香港如何保护金融客户隐私：严管、重罚

　　“明知道自己的信息被泄露了，但是在当下我们甚至没法知道泄露源头。这个才是最为严重的事情。”广东某律师事务所谢律师4日向南都记者表示。

　　支付宝因年度账单涉及收集用户信息一事被央行责令纠正并致歉引发广泛关注，不少用户担心自己的隐私数据不能得到有效保护。

　　南都记者注意到，香港有独立法定机构私隐公署负责监察《个人资料(私隐)条例》的施行。相关条例规定，任何人在提供资料当事人的个人资料予第三者作直接促销中使用前，须事前采取指明行动通知当事人及取得其同意。若不依从相关规定，为得益而提供，则罚款100万港元和监禁5年。

　　香港银行及支付机构等需遵守私隐规定

　　香港私人银行的客户经理对客户个人信息了如指掌，但客户个人隐私很少外泄，他们是如何做到的呢？

　　对此，香港金管局发言人4日回应南都记者称，金管局一直要求银行及其员工在经营业务时，必须遵守法律和所有相关指引和守则，包括合法使用和保护客户的资料，并有明确指引要求银行采取足够的管控措施，以防范客户资料外泄。

　　根据香港金管局披露的《支付系统及储值支付工具条例》显示，储值支付工具持牌人一般可从事能为其主要业务增值或为储值支付工具使用者提供更佳服务的活动。

　　事实上，为免引起疑问，持牌人不得进行金融中介活动，亦不得进行《证券及期货条例》、《强制性公积金计划条例》或《保险公司条例》下的受规管活动。其他类型的非支付金融相关活动(如借款及金融中介活动)一般亦不会获准进行。

　　值得关注的是，八达通卡有限公司、A lipay Financial Services (H K ) Lim ited、财富数据有限公司(于2017年5月18日改名为WeChat Pay HongKong Limited)等均是获得香港金管局牌照的储值支付工具持牌人。也就是说，香港支付宝和微信支付目前暂不能进行金融中介活动以及非支付支付金融相关活动。

　　事实上，根据《支付系统及储值支付工具条例》，这些第三方支付机构应设有周全的政策、措施及程序，以保障其资讯及会计系统、数据库、账册及账目，以及其他记录及文件，防范未经授权存取、未经授权检索、干扰及滥用的情况。

　　与此同时，持牌人应有周全措施，确保为不同目的而设立的数据库维持适当分隔，以防范未经授权或意外的存取或检索，以及实施稳健的存取管控，以确保数据库的保密性及完整性。就使用者(包括商户)的任何个人资料而言，持牌人在任何时间都应遵守《私隐条例》及私隐公署不时发出的任何相关实务守则、指引或最佳行事方式。

　　最高处罚100万港元及监禁5年

　　值得关注的是，个人资料私隐专员公署(以下简称“私隐公署”)于1996年8月1日成立，是一个独立法定机构，负责监察香港法例第486章《个人资料(私隐)条例》(以下简称“条例”)的施行。条例在1995年制定并于2012年修订。

　　私隐专员由香港特别行政区行政长官委任，负责履行条例赋予他的职能及权力，包括推广、监察及监管对条例的遵守，以及管理公署的活动。而私隐公署分为多个部门，协助私隐专员履行其职责，包括行政部、财务部、法律部、执行部、审查及政策部、资讯科技部及机构传讯部。

　　事实上，在违背《隐私条例》后，有关人士或机构将被处罚。

　　据南都记者获悉，任何人在提供资料当事人的个人资料予第三者作直接促销中使用前，须事前采取指明行动通知当事人及取得其同意。若不依从相关规定，为得益而提供，则罚款100万港元和监禁5年，若非为得益而提供，则罚款50万港元和监禁3年。

　　同样值得关注的是，在未经资料使用者同意下，如任何人披露取自该资料使用者的某资料当事人的任何个人资料，而该项披露导致该资料当事人蒙受心理伤害，不论其意图如何，亦属犯罪。最高刑罚是罚款100万港元和监禁5年。

