貼地風管 - 鄭發 2018年12月17日
貼地風管:私隱:誰管、點管? - 鄭發
聯作為信貸資料機構,好明顯係完全受香港個人資料專員公署監管。 互聯網圖片 適中字型 較大字型
近期有兩單大嘢:國泰(293)資料外洩、環聯出現保安漏洞。我起了條題,問三個問題,並嘗試找答案。
誰監管私隱?
答案本應明顯──香港個人資料專員公署(公署)。但有意見認為,環聯事件「金管局責無旁貸」,我不想爭辯,不如看看環境證供。
私隱專員根據《私隱條例》(條例)第12條發出「個人信貸資料實務守則」,內有獨立章節講「信貸資料機構為資料保安及系統完整性所採取的措施」,並指明「信貸資料機構須自費聘用由專員核准(或專員選擇由其委任)的獨立循規審核人進行定期循規審核」。環聯作為信貸資料機構,好明顯係完全受公署監管。
咁其他被監管機構(例如銀行/證券行)又邊個管?不同監管機構對數據安全各有要求,目的都是履行各自的法定責任。例如金記要確保銀行體系穩健和存戶保障等,而公署則是保障私隱。銀行要同時滿足兩者可能近似但未必完全相同的要求。當牽涉到私隱問題,合規與否及如何改正是公署的權責範圍。
公署點管?有無資源管?
嘗試從公署的年報找答案,裏面有case studies,值得睇,學到嘢。但有三個「驚起」(驚到彈起)位。
第一個驚起位是人手和資源。原來公署只有75人,一年開支只有八千幾萬。咁嘅人手資源一年處理到萬六宗查詢、千六宗投訴、273個循規審查及調查行動,真係堅過梁栢堅!
第二個驚起位是公署在「執法」和「監察及監管符規」的策略,都有這句:「夥拍其他規管者,憑藉他們的法定權力、制度和執法權力,履行公署的責任」。公署怎能把法定責任外判給其他規管者?希望公署能說明,讓公眾理解。
第三個驚起位是提及「Facebook HK並不控制香港賬戶資料的收集、持有、處理或使用,所以不能被視為《條例》下的「資料使用者」; 雖然Facebook Ireland是香港賬戶的「資料使用者」,但沒有香港賬戶向公署表示受影響,故《條例》相關規管條文未能適用於是次事件。」這從風險管理角度看不太合理。要預防風險,公署不應只看結果,還要看有關安排在最壞情況下可導致甚麼惡果。
我非常尊敬及同情公署,管私隱即是管曬全世界所有可能有港人個人資料嘅機構,得咁少資源,除了扮管同埋屈其他監管機構幫手,仲有甚麼辦法?希望公署能想清楚應該點管,要幾多資源管,然後積極向政府爭取。
足本版請見「貼地風管」fb專頁
鄭發
本欄逢周一刊出
貼地風管 - 鄭發 舊文
來源 source: http://hk.finance.appledaily.com