法規水平。
私隱專員強調,強制通報機制的目的並非「懲罰企業」,而是建立一套透明、可預期的制度,讓公眾在個人資料遭到洩露時能夠及時獲得通知並採取保護行動。「在全球數碼經濟高速發展的今天,健全的數據保護制度不僅是保障市民權益的基本要求,更是維持香港國際商業信譽的重要基石。」
私隱公署計劃於今年第二至第三季向立法會相關事務委員會提交諮詢文件,並就具體條文安排進行為期三個月的公眾諮詢。若立法程序順利推進,新法例最快可望於2027年底或2028年初正式實施。