日後一旦發生大型數據泄露事件,涉事機構必須通知受影響者和個人資料保護委員會。違規機構可被處以更高的罰款,相當于在本地高達10%的年度營業額或100萬元,視何者爲高。
通訊及新聞部長易華仁日前在國會爲個人資料保護(修正)法案提出一讀,其中一項修正內容是加強個人資料保護委員會的執法能力。
修正法案一旦通過,違反個人資料保護法令的機構所面對的罰款,將從目前的高達100萬元,調高至多達10%年度營業額或100萬元,視何者爲高。
通訊及新聞部和資訊通信媒體發展局今年5月就修改個人資料保護法令及相關的垃圾電子信息管制法令,展開第四輪公衆咨詢活動,收到共87份反饋。其中約三分之一反饋者對調高罰款表示關注,包括有人認爲疫情導致經濟不景氣,不應在這時調高罰款。
政府也擬議修改法案,加強對機構的問責,要求機構采取措施更好地保護個人資料,包括爲特定用途采用公衆個人資料時須先進行風險評估。
當數據泄露事件涉及至少500人,或是會對個人造成嚴重影響時,機構也須在三天內通知個人資料保護委員會,並盡快通知受影響者。
不過,若已采取補救措施,降低嚴重影響風險,或是個人資料本已合理地加密處理,機構就不必通知受影響者。
另外,法案也擬議修改垃圾電子信息管制法令和“謝絕來電”條例,進一步管制通過電話、短信、即時短信和電郵等,大量發送給消費者的推銷信息。違例機構可面對更高的罰款。
機構日後須獲取消費者的明確同意才能進行直接營銷,包括通知消費者收集和使用資料的目的,以及提供合理的退出期限。但在一些“合法利益”情況下,如協助調查或追回債務等,機構則無需獲取個人同意。
易華仁日前接受媒體訪問時說:“這些修訂內容將給予消費者更多信心和保證,確保他們的個人資料受到保護,並確保各機構以負責任的方式在我國的經濟中使用這些資料。”
這些修訂內容將給予消費者更多信心和保證,確保他們的個人資料受到保護,並確保各機構以負責任方式在我國經濟中使用這些資料。
——通訊及新聞部長易華仁