在網絡環境下保障個人私隱:
如何平衡用戶和資料使用者的
需要和利益
莫乃光
香港互聯網協會
2010.11.13
平衡需要和利益

資訊科技和互聯網的影響

社會對私隱的重視

市民對私隱和個人資料概念不清悉

對法例的期望

立法十年的經驗

國際執政經驗
平衡需要和利益

「需要在保障個人資料私隱與便利資訊及通訊科
技持續發展之間,取得平衡」

「條文應盡可能不受科技發展的影響」

技術中立
敏感個人資料

現行《私隱條例》適用於「直接或間接與在世的
個人有關」而「可切實地用以確定個人的身分」
的個人資料,而無再區分「敏感」和「非敏感」

近年歐盟的指令,以及英國和澳洲的私隱法例,
已有特定條文更嚴格地監管處理「敏感個人資
料」...
敏感個人資料

不應針對生物辨識資料及資訊科技應用

針對資訊科技業?

大部分系統不能憑這些資料重組個人特徵

使用得宜,運用生物辨識資料反而比運用其他個
人資料來得「安全」

運用適當指引

研究應否擴大規管敏感個人資料
泄漏資料事件通報

強制機構泄漏資料需通知受害人

三個層次

對私隱專員

對受害人

對公眾

若每次事故均通知所有受影響人士,便「會對機
構造成沉重的負擔」,甚至令人「對通知變得麻
木」?
泄漏資料事件通報

冰山一角

重要程度考慮

指引是什麼?

「沉重負擔」正是促使這些使用個人資料的機構
訂定有效的措施防止個人資料外洩的動力

諮詢文件也指美國已有三十多個州的資料使用者
已有法定責任通知受影響人士,而澳洲和英國等...
泄漏資料事件通報

先向收取大量個人資料或受監管行業機構作強制
性通報要求
引入刑事成份

建議加強侵犯個人資料的刑罰,包括引入刑事罪
行,例如「披露在未經同意下取得的個人資料以
從中取利或作惡意用途」

誤墮法網?

甚麼是惡意、對感情的傷害?

難為「惡意」定分界

對互聯網言論影響的關注

平衡對個人...
規管資料處理者和分判活動

《私隱條例》漏洞,只監管資料使用者,卻沒有
監管獲外判處理資料的「處理者」,而其它地方
已直接或間接監管這些處理者

直接監管即在法例內規限處理者的行為及責任

間接監管則透過規定資料使用者「以合約方式或
其他...
規管資料處理者和分判活動

資料處理者可能涵蓋的範圍很廣,包括應用系統
開發商、互聯網服務供應商、網頁寄存商,甚至
新一代的社交網站或服務式軟件商等,也可涉及
境外公司

資料處理者可能不知其處理的資料是否個人資料

擔心窒礙互聯網上資訊...
私隱專員的執法權力未獲改善

「無牙老虎」

沒搜查、檢控等權力

議讓私隱專員資助受委屈人士追討賠償

贊成把嚴重違反保障資料原則行為訂為刑事罪
行、重複違反原則或執行通知等行為加强刑罰的
建議

如何為公署增撥資源?
應檢討 IP 地址是否個人資料

歸入不予跟進的建議

師濤案

IP 地址「本身並不符合個人資料的定義,因為 IP 地
址涉及的是一個死物的裝置,並非一位人士」

客觀事實是 IP 地址只要配合時間等資料,顯然「可
切實地用以確定個人...
莫乃光 Charles Mok
mok@hknet.com
http://www.charlesmok.hk
http://www.isoc.hk
Upcoming SlideShare
Loading in...5
×

PDPO legislation

1,615

Published on

Published in: Technology, Self Improvement
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,615
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

