修改内容主要涵盖四个方面,包括规定机构在涉及500人或更多的大型数据泄露事件,或是会对个人造成严重影响时,必须在三天内通知个人资料保护委员会,并尽快通知受影响者。
政府有意规定涉及大型数据泄露事件的机构必须通知受影响者和个人资料保护委员会,并且进一步避免公众收到垃圾短信和来电。违规机构可面对更高的罚款,可相等于多达10%的年度营业额或100万元,视何者为高。
通讯及新闻部和资讯通信媒体发展局将针对修改个人资料保护法令及相关的垃圾电子信息管制法令,展开网上公众咨询活动。这也是当局对这两个法令展开的第四个公众咨询。
修改内容主要涵盖四个方面,其中包括规定机构在涉及500人或更多的大型数据泄露事件,或是会对个人造成严重影响时,必须在三天内通知个人资料保护委员会,并尽快通知受影响者。
目前在个人资料保护法令下,并没有规定机构须在发生数据泄露事件后,通知任何一方。
当局也参考了公共机构数据安全检讨委员会的建议,泄露由机构拥有或管理的私人数据者,可被罚款最多5000元、或坐牢不超过两年,或两者兼施,确保公务员与公众的刑罚一致。
此外,政府准备在“谢绝来电”条例下,禁止利用挖掘软件(address harvesting software)以及“字典攻击”(dictionary attack)方式,发送垃圾短信和来电至不同电话号码。挖掘软件会自动上网收集各处的电话号码,“字典攻击”则是以特定程序生成一连串的电话号码。
修改垃圾电子信息管制法令
当局也会修改垃圾电子信息管制法令,管制大量发送到WhatsApp等即时通信账号的商业短信。
另外,个人资料保护委员会的执法能力也将加强。
为起到更大的威慑作用,违反个人资料保护法令的机构所面对的罚款,将调高至多达10%年度营业额或100万元,视何者为高。目前罚款额为高达100万元。
调高后的罚款额将与我国其他法令一致,也接近其他司法管辖区如欧盟和澳大利亚的法律。
其他拟议修改的内容包括,推出数据流通(data portability)新规定,让公众可要求一份自己的个人数据传送给另一个机构,方便消费者更换服务商。
公众被机构视为同意给予个人资料的情况也将扩大,以涵盖达成或执行合约或交易时,合理地收集、使用和揭露个人资料;以及在公众已得知资料被收集和使用的目的,并可选择退出却没有退出等情况。
个人资料保护委员会副专员杨子健说:“随着电子商务等数码服务越来越普遍,公众对机构如何管理个人资料的信任至关重要。政府拟议修改个人资料保护法令,将有助机构在数码经济中转型和发展时,能更好地服务消费者。”
有意提供反馈者可到通讯及新闻部网站查看详情,咨询活动在本月28日下午5时截止。