核心提示：

1、香港 “修例风波”以来，一些官员、警察，甚至他们的家庭成员，包括儿童资料都可以在网上看到，还会恐吓威逼。这是把个人资料“武器化”，就是把个人资料当成武器去攻击别人。

2、法制当中重要的一环，就是要依据制定的法律来做事。除此以外，这几年还提倡数据的伦理、数据的道德，这是法规没有规定的，而我们应该做一些对消费者、对大众有利的，合乎他们的期望。

3、银行要保障个人资料，不过也有一些例外，若有罪案发生、有关银行的诈骗，执法机构要求提出有关客户的个人资料，包括银行的敏感资料，银行也可以考虑引用豁免条文，把资料交给执法方。

4、现在香港的刑法有关违规的条文，阻吓性不够，最高罚款也不高。而欧盟采用的一贯的做法，不用去法庭，监管机构有行政罚款的权利，欧盟罚款最高是一个企业在全球营业额的4%。

凤凰网香港號的观众朋友，大家好，欢迎收看今天的节目，我是陈笺。在今天的节目时间要讨论的话题，我相信我们每一个朋友都非常关注，就是当我们在享受互联网高科技的同时，个人的隐私，个人的资料怎么样才能够得到保护？最近，我相信大家非常关注的一个事件，就是汇丰银行，孟晚舟以及 PPT，就是汇丰银行将华为的PPT交给了美国方面，那么他们这样一个做法在个人的私隐方面是不是已经触犯了法律呢？还有在香港从去年到今年一直出现有官员，还有警察的个人的资料被起底放上网络的事件。那么香港为什么会出现这样的情况？个人的私隐如何得到保障呢？相关的话题，我今天请到的是一个专业人士，香港政府的一名官员，香港个人资料私隐公署的私隐专员黄继儿大律师，一起来分享一下。

凤凰网香港號陈笺：黄先生您好。

黄继儿：您好。

个人资料成攻击他人“武器”

凤凰网香港號陈笺：您是香港的大律师，也是香港的个人资料私隐公署的私隐专员，我有一个问题想请教：目前我们非常关注汇丰和孟晚舟，跟华为的事件。汇丰银行将华为的 PPT交给了美国方面，那么这样的做法是不是从香港的角度来说，它违反了个人隐私这方面的法律法规呢？

黄继儿：（孟晚舟）这个案件还在法律程序之中，而且发生在国外，所以我都是从报道之中看到相关情况。不过如果是在法律程序之中的一些个人资料，那么香港的情况是这样的：一般来说使用个人资料，使用的目的应该是和收集个人资料的目的是一样的。不过如果把，比如说PPT作为证据，使用的证据包括一些个人资料的话，那么他的目的很多的情况下都跟收集的目的不太一样，这样表面上是违规的。不过在我们条例中，我相信在很多国外法律也有相关的条例，就是如果是在法律程序中需要个人资料，就算是违规的也可以得到豁免，就是说可以用，也没有违反私人条例的相关规定的。

凤凰网香港號陈笺：我们留意到去年开始反修例风波就出现了很多“被起底”的事件。我知道贵公署也收到这方面的投诉，差不多至今有5000来宗，也可以说是历史新高。当中被起底的个人资料牵涉到政府的一些官员，还有警察等等。那么你们在调查和取证到检控整个过程当中是怎么样去做的？中间有没有困难呢？

黄继儿：这是一个以前我们没有遇到的情况。以前我们遇到的情况就是把个人资料放在网络平台，都是一些有关家庭还有男女朋友之间的感情上的一些波动，他们会把另外一方的个人资料放上网去。不过一般都是没有恐吓、没有使到当事人有重大的、感情上或者是心理上的负面影响的。

去年反修例引起的社会事件，我们发现在网上有很多关于他人，包括官员、警察，也包括示威者的一些个人资料都可以在网上看到。最重要的是，他不单是把个人资料放在网上，而是把有关个人的家庭成员，包括儿童资料都放在网上，特别是会加上个几句恐吓威逼他们做一些与其政治主张不一样的事情。我可以说这是把个人资料“武器化”，就是把它（个人资料）当成武器去攻击别人。

