通訊軟件WhatsApp爆出嚴重資料外洩事故，有黑客公然販售逾4.8億個WhatsApp用戶的電話號碼，其中，香港就有近300萬個用戶的資料被外洩。互聯網企業儲存大量個人資料，而近年資料外洩事件層出不窮。本港《私隱條例》對個人資料保障不足，在事故強制通報、罰則和監管權限等方面都跟不上發展形勢。私隱專員公署應盡快參考外國經驗，向政府提交修例建議，完善互聯網信息保護法例，並尋求立法會從速通過，切實保障市民私隱及權益。

此次事件的嚴重之處，是黑客公然將資料在網上販售，十分猖狂。資料遭外洩的用戶，輕則會收到大量垃圾廣告信息，重則可能被人假冒身份行騙，很大可能惹上官司、蒙受重大損失。WhatsApp在全球擁有逾20億個月活躍用戶，有責任保障用戶的個人資料安全，包括制定適當的安全認證措施，加強網絡保安，但實際情況是，WhatsApp多次發生重大資料外洩事故。WhatsApp須全面檢討、加強保安措施，亡羊補牢，杜絕類似事故重演。

本港雖然早在1995年就制定了《私隱條例》，但相關條文未能與時俱進，已不適應互聯網時代的需要。

首先，現行《私隱條例》未有強制企業通報資料外洩事故，只是遵從自願性機制。其中，條例規定「在資料外洩事故中，如可以合理地估計實在的傷害風險」，就應通知公署、資料當事人、執法部門或相關規管機構。至於通報時間表，只是訂明「應在發生事故後盡快做出通報」。這樣的說法明顯是給予企業不通報或延遲通報的空間。2018年國泰航空940萬乘客資料外洩時，各界已強烈要求訂立強制性通報的原則。早前快圖美洩漏客戶資料個案中，公司一年多前已知悉系統存在保安漏洞，但直到去年底遭黑客勒索軟件攻擊，才將問題公諸於眾。

其次，《私隱條例》規定，企業若違反私隱條例，私隱專員公署會發出執行通知，只要企業在限期內糾正，一般不會被刑事檢控，即使違反執行通知而構成刑事罪行，最高刑罰也只是罰款5萬元及監禁2年。罰則明顯不足。

再次，本港法例對境外互聯網企業缺乏規管、處罰的能力，過往境外互聯網企業發生多次資料外洩事故，不少本港市民受害，但不論特區政府、本港市民都難以透過法律途徑追究境外互聯網企業的責任、索取賠償。

世界各地近年積極完善互聯網信息保護立法，在強制通報、罰則、監管等方面的力度遠超本港。歐盟2018年起實施的《通用數據保護條例》，被形容為最全面的個人資料保障法例，條例實施首3年已展開逾600次執法行動。去年，愛爾蘭數據保護委員會就因WhatsApp私隱條例不夠透明，開出2.25億歐元（約20億港元）的罰單。另外，內地去年11月實施《個人信息保護法》，韓國也實施了《電氣通信事業法》修正案。這些新法例，不但規定企業強制通報，而且罰則高，具備主動調查和規管的權限，增強了民眾使用互聯網的權益保障。

互聯網已經成為市民日常生活的一部分，市民在網上留下大量個人信息，落入不法分子之手，將成為犯罪集團的犯案謀財工具。因此，本港應從速修訂《私隱條例》，完善互聯網信息保護法例，促使互聯網企業依法負起保護私隱、個人資料安全的責任。