修改內容主要涵蓋四個方面,包括規定機構在涉及500人或更多的大型數據泄露事件,或是會對個人造成嚴重影響時,必須在三天內通知個人資料保護委員會,並盡快通知受影響者。
政府有意規定涉及大型數據泄露事件的機構必須通知受影響者和個人資料保護委員會,並且進一步避免公衆收到垃圾短信和來電。違規機構可面對更高的罰款,可相等于多達10%的年度營業額或100萬元,視何者爲高。
通訊及新聞部和資訊通信媒體發展局將針對修改個人資料保護法令及相關的垃圾電子信息管制法令,展開網上公衆咨詢活動。這也是當局對這兩個法令展開的第四個公衆咨詢。
修改內容主要涵蓋四個方面,其中包括規定機構在涉及500人或更多的大型數據泄露事件,或是會對個人造成嚴重影響時,必須在三天內通知個人資料保護委員會,並盡快通知受影響者。
目前在個人資料保護法令下,並沒有規定機構須在發生數據泄露事件後,通知任何一方。
當局也參考了公共機構數據安全檢討委員會的建議,泄露由機構擁有或管理的私人數據者,可被罰款最多5000元、或坐牢不超過兩年,或兩者兼施,確保公務員與公衆的刑罰一致。
此外,政府准備在“謝絕來電”條例下,禁止利用挖掘軟件(address harvesting software)以及“字典攻擊”(dictionary attack)方式,發送垃圾短信和來電至不同電話號碼。挖掘軟件會自動上網收集各處的電話號碼,“字典攻擊”則是以特定程序生成一連串的電話號碼。
修改垃圾電子信息管制法令
當局也會修改垃圾電子信息管制法令,管制大量發送到WhatsApp等即時通信賬號的商業短信。
另外,個人資料保護委員會的執法能力也將加強。
爲起到更大的威懾作用,違反個人資料保護法令的機構所面對的罰款,將調高至多達10%年度營業額或100萬元,視何者爲高。目前罰款額爲高達100萬元。
調高後的罰款額將與我國其他法令一致,也接近其他司法管轄區如歐盟和澳大利亞的法律。
其他擬議修改的內容包括,推出數據流通(data portability)新規定,讓公衆可要求一份自己的個人數據傳送給另一個機構,方便消費者更換服務商。
公衆被機構視爲同意給予個人資料的情況也將擴大,以涵蓋達成或執行合約或交易時,合理地收集、使用和揭露個人資料;以及在公衆已得知資料被收集和使用的目的,並可選擇退出卻沒有退出等情況。
個人資料保護委員會副專員楊子健說:“隨著電子商務等數碼服務越來越普遍,公衆對機構如何管理個人資料的信任至關重要。政府擬議修改個人資料保護法令,將有助機構在數碼經濟中轉型和發展時,能更好地服務消費者。”
有意提供反饋者可到通訊及新聞部網站查看詳情,咨詢活動在本月28日下午5時截止。