歐洲內部審計協會聯合會(ECIIA)和歐洲風險管理協會聯合會(FERMA)於 2019 年合作出版了一份題為「GDPR與公司治理——實施一年後內部審計和風險管理的作用」(註1)的文獻,確認了個人私隱保護與公司管治不容忽視的密切關係。就上市公司而言,倘若就個人資料搜集或管理失當,則不但ESG議題未能達標,還有可能屬違法。執行董事、獨立董事的職責究竟如何界定?
政府正提出《個人資料(私隱)條例》(PDPO)的修訂,加強對個人資料保護, 與國際標準(例如:歐盟的《通用數據保護條例》(GDPR)所設標準)更為接軌。國內的《個人資訊保護法》最近也出台,可見全球對於私隱的議題關注的層次日漸提升。
截至本文定稿為止,《2021年個人資料(私隱)(修訂)條例草案》已經刊憲並進入立法程序。其條文包括訂立在未獲同意下披露個人資料的罪行, 及授予個人資料私隱專員對上述罪行及相關事宜的調查及執法權力。隨著其他修訂預見陸續出台,公司應審視內部政策,做適當的提升或鞏固。
未獲同意的人資料披露
由於個人資料披露的「武器化」對受害者造成巨大傷害, 故網路攻擊和網絡騷擾均受全球熱切關注。社交媒體平台和討論區等的龐大資料庫,成為網路攻擊和網路騷擾的滋長地。
修訂草案規定,任何未經當事人同意而披露其個人資料的行為,如意圖對當事人或其家庭成員造成指明傷害;或罔顧是否會造成指明傷害,即屬違法。假如披露確實對當事人或其家庭成員造成指明傷害,也屬違法。所謂「指明傷害」是指對當事人的滋擾、騷擾、纏擾、威脅或恐嚇,對他身體傷害或心理傷害,導致他合理地擔心自己的安全或福祉的傷害,或對其財產的損害。
私隱專員的權力
修訂草案也給私隱專員授予《私隱條例》中刑事罪行的起訴權力。該權力包括可要求提供材料、回答問題或提供協助。新增權力包括搜查和扣押,取獲電子設備,及截停、搜查和逮捕,和要求有關人士停止披露行為。
與公司管治的關係
公司於營運中,或多或少會取得一些個人資料, 包括員工、客戶等。資料的搜集、儲存、發放及運用,過往常被視為科技問題,而只交由科技部門處理。但新經濟新科技的來臨,改變了營運的模式。資料是資產,可用以製造價值及財富, 也可衍生有形無形的效果。因此,個人資料的處理,成為核心管治的問題,關乎管理層面,關乎董事高管。我們先要接受這個事實,接受適當處理個人資料是作為公司董事的其中關鍵責任。下次再談資料處理的其他風險及應對。
備註
- GDPR and Corporate Governance – The Role of Internal Audit and Risk Management One Year After Implementation
作者:杜珠聯女士
香港獨立非執行董事協會 (HKiNEDA) – 培訓及認證委員會副主席
Dentons HK LLP律師事務所合夥人
