是时候进步了
先是数码港资料外泄,后有虚拟资产服务涉嫌诈骗,香港还想做国际金融中心、国际创新科技中心?或许得先承认,现在我们很多不足。
数码港是第一任特首董建华提出的重大项目,以推动香港的创科发展,多年来获得大量公帑支持。政府资讯科技总监办公室的智慧政府创新实验室,也是设立在数码港之中。很大程度上,它应该代表着香港的创科水平。
然而,在8月中,数码港却发现被黑客入侵,多达400GB的资料其后被“撕票”在暗网公开。保安出现漏洞,业界形容是“严重疏忽”,本身研究创新科技的立法会议席吴杰庄亦认为,事件反映网络安全意识不足。
根据目前机制,资料外泄后,有关人士应“尽快”通知资料当事人及个人资料私隐专员,惟《资料外泄事故的处理及通报指引》属自愿性质,未订明具体时限。专员亦可向相关人士发出执行通知,违者最高可判罚款五万元及监禁两年。
资料外泄后,数码港于8月18日通报个人资料私隐专员公署。向公众交代时,数码港行政总裁又指没有机构可以“百毒不侵”,及暂时未发现涉及人为疏忽。这相当于说,数码港要做的都做了,对于受害人士没有什么责任要负。他们的履历、个人资料在暗网公开,也无计可施。
在现行的制度上,可能是这样。但应不应该是这样?众所周知,欧盟视个人资料保障作为基本权利,制定的《通用数据保障条例》相当严格,不但罚款可以数以亿计,亦强制规定机构及企业委任保障资料主任,负责履行问责工具(例如为资料处理活动及政策/措施作记录、进行资料保障影响评估)。数码港的外泄事件如果发生在《通用数据保障条例》之下,要负的责任随时大很多。
香港政府过去曾研究修例,考虑授权私隐专员直接向严重违反保障资料原则的个案处以行政罚款,以及直接规管云端服务供应商等资料处理者,后来2021年修例法案却只集中在打击起底行为。到今年2月,私隐专员钟丽玲又在立法会表示打算在第二季征询立法会政制事务委员会意见,惟至今未见修例下文。
无独有偶,虚拟资产交易平台JPEX事件中,证监会交代的时候多次提及以往对于交易平台没有监管权力,修例后的职权亦未包括场外交易(OTC)等。最终,证监会可以说已经尽了力提醒社会,尽了力调查JPEX有否涉嫌违反《打击洗钱及恐怖分子资金筹集条例》,即使客观结果显示,仍有不少投资者受骗。
什么是尽了责任,视乎我们的法规如何制定、如何要求。本身是执业律师的立法会议员江玉欢近日提到,“我们的法律草拟无疑较为被动,法律的更新及草拟主要由政策局带领⋯⋯要整个社会进步,法律是可以走在发展前面”。也不说“走在发展前面”,现在看来,政府的法规工作不要落后形势也可能算是不错了。