在資訊發達的時代，個人資料外洩問題一直備受關注，尤其是近期有港人被誘騙到東南亞國家被禁錮從事非法工作的情況捲土重來，騙徒普遍在社交平台上發布虛假招聘廣告，誘騙取得受害人個人資料。人工智能（AI）技術的迅速發展，也促使不少不法之徒利用“深偽”（Deepfake）等AI技術，冒充官員或立法會議員身份坑蒙拐騙，已有相關報道透露，“中招”的市民不在少數。

根據個人資料私隱專員公署發表的2024年工作報告，去年接獲203宗資料外洩事故通報，較前年飆升近30%；另有1158宗與懷疑誘騙個人資料相關的查詢，按年增加46%。1月22日局方回覆筆者的口頭質詢亦顯示，2019年和2021年各有兩宗社交媒體資料外洩事故，可能受影響人數各超過220萬。特區政府必須正視情況，加快推進《個人資料（私隱）條例》和《銀行業條例》修訂的立法進程，加強保障市民的個人資料私隱及財產安全。

修訂《私隱條例》護個人資料

特區政府繼2021年修訂《私隱條例》（此前的修訂已經是2012年），以加強打擊侵犯個人資料私隱的“起底”行為後，現時正與公署擬訂進一步的修例建議，以加強對個人資料的保障及應對網絡科技等所帶來的挑戰。

筆者得悉，初步建議修訂內容包括：（1）設立強制性個人資料外洩通報機制；（2）直接規管資料處理者；（3）要求資料使用者制定個人資料保留時限政策；（4）加重罰則及賦權個人資料私隱專員施加行政罰款；（5）釐清個人資料的定義等。

其中，設立強制通報機制和直接規管資料處理者的擬議修訂內容，都是非常重要的管控措施，亦與現正審議的《保護關鍵基礎設施（電腦系統）條例草案》有着相互促進的作用。

當局在1月22日筆者口頭質詢的主體答覆中亦透露，去年公署處理資料外洩的個案數目中，約10%涉及資料處理者的不當行為。乍看不多，但我們要注意，這項數據只是基於公署接獲的資料外洩事故通報，以及經主動循規審查發現的資料外洩事故的個案計算，在強制通報機制尚未設立之時，僅為管中窺豹，未知全貌。

立法設立強制通報機制和直接規管資料處理者刻不容緩。對於特區政府接納筆者去年10月在政制事務委員會政策簡報會上提出的意見，研究考慮分階段實施修訂建議，筆者深表支持。期待當局盡早完成研究工作，率先推出設立強制通報機制和直接規管資料處理者的修訂方案，並建議參考“起底”法例的成功實踐，在修例時加入域外執法效力，促使海外社交平台下架虛假廣告。此外，《私隱條例》直接規管資料處理者必然與《保護關鍵基礎設施（電腦系統）條例草案》起相輔相成之效，讓市民的個人資料私隱盡早獲得更佳保障。

《銀行業條例》平衡營商安全

最近接連有大學生成為詐騙案受害人的事件，引起廣泛關注，因而引起香港應否考慮如新加坡、澳洲等司法管轄區立法實施“共同責任架構”，讓金融機構、電訊商、媒體等共同承擔欺詐責任甚至分攤損失的討論。

不過，鑑於當局擬修訂《銀行業條例》，容許銀行為防範或偵測罪行而交換客戶（包括個人客戶）賬戶訊息，因此也有意見認為，當《銀行業條例》修訂後，銀行間訊息交換機制將擴展至個人客戶，金融機構相關管控措施得到加強，將可協助執法機構阻截非法資金，降低受害人損失，因而應被視為已履行其“共同責任”。筆者來自金融銀行業界，了解到監管機構會不時向銀行施加適當的欺詐管控要求。儘管公眾對於“共同責任架構”的看法眾說紛紜，但有一點獲得大部分持份者共識，就是《銀行業條例》的修訂工作必須加速進行。

近年各類型的欺詐手段層出不窮，市民的安全防護急須進一步加強，《私隱條例》和《銀行業條例》的修訂實在是迫在眉睫。除了立法和執法等方面多管齊下，也要更好地運用警方及銀行業界在2023年11月共同成立的反詐騙聯合情報中心，提升警方和銀行業界打擊騙案的能力和成效；鼓勵甚至研究強制要求電訊服務供應商、銀行及政府部門等採用“短訊發送人登記制”，協助公眾識別短訊發送人的身份，以有效提升短訊的安全性和可信度，令市民的安全和利益得到更堅實的保障。