新闻公报

立法会三题:政府部门处理个人资料外泄事件

  以下为今日(六月十一日)在立法会会议上汤家驊议员的提问和政制及內地事务局局长林瑞麟的口头答覆:

问题:

  关於政府部门处理市民个人资料外泄事件,政府可否告知本会:

(一)鑑於怀疑属警方內部机密的档案最近在互联网上流传,警方在这些事件发生时是否已有內部指引,指示警员应如何使用及保障公眾的个人资料;如果有指引,內容是甚么;在泄密事件后,警方有没有即时彻查是否有警务人员违反指引,以及有没有联络所有受影响的人士,向他们交代將会如何就事件作出补救及有没有向违反指引的警务人员作出处分;

(二)金融管理局(金管局)现时有没有设立机制,要求银行在发生个人资料外泄事件后立即向金管局匯报;如果有设立机制,金管局为甚么容许香港上海滙丰银行有限公司在事发后六天后才向其匯报遗失了一部载有客户资料的伺服器,以及金管局为甚么在接报后的四日內没有公布事件;及

(三)会不会检討所有政府部门处理个人资料的程序,以及將如何加强公眾对政府处理个人资料的信心?

答覆:

主席女士:

(一)警务处一向根据订定的內部指引,规定警务人员应如何处理及保护个人资料。《警察通例》及《警务处程序手册》均详细说明,警务人员须根据《个人资料(私隱)条例》(第486章)(《私隱条例》)下的保障资料原则,处理及保护个人资料。《警队资讯保安手册》亦订有严格的指引,列明警务人员以电子形式处理內部资料及个人资料时应注意的事项及程序。

  警务处非常关注近日部分內部文件在互联网上流传的事件,並已交由商业罪案调查科科技罪案组全力跟进调查。对於那些查明並不涉及刑事成份的个案,警队已著手进行纪律调查。若经调查后发现有任何警务人员违反警队內部指令或规定,警方会按既定程序採取纪律行动。

  此外,警方已通知资料当事人有关事件,並建议他/她若怀疑所泄露的个人资料遭不当使用时,应即时联络警方跟进。

  警队已成立工作小组,负责全面审视警队现有的资讯保安及资料(包括个人资料及须保护资料)保护措施和程序,其中包括检討使用私人电脑处理公务的政策,及提出改善措施,以减低外泄个人资料或须保护的资料的风险。

(二)金管局已就保障银行客户资料发出清晰的指引。指引要求认可机构(包括银行)就遗失客户资料或客户资料被第三者未经授权取得制订事故管理程序,包括对外(例如金管局及受影响客户)的通报安排。金管局的监管標准是要求银行在事故发生后,须尽快通知金管局及向金管局提交事故报告。

  就问题提及的有关事件,金管局在二○○八年五月二日(星期五)傍晚接到香港上海滙丰银行有限公司(滙丰银行)的通报,指银行在二○○八年四月二十六日遗失了一部载有客户资料的电脑伺服器。金管局在接获通报后已立即要求滙丰银行採取有关的跟进工作,包括迅速通知受影响客户、加强保护客户个人资料的措施,以及向金管局提交事故报告。

  金管局並没有容许滙丰银行在事发后六天才向金管局匯报有关事件。金管局已收到滙丰银行提交的事故报告,並会从监管角度考虑滙丰银行就上述事件的处理手法(包括通报安排)是否符合有关指引的规定。若发现有任何违反指引规定的情况,金管局会考虑採取適当的监管行动。

  涉及客户资料外泄的银行有责任迅速通知受影响客户。至於银行透过何种方法通知受影响客户,包括应否发出公布,是银行的决定。然而,考虑到这次事件中受影响客户的数目眾多,金管局认为作出公布是通知可能受影响客户的合適及有效方法。因此,金管局在滙丰银行已初步確定受影响客户的数目及有可能外泄的资料后,已立即要求滙丰银行公布事件,而滙丰银行亦於二○○八年五月六日就有关事件作出公布。

(三)自《私隱条例》於一九九六年十二月生效后,当局已向各决策局及部门发出多份通告,阐释有关《私隱条例》条文及如何遵守条例若干规定。个別决策局及部门须遵照《私隱条例》的规定,及因应个別的运作需要,制定其处理个人资料的措施。每个决策局及部门均需要委任一至两名人员为「资料管制人员」负责评估、批准、监察及检討部门內的个人资料保障措施,以確保部门能遵守《私隱条例》的规定。个人资料私隱专员公署(公署)亦有定期向这些人员提供一些关於条例的资讯,让他们得知有关个人资料私隱的最新发展。

  各部门除了要设立切合部门运作需要的保障个人资料制度外,亦须加强培训,提高员工对条例的认知及处理个人资料的警觉性。

  我们鼓励各部门派员加入由公署成立的「保障资料主任联会」,透过参与各种交流活动,加深对条例的认识和了解。联会主要为在任职机构负责推行及统筹保障个人私隱措施的专业人员提供联繫网络。目前已有三十二个部门派员加入这个联会。公署將於二○○八年八月为会员举办以个人资料保安为主题的研討会,並会於十月至十二月期间举行多个工作坊,以加强会员的保障个人资料知识。

  在二○○八/○九年度,政府为公署额外提供一百万元拨款,加强宣传及教育工作,当中包括製作「了解《个人资料(私隱)条例》」教材套,协助公私营机构资料使用者自行为员工举办培训班,教导员工如何正確处理个人资料。这份教材套预计可於二○○九年年初分发给各政府部门使用。此外,在未来数月,政府会与公署举办一系列讲座及个案研究,以进一步提升各部门对条例的认识,包括个人资料的保安及处理查阅个人资料的要求。

  当局亦时有提醒员工善用私隱专员网页所提供的各类资讯(如实务守则、指引、资料概览等),以提升员工对条例的认识。

2008年6月11日(星期三)