限制個人資料出口法例23年從未生效 香港成「無掩雞籠」

香港《個人資料（私隱）條例》訂明，任何人或商業機構在港收集的個人資料，只可在法例訂明的特定情況下轉出香港；若私隱專員相信轉出地有類似香港的保障，可以在政府憲報指明資料可轉往該地使用。不過，有關條款自1996年立例以來，從未生效，即使條例在2012年曾經修訂，亦未有處理此「備而無效」的條款，私隱專員公署曾在2014年特別為此條款制訂無法律效力的指引，並指私隱專員可制訂「白名單」，以便香港的個人資料可轉往名單上的香港以外地方，但這份「白名單」至今仍是空中樓閣。

由法律界人士在雨傘運動後組成的「法政彙思」，其發言人蔡騏向本台表示，港府一直不讓此條款生效，可能涉及政治考慮和商界遊說，因為個人資料自由進出對商界是最有利的，但個人隱私卻因此變得毫無保障。

由於限制資料出口的條款未生效，意味即使有公司把其在港收集的個人資料轉給中國內地的子公司，港府亦不可向該公司興訟，事實上，執法機關可能連有多少在港收集的個人資料被轉走也不知道。

他指出，歐盟十多年前已發表報告，指香港的私隱保障未達足夠水平，以致接受歐盟指引的公司不會與香港商業機構進行數據互換或涉及的商業合作計畫。

而在個人資料轉出香港毫無保障之時，港府積極推動的粵港澳大灣區，訂明要促進「信息跨境流動」及建立大數據中心，令數據流出的問題更惹人關注，除了阿里巴巴創辦人馬雲24日向立法會長三角考察團表示，港府未有善用香港的智能城市數據，令這些「金沙」慢慢流失之外；同日，微軟香港委託城市大學「中國法與比較法研究中心」進行的研究報告亦建議，區內各主要城市派代表組成項目小組擬定「白名單」，列明可自由流動的數據、針對的行業及用途等，期望最後可推展至不同行業，認為這有利香港成為區內數據中心樞紐。

蔡騏反對此建議，認為絕不可能接受，他指出，制訂「白名單」的大前提是該等地方有類似香港的私隱保障，但中國並無以保障私隱或人權為目的的法例，有的只是限制私隱和便利當局監控的法例，《網絡安全法》便是一例，故此不應與中國內地訂定「白名單」；相反，容許香港使用中國數據則可，因為香港條例雖然落後，但仍算是有一定保障。

他建議，港府應更新限制數據轉出香港的條款，並予以生效，除制訂「白名單」外，亦可考慮讓符合歐盟委員會「企業約束守則」(Binding Corporate Rules)的公司進行數據互通。