这个情况按照我们现行的法律，发生有关类似的事情的时候，我们可以监管也可以提出调查。公署一般都是写信到那些（被披露个人信息的）平台去，要求他们的立刻把有关信息移除下来。还有一些是在国外的网站，我们也写信到他们办事的地方或者告知他们监管机构，他们听的时候也会给我们一些意见，我们的困难是因为很多的网站都是在国外的，我们只可以写信去，不可以有执法的权利。香港的情况也是类似的，我们的权利是我们去要求，我们没有权利强迫性要他们把贴文移除下来，也没有检控的权利。所以我们一般都把那1400多宗投诉，经过我们初步调查，把它移送到警察去，让他们继续刑事事件的调查。

凤凰网香港號陈笺：“被起底”这样的个案确实是非常的恶劣，也影响了很多家庭的正常的生活。那么，香港为什么会出现个人隐私不能够得到完全保障的这样的一个现状呢？当初96年香港政府就设立了个人资料的私隐公署，当初创办这个部门的初衷是什么？

黄继儿：当时的考量是因为我们在1991年的时候制定了人权法案。人权法案主要是针对市民跟公共机构，包括政府维护人权的一些条文，但没有包括私人机构，还有非公共企业的情况，这个是其中一个大的原因。

第二，人权法案隐私的条文，是比较有原则性的，比较简单。虽然基本法也有一个保障，那个时候法律改革委员会提议制定一个比较全面的、比较细节的，不单是说隐私原则如此简单的一个法案。他们交到立法会的时候还是回归以前的事情，立法会很快通过，目的就是要把我们在人权法，把国际公约的一条有关隐私的条文放在我们本地的法律之中。所以我们就有比较有全面性的条文。所有的机构、所有的公私营机构都是在我们的条例监管之中。

凤凰网香港號陈笺：我知道人权法案您也有参与一起制定的是吗？

黄继儿：对。那个是1990年的事情了。

保护个人隐私，法律仍需完善

凤凰网香港號陈笺：其实我们都非常珍视自己的个人隐私，那么作为一个企业也好，或者是作为一个平台也好，它在什么样的情况底下才能够把客户的个人资料提供给第三方？

黄继儿：第一就是有投诉。如果有人投诉反馈给我们，我们有一个相关的资料以后就可以开始调查。另外的情况就是还没有投诉之前，我们在不同领域知道有关的违规情况，有表面证据去说服我们有违规的情况，我们可以主动提出调查。在香港我也曾经主动调查过几宗案件，就是没有人投诉但我们自己知道的话，也要主动、果断地去进行调查，这是调查方向的。

不过我刚才说了，很多时候都是因为科技的发展比我们的法律修改和改善还要快，所以当遇到以前没有想象到的一些情况，比方说科技发展引起的一些变化，我们法律上可能还需要跟进；大数据、人工智能，还有在银行所用的数据，这些在法律上都是要追赶的、要完善的。

要依据法律做事，也要合乎伦理道德

凤凰网香港號陈笺：我记得印象非常深刻一点，黄先生您就说到公署在查案的时候的是只考虑法律，不考虑政治。确实这也是香港的核心价值观，这是一个法制社会，而不能够泛政治化。那么我们看到香港作为一个国际金融中心，在金融方面是怎么样保护客户隐私的，我们有没有相应的法律法规？因为我们知道瑞士银行这一点是做得比较出色的。那么他们的做法跟我们的做法有什么样不同吗？

