最近有兩單大嘢：國泰資料外洩、環聯出現保安漏洞。我起了條題，問三個問題，並嘗試找答案。

誰監管私隱？

答案本應明顯 — 香港個人資料專員公署（公署）。但有意見認為環聯事件「金管局責無旁貸」，我不想爭辯，不如看看環境證供。

私隱專員根據《私隱條例》（條例）第12條發出「個人信貸資料實務守則」，內有獨立章節講「信貸資料機構為資料保安及系統完整性所採取的措施」，並指明「信貸資料機構須自費聘用由專員核准（或專員選擇由其委任）的獨立循規審核人進行定期循規審核」，而且「每次進行循規審核開始後三個月內向專員呈交審核報告，供其考慮及/或評論」。環聯作為信貸資料機構，好明顯係完全受公署監管。

咁其他被監管機構（例如銀行/證券行）又邊個管？有賊打劫銀行，斷估你會覺得應該搵差人，由警方建議銀行如何做好防盜。但點解私隱外洩就覺得關金記事？因為有個「重疊位」 — 數據安全。不同監管機構對數據安全各有要求，目的都是履行各自的法定責任。例如金記要確保銀行體系穩健和存戶保障等，而公署則是保障私隱。銀行要同時滿足兩者可能近似但未必完全相同的要求。當牽涉到私隱問題，合規與否及如何改正是公署的權責範圍。銀行蠢到唔聽公署話，金記從企業管治角度已可出手，但這是後話。

公署點管？有無資源管？

嘗試從公署的年報找答案，裏面有case studies，值得睇，學到嘢。但有三個「驚起」（驚到彈起）位。

第一個驚起位是人手和資源。原來公署只有75人，一年開支只有八千幾萬 。咁嘅人手資源一年處理到萬六宗查詢、千六宗投訴、273個循規審查及調查行動，仲有時間做68次傳媒訪問，真係堅過梁栢堅！

第二個驚起位是公署在「執法」和「監察及監管符規」的策略，都有這句：「夥拍其他規管者，憑藉他們的法定權力、制度和執法權力，履行公署的責任」。公署怎能把法定責任外判給其他規管者？其他規管者知唔知、有無同意？公署與其他規管者有無合作備忘錄說明如何分工？《條例》有無賦予公署足夠權力履行責任，點解要借他人之力？ 這策略會否導致受規管機構與不受規管機構出現雙重標準（因後者無得借力）？希望公署能多說明以上問題，讓公眾理解。

第三個驚起位是提及「Facebook HK 並不控制香港賬戶資料的收集、持有、處理或使用，所以不能被視為《條例》下的「資料使用者」; 雖然Facebook Ireland是香港賬戶的「資料使用者」，但沒有香港賬戶向公署表示受影響，故《條例》 相關規管條文未能適用於是次事件。」這從風險管理角度看不太合理。要預防風險，公署不應只看結果，還要看有關安排，在最壞情況下可導致什麼惡果。另外，如真有香港賬戶表示受影響，公署有無辦法搞得掂 Facebook Ireland？
我非常尊敬及同情公署，管私隱即是管晒全世界所有可能有港人個人資料嘅機構，得咁少資源，除了扮管同埋屈其他監管機構幫手，仲有什麼辦法？希望公署能想清楚應該點管，要幾多資源管，然後積極向政府爭取。

鄭發
足本版請見「貼地風管」facebook專頁
https://www.facebook.com/laymanriskmanagement/