最快今年內完成具體修例建議。
政制及內地事務局與私隱公署正研究修訂《私隱條例》,以規管起底行為,最快今年內完成具體修例建議。個人資料私隱專員鍾麗玲接受《星島日報》專訪時透露,立法程序仍在草擬階段,私隱專員訂出具體建議後會諮詢律政司,再由律政司法律草擬科負責草擬,目前未處理刑罰等細節。就海外平台如連登及Telegram的起底問題,鍾表示未必能趕及今個立法年度內修例賦予公署域外法權,但她有相信只要法例賦予公署刑事調查權已足以執法。至於社會有討論是否引入「被遺忘權」,鍾麗玲指該條例與起底無直接關係,暫不須考慮這個範疇。
政府資料顯示,涉及「起底」投訴的網絡平台包括連登、facebook、Instagram及Telegram等,伺服器設於海外。今次修例會否針對海外平台賦予公署域外法權?鍾麗玲指暫時不能排除這個考慮,但這方面涉及問題複雜,須考慮是否只針對「起底」罪行,還是納入其他私隱條例,包括增加執法權、引入行政罰款的機制等。而今次修例時間緊逼,今個立法年度只餘數個月,可能要在下一次修例再作全盤考慮。
不過她認為問題不大,因為大多海外平台本身既有政策,都會要求移除在當地違法的內容。只要法例賦予公署刑事調查權,有關平台不移除資料已經觸犯本地刑事罪行,「從這個角度看我是樂觀的」她相信只要有刑事調查權和移除權,不論是在本地或外地的執法應該更加有效。希望到時可以成功移除的個案可以大幅增加。
鍾麗玲表示當局會參考海外司法管轄區的相關條文,以及香港的本土經驗、起底情況,考慮如何具體寫新條款。她提到歐盟的《通用數據保障條例》(GDPR)已經是國際上於資料保障的黃金定律,惟本地《私隱條例》與GDPR之間有許多分別,她舉出三種認為有需要改進之處︰包括強制性的資料外泄事故通報機制,「我了解全球有八成地區已實行強制性通報,但香港仍未是,這個情況並不理想。」其次是香港私隱專員無權作行政罰款,鍾麗玲認為行政罰則是非常有效的執法方式,對商界而言亦相對簡便,「因為不需要事事都上法庭。」
其三是針對資料處理者(DataProcessors)的規管,香港的私隱條例建基於資料使用者,資料處理者不直接受規管。鍾解釋,20年前私隱條例引入香港時,資料尚未電子化,很多時資料使用者等同資料處理者,不會分為兩個角色。惟發展至今,現時資料使用者往往會把資料交付第三方平台,例如雲端等儲存庫,即是資料處理者。
另外,GDPR訂明個人享有刪除權(亦稱「被遺忘權」),即是資料當事人在指定情況下,有權要求機構及企業刪除其個人資料。有建制派議員去年曾在立法會上詢問政府會否把做法引入香港以加強打擊起底行為。不過鍾麗玲指該條例與起底無直接關係,暫不須考慮這個範疇。她續指,「被遺忘權」具相當爭議性,如果引入要小心考慮和諮詢持份者,GDPR亦就該權利例出多項豁免規定,若有違公眾利益或保安理由,例如申請個案涉及刑事罪行、詐騙或衞生問題等,有關資料都不可以刪除。