黄继儿：对，法制当中重要的一环，就是要依据制定的法律来做事。另外，在法律之下人人平等。这个是无论在法学院还是现在作为律师职业都要遵守的一环，在拿职业牌照的时候我们就宣誓要效忠法治的精神。作为一个国际中心、法制城市的投资者，包括金融投资者给我们的一个信心，我相信一般在法律界人士都是有同感的。在法治以下我们要按照法律去做监管也好，做一个刑事处罚也好。在金融科技金融使用个人资料方面，我跟香港的金融管理局也有沟通。他们也是一个监管的机构，很多时候除了他们专业的金融架构的一些监管以外，在个人资料的监管我们都是有共同的理念。

前几个月以前他们出了两封信给所有的银行，就把我们的概念传达了出去：怎么去管制、监管有关个人资源的使用，在金融界、在银行包括人工智能所产生的一些服务，包括虚拟银行，大数据带来的在银行界金融界的一些影响。让银行的会员看看我们的一些指引，刊物在网上可以下载，里面特别提出银行行业，包括信贷的资料、金融科技的资料。这些刊物还有我们对金融界的建议，怎么样去做好合规的工作。

除此以外，这几年我们提倡数据的伦理、数据的道德，伦理就是法规没有规定的，而我们应该做一些对消费者、对大众有利的，合乎他们期望的我们都应该做。所以我们在这里也做了一些研究，两年前我们在香港的企业去看我们伦理问责的一个方案。题目就是Ethical Accountability Framework for Hong Kong, China，这个是我们首次在国际上发表的一个报告。金融管理局给银行会员的指引应该是参考我们这个指引，就是数据道德、数字管制，有关数据问责的一个框架怎么去做好？除了合规以外，还有要合乎伦理道德，合乎大众期望的做法。

银行保障客户资料，但也有例外

凤凰网香港號陈笺：我们一直以为要保护个人隐私，是需要依靠法律法规来作为我们的武器来保护我们。刚才您提到一点，就是说还有一个道德伦理的底线。其实无论是个人也好或者企业也好，都应该去追随的。那么我们再来举一个例子，可能大家会理解得比较清晰一点。比如说我是银行的一个客户，那么银行在什么样的情况下才能够把我的个人资料提供给政府，或者是其他方面？要有什么样的一个法律依据才能够交出去呢？

黄继儿：我们跟银行界也有很多的交流，这个问题也是常问的，我们的看法就是要保障个人资料。银行客户的资料是非常严肃的事情，因为他们知道有关客户的心态状况，有关他们金融的情况，都是比较敏感的资料。在我们的法律里有关保障个人资料，有6条原则一定要遵守，如果有违规的话我们一定要依法处理。不过也有一些例外，在法律上也规定了，比方说有罪案的发生、有关银行的诈骗，那么执法的机构要求他们提出有关客户的个人资料，包括银行的敏感资料，他们也可以考虑引用豁免的条文，把资料交给执法的一方。这需要非常小心，因为是例外不是一般性的原则。一般要引用这个例外，还要特别小心有关保障个人客户的，因为这会引起很多不必要的诉讼或者是争议的。

凤凰网香港號陈笺：其实每个人对于个人隐私被泄露这一点来说都是零容忍，但是我们也是相当的无奈。有的时候也是在不知不觉当中已经被泄露了。举个例子，比方说在香港走在街头的话，警察要查身份证，你是必须要交给他看的，因为是警察在执法。我们的个人隐私是要保护的，在什么样的情况底下，别人要求你提供个人隐私资料的时候你需要或是不需要提供呢？没有一条清楚的界限？

黄继儿：这条线很难界定的。像你说在街上警察要求提交身份证，如果和跟警察理论问他有什么法律根据，他可以给你一个根据。根据法律，如果他有合理的怀疑就可以要求你出示身份证。如果你硬要理论的话，可能要到警察局、警署去或者是到法庭去，可能很多人都觉得麻烦的、不太方便，就算了。

