簡介

銀行及金融機構（統稱「金融機構」）在日常營運中需要管理大量個人資料，一旦違反個人資料私隱法例，可導致其財務及聲譽嚴重受損，因此保護個人資料私隱對金融機構來說至關重要。隨着全球化進程加速和科技進步，金融交易可以在網上輕易進行，不受地域限制，個人資料往往在不同國家收集、處理、轉移及儲存。在本文中，我們將簡要地探討多項本地及外地法例對香港金融機構處理個人資料的影響，包括：香港法例第486章《個人資料（私隱）條例》（《私隱條例》）、歐洲聯盟（「歐盟」）《通用數據保障條例》（《通用數據保障條例》）、將於2021年11月1日起實施的《中華人民共和國個人信息保護法》（《個人信息保護法》）及美國《1999年金融現代化法案》（又稱《格雷姆-里奇-比利雷法案》）（《金融現代化法案》）。

資料私隱及安全顧慮

資料私隱是關乎誰人可以查閱與某機構建立了關係的人士向該機構提供的個人資料。銀行員工需要某些個人資料以核實客戶身份，而財務顧問亦需要某些資料才可代表持有賬戶的客戶進行交易。一旦銀行員工、安全人員或其他負責保護個人資料的人員未能提供足夠的安全規範，便會出現個人資料安全問題。

《私隱條例》

在香港，規範個人資料私隱保護的法例是《私隱條例》。「個人資料」被界定為直接或間接與一名在世的個人有關的資料，而從該資料直接或間接地確定該個人的身份是切實可行的，而且該資料的存在形式必須令查閱或處理該資料是切實可行的。香港個人資料私隱專員公署亦發出了《銀行業界妥善處理客戶個人資料指引》（《銀行業資料處理指引》），述明有關保障客戶資料保密的重要性及一些保護客戶資料的主要監控措施。《銀行業資料處理指引》亦有提及「金融機構」，因此亦適用於更廣泛的金融服務行業及其資料私隱合規人員，金融機構遵守當中的規定屬審慎之舉。

《銀行業資料處理指引》

金融機構（「資料使用者」）須制定一套適用於所有業務流程及營運程序的企業私隱策略，以確保在收集、整合、儲存、保存、查閱、使用及轉移整個生命週期內妥當地處理個人資料。一方面，資料使用者必須向資料當事人提供充分的個人資料收集聲明，當中列明：個人資料收集後的用途、個人資料是必須還是自願提供、未能提供必要資料的後果、可能獲轉移或披露個人資料的人士類別、關於使用及／或提供個人資料作直接促銷的必要資料（如適用）、查閱及更正個人資料的權利，以及處理此類查閱及更正要求的資料保護主任的聯絡詳情。所收集的個人資料應「適合其收集用途」，不會過多，並且應準確、僅在必要的時間內保留資料及安全儲存（尤其在遙距環境）。另一方面，金融機構亦應制定及向公眾公佈其私隱政策聲明，以及制定穩健的私隱及風險管理計劃。例如：必須告知資料當事人如其任何資料在集團內部共享或轉移；在向執法或監管機構披露個人資料之前應採取措施；查閱個人資料的要求必須在40日內處理；及任何「直接促銷」行為必須特別謹慎處理。

資料使用者一般須就其員工、代理人及承辦商的行為負責，因此他們應確保員工在保護個人資料方面保持高度警覺。此外，資料使用者應實施「多重」安全監控措施（包括資訊科技及非資訊科技方面），以預防及偵測任何個人資料遺失或洩漏。員工須簽署保密協議，以確認資料使用者的營運要求。在發生違規的情況下，如資料使用者能證明自己已採取預防措施（例如持續培訓、內部政策）以防止違規，則可構成抗辯理由。代理人和承辦商的服務合約亦應加入《私隱條例》的相關規定。

《個人信息保護法》

根據《個人信息保護法》，「個人信息」是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理後的信息。與《通用數據保障條例》類似，《個人信息保護法》的效力涵蓋中國境外的廣泛範圍，適用於根據第三條處理個人資料的以下情況：(1) 向中國境內自然人提供產品或服務；(2) 分析或評估中國境內自然人的行為；及 (3) 法律或行政法規規定的其他情形。第五至九條訂明了中國個人信息保護的七項主要原則：合法、限定目的、最小範圍、公開透明、準確、問責及信息安全。第四、十三及十四條規定，處理個人資料（包括向公眾收集、儲存、使用、傳輸、提供及公開）須取得個人的同意，而且有關同意須由個人在充分知情的前提下自願及明確作出。

金融機構應特別注意《個人信息保護法》第二十三條，該條與《私隱條例》及《通用數據保障條例》相比，對聘用第三方處理個人信息的金融機構施加了額外責任，例如，他們須通知個人關於第三方的身份、聯繫方式、處理目的、處理方式和個人信息的種類，並取得個人的單獨同意。接收個人信息的第三方應當在上述處理目的、處理方式和個人信息的種類等範圍內處理個人信息。假如第三方變更原先的處理目的或處理方式，則須重新取得個人同意。金融機構應緊記上述規定，在準備聘用第三方處理個人資料的合約時，應更加謹慎。

值得注意的是，有別於《私隱條例》或《通用數據保障條例》規定的做法，《個人信息保護法》第二十八及二十九條進一步將若干種類的個人信息歸類為「敏感個人信息」。「敏感個人信息」是指一旦洩露或非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括特定身份、宗教信仰、生物識別、醫療健康、金融賬戶、行踪軌跡等信息，以及未滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分必要性的情形下，金融機構方可處理敏感個人信息。若是基於個人同意處理敏感個人信息，金融機構須取得個人的單獨同意。

