国泰客户个人资料外泄要等“自爆”　议员促订立强制通报

国泰航空疑因管理个人资料不善，导致940万乘客资料外泄，包括信用卡、身份证和护照号码等敏感资料，而国泰3月时已发现资料可能被接触过、5月初证实事件，但延至昨日（10月24日）才公布，不过否认隐瞒。
现行《个人资料(私隐)条例》（下称《条例》）并无规定企业在个人资料外泄事故后必须通报，而是自愿性质，因此可算“无牙老虎”，很多时要企业“良心发现”，公众才会知晓事件。
有立法会议员指出，现时企业管理的个人资料愈来愈多，今次国泰外泄资料规模极大，性质严重，认为政府应更进一步，强制这类严重事故必须在指定时间内通报。

政府2009年检讨政策　咨询意见：先订自愿通报

《条例》自1996年生效至今，随着互联网愈趋普及，企业掌握市民的个人资料不断增多。十多年前起，由于经常有市民发现有个人资料被企业拿作直接促销用途，甚至无故被转交第三方，公众广泛关注个人资料安全问题。

政府在2009年就《条例》展开检讨，并进行公众咨询，当时其中一个讨论点，正是“应否订立机制，以规定个人资料外泄或遗失时，资料使用者须通知私隐专员及受事故影响的人士，以减低受影响人士因此而导致的损失”。

根据当时的公众咨询报告，已有部分人士提出，自愿机制并无足够诱因促使资料保管人通报事件，因为他们往往可能害怕形象受损，不肯通报。亦有部分人提出，可以只限定当外泄的资料涉及财务和医学等可能造成重大损失的资料时，才作强制通报。

然而，当时的总体意见倾向先设自愿性的通报机制。主要的理由是，当时通报机制仍未成熟，未有清晰及客观的通报标准，而过多通报亦可能减低大众对个人资料外泄的警觉性。最终，个人资料私隐专员公署采纳了自愿通报机制，延续至今。私隐专员在2010年6月发出《资料外泄事故的处理及通报指引》，建议资料使用者“在发生事故后尽快通报”，如果未能即时辨识资料当事人身份或涉及公众利益，“较有效做法”为公开通报。

指引无约束力　若非国泰“自爆”公众难以知晓

不过指引并无约束力，只属鼓励性质，因此像国泰航空般，3月就初步怀疑资料外泄，5月内部证实，但到10月才公开事件，相隔达七个月。公众要知悉事件，一般只有两种可能：一是像今次般国泰“自爆”，二是有资料当事人自行发现资料被用作不当用途，并再深入追查。

前年6月，立法会保险界议员陈健波向政府提问，当局有否打算将通报订为强制性的法律责任。当时署理政制及内地事务局局长陈岳鹏的回复是，目前只有少数地区有强制要求有关资料使用者向负责私隐或资料保障的机构作通报，其中一些司法管辖区的通报要求，只适用于个别指定的行业或界别。

政府亦以2009年的咨询结果作为“挡箭牌”，指大部分收到的意见也认为自愿性的通报机制较为可取，只答允“会继续留意相关发展”，但至今没有相关进展。

陈健波：企业有责任保护资料　设强制通报非常合理

陈健波接受《香港01》记者查询时表示，就他所知，政府现时未就个人私隐保障问题有重大政策立场改动。但他提到，现时企业得到的个人资料愈来愈多，资讯科技不断发展之下，这些资料非常容易成为黑客攻击目标，今次足足940万乘客资料受影响，规模可说极大。

他指出，规定企业通报外泄事故，可让客户及早提高警觉，减少损害。因此强制通报事故，他在原则上会支持，至于细节例如限定的通报时间、罚则等等，陈健波建议参考国际做法，取一个平均水平。

不过强制通报个人资料外泄事故，以至加强罚则，可能牵涉庞大的商界利益，那商界是否对于强制通报存在强烈反对声音？陈健波指出，暂时未听闻有哪些业界人士表达强烈反对意见，但他认为企业保存客户个人资料，本身有一定的保护责任，难以找出有力原因反对强制通报。