不过有关银行的资料就是另外一回事，可能涉及一些罪案比方说洗黑钱这些犯法活动，那么国际的管理条例是一样的。我以前也做过有关金融跨境的转移，金钱的一些条约，我们也跟业界也说过，他们一定要有一个self regulation，要有资管，一定要管好自己的金钱转移，包括从香港到另外一个地方或者是另外地方转移到香港的情况。我们需要遵从AML反黑钱法案，防止洗黑钱的活动发生。每一个银行都需要负责，如果他管理不好的话，监管机构就出来了。监管机构在银行方面主要是金管局，另外就是警察。我们保障私隐是其中一环，不过其他涉及的情况比较宽，都是严重的注意性方面，所以我们公署只可以提供一些有关个人资料的协助，而其他大范围的情况我们就很难做更多的事情。

内地香港往来频繁 要尽量避免违规情况

凤凰网香港號陈笺：因为“一国两制” ，香港内地两地的法律法规是不一样的。那么在香港银行就经常会有“反洗钱”的行动做法，那么其实“洗钱”这个概念是怎么定的呢？

黄继儿：据我所知，洗钱这方面就是有一些来历不明的进钱，或者是采取一些不合法的途径，得到（黑钱）以后转移，转移以后跟一些促进的募集有关的，比方说恐怖活动。如果是有关国家或者别的地方安全的情况，这个也可能是涉及洗钱的违法行为。

凤凰网香港號陈笺：是否完税是不是也是一个考量呢？

黄继儿：也是一个考量。

凤凰网香港號陈笺：我留意到在去年底的时候，贵公署出了一个小册子，让香港的一些商家了解内地在网络时代的法律法规，您当时出小册子的初衷是什么呢？

黄继儿：这个是我们第一次用小册子说明关于内地的个人信息网络安全。出版它主要是两个原因：第一个原因就是我们的公署很多年来都对内地个人资料保护的发展情况不太了解，也没有什么资源去做研究。我上任之后，感觉这是比较可惜的方面，我们应该了解大陆的情况。另外一个原因：两地的往来，尤其是商业上的往来很频繁。内地是香港最大的贸易伙伴，所以在大陆做生意的人，尤其是往来比较多的人，需要了解他们的个人资料在什么情况是应该注重、应该避免违规的情况。很多人以为大陆没有对于个人资料的规范，这是错误的。

尤其是在最近一年，大量的个人资料保护的草案要出台了。这是17年初一个关于网络安全法的册子，网络安全法也有个人信息的保护，比方说关键基础信息的方面。所以我们在这里就提醒香港往来大陆比较多、在大陆有生意的人，尽量避免他们违规的情况。

凤凰网香港號陈笺：在“一国两制”底下，两地法律法规确实不一样。内地的企业到香港来上市也好，发展也好，也要了解香港的法律法规，避免踩雷。一国两制已经走过了上半场，过去了23年，接下来下半场怎样将两地优势互补，做得更好呢？

黄继儿：最需要留意的东西，我们在普通法的法制上很多条文都写得很清楚。特别要注意的就是要看懂条文里头包含的意义，这是第一步。第二就是要看看案例，单靠法律文字的话，可能有不足的地方，我们应该征求专业意见，针对某一方的法律、条文的解释，包括法院的判决。也可以看看监管机构的一些指引。我们也出了很多指引，还出了一本书，还有最近新出版的企业怎么样去保障个人资料、要怎样做的实体手册。我们已经送给全香港主要中小企业，其实大企业也应该看，在网上也可以下载，一步一步看。到发生法律争议的时候，应该怎么去避免最有法律的争议。如果有争议的话，应该去请征求专业的意见。我们的法制上很多原则都差不多，尤其是在保护个人资料，不过在程序上，法律的文化可能有一点不一样。虽然我们的法律本质一样，但在程序上、理念上可能要多做多一些解释，再适应一下香港法律的理想法，法官的法庭怎么样去看，这一类的事情在条文上怎么做出解释，这个都是跟内地不一样的。

