简介

银行及金融机构（统称「金融机构」）在日常营运中需要管理大量个人资料，一旦违反个人资料私隐法例，可导致其财务及声誉严重受损，因此保护个人资料私隐对金融机构来说至关重要。随着全球化进程加速和科技进步，金融交易可以在网上轻易进行，不受地域限制，个人资料往往在不同国家收集、处理、转移及储存。在本文中，我们将简要地探讨多项本地及外地法例对香港金融机构处理个人资料的影响，包括：香港法例第486章《个人资料（私隐）条例》（《私隐条例》）、欧洲联盟（「欧盟」）《通用数据保障条例》（《通用数据保障条例》）、将于2021年11月1日起实施的《中华人民共和国个人信息保护法》（《个人信息保护法》）及美国《1999年金融现代化法案》（又称《格雷姆-里奇-比利雷法案》）（《金融现代化法案》）。

资料私隐及安全顾虑

资料私隐是关乎谁人可以查阅与某机构建立了关系的人士向该机构提供的个人资料。银行员工需要某些个人资料以核实客户身份，而财务顾问亦需要某些资料才可代表持有账户的客户进行交易。一旦银行员工、安全人员或其他负责保护个人资料的人员未能提供足够的安全规范，便会出现个人资料安全问题。

《私隐条例》

在香港，规范个人资料私隐保护的法例是《私隐条例》。「个人资料」被界定为直接或间接与一名在世的个人有关的资料，而从该资料直接或间接地确定该个人的身份是切实可行的，而且该资料的存在形式必须令查阅或处理该资料是切实可行的。香港个人资料私隐专员公署亦发出了《银行业界妥善处理客户个人资料指引》（《银行业资料处理指引》），述明有关保障客户资料保密的重要性及一些保护客户资料的主要监控措施。《银行业资料处理指引》亦有提及「金融机构」，因此亦适用于更广泛的金融服务行业及其资料私隐合规人员，金融机构遵守当中的规定属审慎之举。

《银行业资料处理指引》

金融机构（「资料使用者」）须制定一套适用于所有业务流程及营运程序的企业私隐策略，以确保在收集、整合、储存、保存、查阅、使用及转移整个生命周期内妥当地处理个人资料。一方面，资料使用者必须向资料当事人提供充分的个人资料收集声明，当中列明：个人资料收集后的用途、个人资料是必须还是自愿提供、未能提供必要资料的后果、可能获转移或披露个人资料的人士类别、关于使用及／或提供个人资料作直接促销的必要资料（如适用）、查阅及更正个人资料的权利，以及处理此类查阅及更正要求的资料保护主任的联络详情。所收集的个人资料应「适合其收集用途」，不会过多，并且应准确、仅在必要的时间内保留资料及安全储存（尤其在遥距环境）。另一方面，金融机构亦应制定及向公众公布其私隐政策声明，以及制定稳健的私隐及风险管理计划。例如：必须告知资料当事人如其任何资料在集团内部共享或转移；在向执法或监管机构披露个人资料之前应采取措施；查阅个人资料的要求必须在40日内处理；及任何「直接促销」行为必须特别谨慎处理。

资料使用者一般须就其员工、代理人及承办商的行为负责，因此他们应确保员工在保护个人资料方面保持高度警觉。此外，资料使用者应实施「多重」安全监控措施（包括资讯科技及非资讯科技方面），以预防及侦测任何个人资料遗失或泄漏。员工须签署保密协议，以确认资料使用者的营运要求。在发生违规的情况下，如资料使用者能证明自己已采取预防措施（例如持续培训、内部政策）以防止违规，则可构成抗辩理由。代理人和承办商的服务合约亦应加入《私隐条例》的相关规定。

《个人信息保护法》

根据《个人信息保护法》，「个人信息」是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。与《通用数据保障条例》类似，《个人信息保护法》的效力涵盖中国境外的广泛范围，适用于根据第三条处理个人资料的以下情况：(1) 向中国境内自然人提供产品或服务；(2) 分析或评估中国境内自然人的行为；及 (3) 法律或行政法规规定的其他情形。第五至九条订明了中国个人信息保护的七项主要原则：合法、限定目的、最小范围、公开透明、准确、问责及信息安全。第四、十三及十四条规定，处理个人资料（包括向公众收集、储存、使用、传输、提供及公开）须取得个人的同意，而且有关同意须由个人在充分知情的前提下自愿及明确作出。

金融机构应特别注意《个人信息保护法》第二十三条，该条与《私隐条例》及《通用数据保障条例》相比，对聘用第三方处理个人信息的金融机构施加了额外责任，例如，他们须通知个人关于第三方的身份、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。假如第三方变更原先的处理目的或处理方式，则须重新取得个人同意。金融机构应紧记上述规定，在准备聘用第三方处理个人资料的合约时，应更加谨慎。

值得注意的是，有别于《私隐条例》或《通用数据保障条例》规定的做法，《个人信息保护法》第二十八及二十九条进一步将若干种类的个人信息归类为「敏感个人信息」。「敏感个人信息」是指一旦泄露或非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括特定身份、宗教信仰、生物识别、医疗健康、金融账户、行踪轨迹等信息，以及未满十四周岁未成年人的个人信息。只有在具有特定的目的和充分必要性的情形下，金融机构方可处理敏感个人信息。若是基于个人同意处理敏感个人信息，金融机构须取得个人的单独同意。