　　值得关注的是，私隐公署于2017年12月29日回应咨询时称，过去3年，公署接获与银行及财务机构相关的投诉当中，有287宗与个人资料在未经同意的情况下被使用或披露有关，另有183宗与资料的保安不足有关。

　　银行与财务机构的投诉较多，而电子支付系统/电子钱包的投入个案亦在最近几年出现。

　　根据私隐公署发布的资料，由2015年1月1日至2017年11月30日，公署曾接获九宗涉及电子支付系统/电子钱包的投诉个案，投诉性质主要与网上支付系统要求使用者提供身份证明文件以核实身份有关。

　　根据隐私条例规定，任何电子支付系统/电子钱包供应商(作为资料使用者)在香港控制收集、持有、处理或使用(包括披露和转移)客户的个人资料时，均须遵守条例下的规定，包括六项保障资料原则，其中在收集及使用个人资料方面，须以合法和公平的方式收集客户的个人资料，而其目的应直接与其服务有关(如缴费、零售付款等)，并应在收集客户个人资料时或之前提供《收集个人资料声明》，告知他们会收集/使用/处理什么资料与其用途，以及资料可能会转移给哪类人士。根据条例，条例并没有禁止电子支付系统/电子钱包供应商转移或披露客户的个人资料予其他持份者，但供应商披露或转移资料的目的，必须与所提供的电子支付/电子钱包服务相关，否则必须事先获得有关客户自愿给予的明示同意。在决定有关同意是否属自愿，公署会考虑一系列因素，包括有关同意是否属“捆绑式同意”，即客决定。

　　互联网相关查询及投诉增加

　　除了电子支付外，互联网的个人隐私查询及投诉在增加。

　　南都记者从私隐公署2016-2017年报获悉，其中与互联网有关的查询 由2 0 1 5至2016年财政年度的730项增加至1016项，上升39.2%，主要涉及网络起底、流动应用程式及网络欺凌。

　　与此同时，2016-2017年度有关资讯及通讯科技的投诉达243宗，比上年度上升2%。个案包括：97宗与社交网络有关;90宗关于在互联网上披露或泄露个人资料；60宗关于智能电话应用程式；36宗关于网络欺凌；及10宗属其他事项。

　　事实上，日本、新加坡、韩国、中国内地等，以至拉丁美洲国家如哥伦比亚、巴西及墨西哥，均正在改革及更新其资料保障和网络安全法规。

　　私隐公署称，欧洲联盟(欧盟)正就其资料私隐法律进行重大改革，其《通用数据保障条例》将于2018年5月实施，从法律及实用性方面加强了个人资料私隐权的保障，为资料保障执法机关提供一个全新及独有的模式。《通用数据保障条例》适用于个人资料处理，包括收集、使用及公开资料。它亦就处理特别类别的个人资料提供额外保障，例如披露种族或族裔、政治意见、基因及生物辨识资料和有关健康或性取向的个人资料。

　　值得关注的是，律师亦在呼吁加大对大数据的监管。

　　广东某律师事务所谢律师对南都记者表示，大数据时代，用户的支付信息具有极其重要的商业价值。目前我们看到几乎每个互联网企业都对此虎视眈眈。

　　谢律师称，金融公司对于大数据运用存在的难题，是如何平衡大数据与私隐权的边界。私隐权作为一项民事权利，他人未经私隐权人同意，对其隐私进行收集、控制、运用、收益行为都是侵权的。

　　谢律师称，2017年6月1日起施行的《网络安全法》是我国网络领域的基础性法律，明确了加强对个人信息保护。但从保护隐私权的角度来看还是不够的。对于隐私权的界定、隐私权的使用和处置、隐私权的救济方式等内容，还应当制定专门的法律《隐私权保护法》等进行规定。

　　谢律师称，加强对大数据的监管，一方面要加强行业自律，另一方面还得加强行政监管。

　　他山之石

　　香港金管局一直要求银行及其员工在经营业务时，必须遵守法律和所有相关指引和守则，包括合法使用和保护客户的资料，并有明确指引要求银行采取足够的管控措施，以防范客户资料外泄。（南方都市报）

　　采写：南都记者 梁小婵 周亮

责编：邵宇翔、李瑞辰