优势互补、取长补短，是我们要贯策执行实施的概念和行动。香港回归以后，在基本法的保证下，我们有不一样的法律制度。不是说另外的法律制度不好，其实普通法这个法律制度在世界上不是唯一的法律制度，很多的地方，比如欧盟，27个国家里有2个应用普通法制度，所以我们应能够容纳其他的法律制度的优点。在“一国两制”下，我们就有条件，有特别的权利，考虑怎么样把两地不同的法律制度融合一下。在个人资料方面我们有共通的地方，在保障个人资料的文化、历史、社会的背景比较相似，跟外地不太一样。两地在历史、文化上的一些不同，可以合作、可以互补的空间比较大一点。所以这个也是我在国外做数据报告或开会时强调的一点，中国保护个人资料的文化要清楚的解释给外国人知道，不要以为我国没有一套完备的保障个人资料的法律。还有我们的文化也应该考量一点，不要光把外国文化强加给中国人，可能有修正保障个人资料的文化的空间。

香港法律可以学习欧盟 将最高罚款与企业营业额挂钩

凤凰网香港號陈笺：正如您所说，现在科技发展得太快了，所以我们的法律法规也要与时俱进。我看到欧盟方面他们就推出了一个“通用数据保障条例”，这跟香港现有的法律有什么共通之处？有什么值得借鉴的吗？

黄继儿：肯定有，这个条例95年的时候有一个指引也是欧盟发出来的。我们当年草拟香港的法律，就是按照欧盟其中的几项原则。我们有父母的关系，另外一个父亲就是OECD一些相关的原则。所以两个，一个是OECD的，一个是欧盟的EU，我们参照他们之中一些规定，制定了一套香港的法律，所以这个是有“血缘”的关系。所以这一次欧盟改了以后，我们很快就出了第二个版本，这是有关规欧盟的规定，一些实质的情况应该怎么做。欧盟规则的保障条例是可以有域外的管辖权，在大陆也好，香港也好，只要你的服务产品对在欧盟的人士有影响，那么个人资料相关条例就会适用。所以两年之后，我们把它收进去以后把一些案例，比如欧洲法庭判例都放进去。那么我们修改法律的时候，肯定要再看一看我们的父母在里头做了什么，他们两个都有一些修改。OECD跟欧盟也有一定的修改，所以我们就选了几个比较有迫切性的条例。

比方说强制性提交资料外设的汇报通知。第一通知给我们的公署，第二通知受影响的人士。如果是有黑客入侵，还有盗窃个人资料，这个算identity theft——身份被盗用了。还有遗失个人资料，在不知道的情况以下，一些硬件比如手机电脑丢了，找不到的情况，都需要强制性向我们汇报。现在没有强制性的，甚至是自愿性的，但欧盟是强制性的。

另外一个就是罚款和法制，现在香港的刑法有关违规的条文，阻吓性不够，我们最高的罚款也不高，还有要千辛万苦到法庭去。现在欧盟采用的一贯的做法，第一，它不用到法庭去，监管机构有行政罚款的权利，香港没有，我们建议应该有行政罚款。第二，欧盟把罚款的门槛提高了很多，罚款最高的是一个企业在全球营业额的4%。想象一下阿里巴巴4%的营业额，罚款的最高线是什么程度。所以我们也希望有类似的跟营业额挂钩的罚款方式。第三，我们希望可以有多一点调查的权力、监控的权力，希望可以引进修订的法律。不过由于疫情的关系，香港立法会的情况，我们很难做出一个准确或是合理的预计，说修订可以什么时候开始，什么时候完成。

凤凰网香港號陈笺：黄先生，很荣幸在您任内的最后一个工作日采访您。我们知道香港政府为了保护民众合法的私隐权，早在96年就建立了个人资料私隐公署。另一方面，我们也看到“一国两制”是中国的一个创举，举世无双。回归23年了，我们今后的路程怎么样走得更好，就要更好地了解两地的法律法规，以此作为我们的保护伞，无论是在商业方面也好，经济方面也好，在两地的融合方面才能够更好的合作共赢。谢谢您黄先生。