日后一旦发生大型数据泄露事件,涉事机构必须通知受影响者和个人资料保护委员会。违规机构可被处以更高的罚款,相当于在本地高达10%的年度营业额或100万元,视何者为高。

通讯及新闻部长易华仁日前在国会为个人资料保护(修正)法案提出一读,其中一项修正内容是加强个人资料保护委员会的执法能力。

修正法案一旦通过,违反个人资料保护法令的机构所面对的罚款,将从目前的高达100万元,调高至多达10%年度营业额或100万元,视何者为高。

通讯及新闻部和资讯通信媒体发展局今年5月就修改个人资料保护法令及相关的垃圾电子信息管制法令,展开第四轮公众咨询活动,收到共87份反馈。其中约三分之一反馈者对调高罚款表示关注,包括有人认为疫情导致经济不景气,不应在这时调高罚款。

政府也拟议修改法案,加强对机构的问责,要求机构采取措施更好地保护个人资料,包括为特定用途采用公众个人资料时须先进行风险评估。

当数据泄露事件涉及至少500人,或是会对个人造成严重影响时,机构也须在三天内通知个人资料保护委员会,并尽快通知受影响者。

不过,若已采取补救措施,降低严重影响风险,或是个人资料本已合理地加密处理,机构就不必通知受影响者。

另外,法案也拟议修改垃圾电子信息管制法令和“谢绝来电”条例,进一步管制通过电话、短信、即时短信和电邮等,大量发送给消费者的推销信息。违例机构可面对更高的罚款。

机构日后须获取消费者的明确同意才能进行直接营销,包括通知消费者收集和使用资料的目的,以及提供合理的退出期限。但在一些“合法利益”情况下,如协助调查或追回债务等,机构则无需获取个人同意。

易华仁日前接受媒体访问时说:“这些修订内容将给予消费者更多信心和保证,确保他们的个人资料受到保护,并确保各机构以负责任的方式在我国的经济中使用这些资料。”

这些修订内容将给予消费者更多信心和保证,确保他们的个人资料受到保护,并确保各机构以负责任方式在我国经济中使用这些资料。

——通讯及新闻部长易华仁