私隱外洩罰則輕 嚴懲疏失妥警惕

　　私隱專員公署昨發表調查報告，批評網購平台Carousell犯下「基本性失誤」，引致連本港在內全球共260萬用戶資料外洩。平台除受報告直接炮轟，去年初遷移系統前後，一次又一次掉以輕心，亦不可忽略它是在來源地新加坡掀起爭議後，才確認本港同受牽連，且再拖延了一會方通報公署，足證示警、補救上亦有嚴重不足，背後反映本地相關法規罰則太輕，遙遙落後國際發展和社會所需。

星早提醒國民 港人如夢初醒

　　據報告所述，32.4萬受影響本港用戶，電郵、電話和出生日期遭查閱和外洩，直接肇因是工程師搬遷系統時，不慎遺漏過濾器，揭示了公司事前沒做私隱評估、編碼覆檢欠全面、異常網絡活動沒有效偵測措施等五大違例事項。

　　然而，除了表明「非常失望」，公署可否問責？查看新聞稿，通篇沒提及罰則；21頁的報告內，只有一句提及，《私隱條例》最高可判罰5萬元及監禁兩年，還要署方完成調查後兩個月內，未見糾正或防範問題再現，方會定罪。這對跨國公司來說，儼如無牙老虎，公署恐難推動對方，因應本港情況引入保障市民的政策或程序。

　　放眼全球，歐盟的《通用數據保障條例》（GDPR）最為威名遠播，並成功追究無數巨擘如亞馬遜和Meta；內地和美國其實也試過開出天價罰單，嚴懲過分收集、未能保障私隱者，如美資信貸評級商Equifax便曾因太遲糾錯和通報，須支付5.75億美元（約45億港元）和解費。

　　綜合私隱署報告及新加坡報道可見，Carousell母公司聲稱，去年9月中找到保安漏洞和修正，但待到10月13日發現暗網上有人兜售資訊，同月21日才正式通知星洲用戶，早惹當地質疑。更甚者，集團同日確認本港用戶同受影響後，原來還再拖延了5天，才經由本港子企通報公署，可謂「罪加一等」。

　　觀乎全港昨日如夢初醒的反應，Carousell去年有否妥善通知本地用家個人資料外洩，絕對存疑。有別新加坡網絡安全局，當時特別提醒國民保持警惕，小心釣魚陷阱，本港私隱署昨日發表調查前，未曾作公開警告，顯然也有失職之嫌。

　　今次Carousell固然是內部編程犯錯，令本應隱藏的用戶資料直接公開，但從數碼港到消委會的個案可見，更多黑客組織會主動鑽保安漏洞、挖取重要私隱，再高價勒索當事機構，不遵從便會在暗網公開。

數據就是黃金 妥修例引企業

　　隨著港府力推創新科技發展，人工智能愈趨廣泛成熟應用，本地不同公商機構手執的個人資訊，只會與日俱增。只有當本地私隱法規有足夠阻嚇力，且能從嚴執行，各機構在系統設計、事故通報、事後補救等每個環節，才會更步步為營。

　　創科局局長孫東早前形容，未來「數據就是黃金」，爭取利用大灣區數據通，讓香港成為數不多、匯聚國內海外數據資源的國際數據港，將有助吸引內地及海外企業前來。顯而易見，一切還仰賴保持私隱法規與時並進，充分賦權私隱專員，令全城有不遜國內外的完備保障問責機制。

【與拍賣官看藝術】畢加索的市場潛能有多強？亞洲收藏家如何從新角度鑑賞？► 即睇