【香港宽频资料外泄】私隐专员公署沦无牙老虎　阻力源于政府

香港宽频早前（4月23日）就旧客户资料遭到非法盗取一事，召开记者会交代最新情况。行政总裁杨主光承认事件涉及人为过失，并强调是个别事件。个人资料私隐专员公署（下称，公署）表示接获了30宗查询及11宗投诉，已主动就事件展开循规审查。不过，公署多次被外界质疑形同“无牙老虎”，归根究柢其“无能”都是源于政府的掣肘。再者，现时违反保障资料原则不会直接构成刑事罪行，但保障客户个人资料是企业的责任，守则不会成为“无心之失的刑事法”，政府宜重提刑事化方案。

香港宽频上周受到黑客攻击，存放在旧伺服器的38万旧客户资料及及超过4万项信用卡资料遭到非法盗取，行政总裁杨主光承认事件涉及人为过失，包括未有为该伺服器加密，亦没有把旧伺服器离线。杨主光表示，香港宽频将推出补救措施，例如未来3个月内删除90万旧客户资料、只会保留旧客的个人资料6个月、随机删除其身份证及信用卡号码的部分数字等。

个人资料私隐专员黄继儿表示，受影响的客户人数众多，当中或涉及大量敏感的个人资料。他又提醒，不论公私营机构，必须按《个人资料（私隐）条例》（简称：《条例》）规定妥善储存客户的个人资料，否则便有可能违反条例下的资料保安原则。

港府未授权检控　公署有心无力

个人资料私隐专员公署是一个独立法定机构，负责监察香港法例第486章《个人资料（私隐）条例》的施行。条例在1996年12月20日生效。

不过，《条例》的阻吓力十分有限。近年公署多次在企业泄漏个人资料的事件中，被批评为“无牙老虎”，原因并非公署“无能”，而是政府不愿就此修例，加强《条例》阻吓性。

《条例》生效至今已经22年，在2009年，因艺人裸照在网上广泛流传、公私机构连串外泄个人资料风波，引起社会关注，故政制及内地事务局在公署协助下，全面检讨《条例》。当年公署认为条例过时，而向政制及内地事务局提交了超过 50 项修订建议，长达119页，但主要建议不获政府采纳。

立法会文件显示，政府不支持授予私隐专员刑事调查及检控权力、就严重违反保障资料原则处以罚款、重复违反执行通知等修订建议，但理由荒谬。以“重复违反执行通知”一项为例，“执行通知”即是公署发给违反《条例》人士的修正命令，若该人士不遵守执行通知即属刑事罪行，公署建议对多次不遵守执行通知者，加重罚则。政府当时以“屡犯的问题并不严重”为由表态不支持建议，但公署指出，法例对屡犯者施以较重刑罚在其他法例也甚为常见。更何况，即使当时屡次犯罪的情况不算严重，但不代表问题不会日趋恶化。故此，政府的说法难言合理。

政府设立《条例》的原意是保障市民私隐，理应加强条例的阻吓力，若到屡犯情况严重才展开修例行动，恐怕已经太迟了，不能发挥保障市民的作用，而且公署是独立法定机构，政府应多采纳其专业意见，而非对公署多年的“诉求”听而不闻、视而不见。

违反保障资料原则再倡刑事化

香港宽频今次事件中或违反了保障资料原则（下称，原则）──保留原则、资料保安原则，因其没有采取切实可行的步骤处理旧客户资料（即加密程序），但根据《条例》，香港宽频并不须受罚。

《个人资料（私隐）条例》列出六项保障资料原则，违反保障资料原则并不直接构成刑事罪行，惟私隐专员可发出执行通知，指令违反的人士／机构采取补救措施；不遵守执行通知才属于刑事罪行，一经定罪，可被判处最高罚款港币五万元及监禁两年。

违反保障资料原则不会直接构成刑事罪行，使该原则形同虚设，要靠企业自觉。 公署于2009年曾提倡将违反保障资料原则的行为，一概列为刑事罪行，但遭政府拒绝。时任政制及内地事务局局长林瑞麟解释说，若将非蓄意的行为或遗漏列为刑事责任，会影响公民自由，令原则成为“无心之失的刑事法”。

然而，企业有责任做好资料保安措施，保障客户个人资料。即使企业的行为是“无心之失”的遗漏和非蓄意，也不能合理化这个行为，单靠企业自觉无法保障市民的个人私隐。如早前连连发生有旅行社遭黑客入侵伺服器，盗取客户资料并被勒索比特币，可见企业对于资料被窃欠缺危机意识，遑论要主动实行资料保安措施。

其实政府担心原则成为“无心之失的刑事法”，亦不无道理，一般市民或易堕法网，但政府仍可就此修例针对企业，排除市民的个人行为，例如参考欧美国家做法，设立企业罚款，并定为其营业额的某个百分比，相信能提高企业的保安意识。