與《通用數據保障條例》一樣，《個人信息保護法》設有嚴厲罰則，違反規定的個人信息處理者最高懲罰為沒收違法使用個人信息所得，並罰款人民幣5,000萬元或上一年度營業額5% 。

《通用數據保障條例》

除《私隱條例》外，香港的金融機構亦應注意，歐盟的《通用數據保障條例》規定在指明情況下，在非歐盟司法管轄區成立的機構亦遵守其明文合規規定。香港的個人資料私隱專員公署刊發了《歐洲聯盟通用數據保障條例2016最新資訊》，旨在提高本地企業認識因《通用數據保障條例》的實施而制定的歐盟資料保護監管框架可能對他們造成的影響。

根據《通用數據保障條例》，「個人資料」是指有關一名已被識別或可被識別的自然人的任何資訊，而已被識別或可被識別的自然人是指可直接或間接地被識別者，尤其是藉著參考以下身份標識符所識別者，例如姓名、身份識別號碼、位置資料、網上識別代號，或該自然人特有的一項或多項身體、生理、基因、精神、經濟、文化或社交身份因素。根據《通用數據保障條例》第3條，香港的金融機構在以下情況下須遵守《通用數據保障條例》：(1) 在歐盟設立機關，而該機關的活動涉及處理個人資料，不論是否確實在歐盟境內處理資料；或 (2) 在歐盟沒有設立機關，但向歐盟人士提供貨品或服務或監察他們的行為。例如，若金融機構向位於歐盟的個人提供銀行或投資服務，儘管他們在歐盟境外註冊成立，而且在歐盟沒有分行或代表處，但仍可能需遵守《通用數據保障條例》的規定。值得注意的是，《通用數據保障條例》第 26 條明確規定，資料保護原則不適用於匿名信息，即與已識別或可識別的自然人無關，或已匿名化使資料當事人無法被或無法再被識別的個人資料，因此《通用數據保障條例》不適用於此類已匿名信息的處理。《通用數據保障條例》的核心是其第5條訂明的七個重要原則：合法、公平與透明、限定目的、最少資料、準確、儲存限制、整全保密（安全）以及問責。資料控制人必須能夠證明他們已遵守《通用數據保障條例》，並且必須透過實施適當的技術及機構措施，安全地處理資料。

《通用數據保障條例》第V章為轉移個人資料提供了法律依據。第44條規範一般的國際轉移，而根據第49(1) 條的「特定情況下豁免」，在符合其中一項列明條件的情況下，可進行資料轉移。其中一項豁免情況是「資料當事人在獲告知有關資料轉移由於欠缺資料保障足夠度的評估決定和適當的資料保障措施而附帶的潛在風險後，仍明確同意擬議的資料轉移」。

違反《通用數據保障條例》的罰款非常高，第83(5) 條訂明了兩級罰款，最高為2,000萬歐元或全球收入4%（以較高者為準），而且資料當事人有權追討損害賠償。

《金融現代化法案》

《金融現代化法案》是一項美國聯邦法律，主要規管金融機構處理客戶的非公開個人資料（「非公開個人資料」）。根據《金融現代化法案》第509(4)條，「非公開個人資料」是指金融機構就提供金融產品或服務而收集關於個人的任何「可識別個人財務資料」，除非有關資料可從其他途徑「公開查閱」，則屬例外。《金融現代化法案》僅涵蓋正在或已經從金融機構獲得主要用作個人、家庭或家居（而非商業）用途的金融產品或服務的個人客戶的非公開個人資料。

《金融現代化法案》第103條訂明，《金融現代化法案》適用於《銀行控股公司法案》第4(k) 條所述「顯著地從事」「金融活動」的企業，因此不但包括一般稱為「金融機構」的公司，而且包括房地產估值師、報稅師、財務規劃師、信貸報告機構、櫃員機營運商以及金融服務行業就業輔導等業務。儘管《金融現代化法案》適用的司法管轄區不及《通用數據保障條例》和《個人信息保護法》般廣泛，但金融機構在美國從事或提供金融活動、產品或服務時，仍須注意遵守《金融現代化法案》。

《金融現代化法案》的第V部列明私隱規定的三項主要元素，即 (1) 財務私隱規則；(2) 安全維護規則；及 (3) 假託藉口條文。財務私隱規則就金融機構收集及披露客戶個人財務資料作出規定。金融機構必須通知客戶其共享資料的做法，向客戶發出私隱通知（不論是否共享客戶的非公開個人資料），並必須向客戶提供選擇不向非關聯第三方披露非公開個人資料的方法。

所有金融機構，不論直接收集客戶資料或從其他金融機構（例如信貸報告機構）接收客戶資料，均須根據安全維護規則制定、實施及維持保障措施，以保障客戶資料。金融機構須制定詳細的安全計劃，以保護客戶及前客戶的非公開個人資料避免網絡攻擊、數據洩漏及未經授權查閱等風險。為遵守假託藉口條文，金融機構亦不得違反禁止以社交工程（social engineering，以影響力或說服力來欺騙他人，甚至利用人性的弱點，獲取有用的資訊作非法用途）或假託藉口（pretexting，編撰虛假情景令他人提供平時不願透露的資訊）等欺詐方式查閱非公開個人資料的規則。

每項違反《金融現代化法案》的行為最高罰款10萬美元，而金融機構高級人員及董事罰款最高10,000美元。根據《金融現代化法案》第523條，明知及／或故意嚴重違反《金融現代化法案》最多可被判處監禁5年。

總結

鑒於監管機構對個人資料私隱的監管日益嚴謹，加上違反全球法規的嚴重懲罰，香港的金融機構應定期檢討其個人資料私隱制度，並在必要時徵詢專業法律意見，以符合法律規定，從根本上避免被監管機構採取行動。