与《通用数据保障条例》一样，《个人信息保护法》设有严厉罚则，违反规定的个人信息处理者最高惩罚为没收违法使用个人信息所得，并罚款人民币5,000万元或上一年度营业额5% 。

《通用数据保障条例》

除《私隐条例》外，香港的金融机构亦应注意，欧盟的《通用数据保障条例》规定在指明情况下，在非欧盟司法管辖区成立的机构亦遵守其明文合规规定。香港的个人资料私隐专员公署刊发了《欧洲联盟通用数据保障条例2016最新资讯》，旨在提高本地企业认识因《通用数据保障条例》的实施而制定的欧盟资料保护监管框架可能对他们造成的影响。

根据《通用数据保障条例》，「个人资料」是指有关一名已被识别或可被识别的自然人的任何资讯，而已被识别或可被识别的自然人是指可直接或间接地被识别者，尤其是借着参考以下身份标识符所识别者，例如姓名、身份识别号码、位置资料、网上识别代号，或该自然人特有的一项或多项身体、生理、基因、精神、经济、文化或社交身份因素。根据《通用数据保障条例》第3条，香港的金融机构在以下情况下须遵守《通用数据保障条例》：(1) 在欧盟设立机关，而该机关的活动涉及处理个人资料，不论是否确实在欧盟境内处理资料；或 (2) 在欧盟没有设立机关，但向欧盟人士提供货品或服务或监察他们的行为。例如，若金融机构向位于欧盟的个人提供银行或投资服务，尽管他们在欧盟境外注册成立，而且在欧盟没有分行或代表处，但仍可能需遵守《通用数据保障条例》的规定。值得注意的是，《通用数据保障条例》第 26 条明确规定，资料保护原则不适用于匿名信息，即与已识别或可识别的自然人无关，或已匿名化使资料当事人无法被或无法再被识别的个人资料，因此《通用数据保障条例》不适用于此类已匿名信息的处理。《通用数据保障条例》的核心是其第5条订明的七个重要原则：合法、公平与透明、限定目的、最少资料、准确、储存限制、整全保密（安全）以及问责。资料控制人必须能够证明他们已遵守《通用数据保障条例》，并且必须透过实施适当的技术及机构措施，安全地处理资料。

《通用数据保障条例》第V章为转移个人资料提供了法律依据。第44条规范一般的国际转移，而根据第49(1) 条的「特定情况下豁免」，在符合其中一项列明条件的情况下，可进行资料转移。其中一项豁免情况是「资料当事人在获告知有关资料转移由于欠缺资料保障足够度的评估决定和适当的资料保障措施而附带的潜在风险后，仍明确同意拟议的资料转移」。

违反《通用数据保障条例》的罚款非常高，第83(5) 条订明了两级罚款，最高为2,000万欧元或全球收入4%（以较高者为准），而且资料当事人有权追讨损害赔偿。

《金融现代化法案》

《金融现代化法案》是一项美国联邦法律，主要规管金融机构处理客户的非公开个人资料（「非公开个人资料」）。根据《金融现代化法案》第509(4)条，「非公开个人资料」是指金融机构就提供金融产品或服务而收集关于个人的任何「可识别个人财务资料」，除非有关资料可从其他途径「公开查阅」，则属例外。《金融现代化法案》仅涵盖正在或已经从金融机构获得主要用作个人、家庭或家居（而非商业）用途的金融产品或服务的个人客户的非公开个人资料。

《金融现代化法案》第103条订明，《金融现代化法案》适用于《银行控股公司法案》第4(k) 条所述「显著地从事」「金融活动」的企业，因此不但包括一般称为「金融机构」的公司，而且包括房地产估值师、报税师、财务规划师、信贷报告机构、柜员机营运商以及金融服务行业就业辅导等业务。尽管《金融现代化法案》适用的司法管辖区不及《通用数据保障条例》和《个人信息保护法》般广泛，但金融机构在美国从事或提供金融活动、产品或服务时，仍须注意遵守《金融现代化法案》。

《金融现代化法案》的第V部列明私隐规定的三项主要元素，即 (1) 财务私隐规则；(2) 安全维护规则；及 (3) 假托借口条文。财务私隐规则就金融机构收集及披露客户个人财务资料作出规定。金融机构必须通知客户其共享资料的做法，向客户发出私隐通知（不论是否共享客户的非公开个人资料），并必须向客户提供选择不向非关联第三方披露非公开个人资料的方法。

所有金融机构，不论直接收集客户资料或从其他金融机构（例如信贷报告机构）接收客户资料，均须根据安全维护规则制定、实施及维持保障措施，以保障客户资料。金融机构须制定详细的安全计划，以保护客户及前客户的非公开个人资料避免网络攻击、数据泄漏及未经授权查阅等风险。为遵守假托借口条文，金融机构亦不得违反禁止以社交工程（social engineering，以影响力或说服力来欺骗他人，甚至利用人性的弱点，获取有用的资讯作非法用途）或假托借口（pretexting，编撰虚假情景令他人提供平时不愿透露的资讯）等欺诈方式查阅非公开个人资料的规则。

每项违反《金融现代化法案》的行为最高罚款10万美元，而金融机构高级人员及董事罚款最高10,000美元。根据《金融现代化法案》第523条，明知及／或故意严重违反《金融现代化法案》最多可被判处监禁5年。

总结

鉴于监管机构对个人资料私隐的监管日益严谨，加上违反全球法规的严重惩罚，香港的金融机构应定期检讨其个人资料私隐制度，并在必要时征询专业法律意见，以符合法律规定，从根本上避免被监管机构采取行动。