PDPO legislation

  1. 1. 在網絡環境下保障個人私隱: 如何平衡用戶和資料使用者的 需要和利益 莫乃光 香港互聯網協會 2010.11.13
  2. 2. 平衡需要和利益  資訊科技和互聯網的影響  社會對私隱的重視  市民對私隱和個人資料概念不清悉  對法例的期望  立法十年的經驗  國際執政經驗
  3. 3. 平衡需要和利益  「需要在保障個人資料私隱與便利資訊及通訊科 技持續發展之間,取得平衡」  「條文應盡可能不受科技發展的影響」  技術中立
  4. 4. 敏感個人資料  現行《私隱條例》適用於「直接或間接與在世的 個人有關」而「可切實地用以確定個人的身分」 的個人資料,而無再區分「敏感」和「非敏感」  近年歐盟的指令,以及英國和澳洲的私隱法例, 已有特定條文更嚴格地監管處理「敏感個人資 料」,如涉及「種族或民族本源、政治意見、宗 教或哲學信仰、工會會籍、健康狀況及性生 活」,英、澳把刑事紀錄列為敏感,澳洲的定義 更包括了基因資料。
  5. 5. 敏感個人資料  不應針對生物辨識資料及資訊科技應用  針對資訊科技業?  大部分系統不能憑這些資料重組個人特徵  使用得宜,運用生物辨識資料反而比運用其他個 人資料來得「安全」  運用適當指引  研究應否擴大規管敏感個人資料
  6. 6. 泄漏資料事件通報  強制機構泄漏資料需通知受害人  三個層次  對私隱專員  對受害人  對公眾  若每次事故均通知所有受影響人士,便「會對機 構造成沉重的負擔」,甚至令人「對通知變得麻 木」?
  7. 7. 泄漏資料事件通報  冰山一角  重要程度考慮  指引是什麼?  「沉重負擔」正是促使這些使用個人資料的機構 訂定有效的措施防止個人資料外洩的動力  諮詢文件也指美國已有三十多個州的資料使用者 已有法定責任通知受影響人士,而澳洲和英國等 地也正修改法例與美國看齊
  8. 8. 泄漏資料事件通報  先向收取大量個人資料或受監管行業機構作強制 性通報要求
  9. 9. 引入刑事成份  建議加強侵犯個人資料的刑罰,包括引入刑事罪 行,例如「披露在未經同意下取得的個人資料以 從中取利或作惡意用途」  誤墮法網?  甚麼是惡意、對感情的傷害?  難為「惡意」定分界  對互聯網言論影響的關注  平衡對個人和中小企相對大型機構的影響
  10. 10. 規管資料處理者和分判活動  《私隱條例》漏洞,只監管資料使用者,卻沒有 監管獲外判處理資料的「處理者」,而其它地方 已直接或間接監管這些處理者  直接監管即在法例內規限處理者的行為及責任  間接監管則透過規定資料使用者「以合約方式或 其他方法,確保資料處理者履行資料使用者這些 責任」
  11. 11. 規管資料處理者和分判活動  資料處理者可能涵蓋的範圍很廣,包括應用系統 開發商、互聯網服務供應商、網頁寄存商,甚至 新一代的社交網站或服務式軟件商等,也可涉及 境外公司  資料處理者可能不知其處理的資料是否個人資料  擔心窒礙互聯網上資訊的自由流通  先間接監管,吸取經驗,再考慮直接監管的需要
  12. 12. 私隱專員的執法權力未獲改善  「無牙老虎」  沒搜查、檢控等權力  議讓私隱專員資助受委屈人士追討賠償  贊成把嚴重違反保障資料原則行為訂為刑事罪 行、重複違反原則或執行通知等行為加强刑罰的 建議  如何為公署增撥資源?
  13. 13. 應檢討 IP 地址是否個人資料  歸入不予跟進的建議  師濤案  IP 地址「本身並不符合個人資料的定義,因為 IP 地 址涉及的是一個死物的裝置,並非一位人士」  客觀事實是 IP 地址只要配合時間等資料,顯然「可 切實地用以確定個人的身分」  資料全是「死物」  其他新技術的檢討,如 cookies
  14. 14. 莫乃光 Charles Mok mok@hknet.com http://www.charlesmok.hk http://www.isoc.hk
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×