法律專家：須承擔洩露責任 個資保護法 應約束政府

他補充，這項法律將強制某些關鍵國家資訊基礎措施，如政府、技術、銀行、衛生和交通部門遵守最低的信息技術安全標準。

“這項網絡安全法將要求指定的關鍵國家資訊基礎措施單位，向適當的監管機構報告數據洩露事件。”

“還需要一個強制性的數據洩露報告制度，涵蓋收集個人數據的所有各方，包括政府。”

促加快修改人資保護法

迪巴表示，雖然個人數據保護委員會建議僅針對商業組織引入此修正案，但該修正案以及其他在2020年初擬議個人資料保護法令修正案尚未在國會獲得通過。

“我敦促政府加快修改個人資料保護法令的進程，因為馬來西亞發生的數據洩露事件，正以令人擔憂的情況增加。”

迪巴坦言，從立法的角度來看，我國在個人資料保護方面還有很多工作要做。

“如果法律沒有到位，政府等相關方不受法律約束，改革就不會快速發生。”

姚傑翰：應立法讓受害者索賠

另一方面，執業律師姚傑翰（音譯）則表示，同樣需要被注意的情況還有違反個人資料保護法的行為將面臨怎樣的懲罰。

“無論是聯邦政府、州政府還是個人，數據洩露的受害者都必須依靠過失侵權才能從違法方獲得任何形式的賠償。”

“與確立違反個人資料保護法令條款相比，確立侵權行為過失的要求，通常更為繁瑣，因為需要考慮更多的法律因素。”

“因此，為更好地保護人民，所需要的修正案不僅只是刪除個人資料保護法第3（1）條那麼簡單。”

姚傑翰建議，為了讓受託處理大量個人數據的政府和個人承擔更高的責任標準，立法者應考慮允許受害者僅因違法方違反個人資料保護法令而向違法方追償損失。

他說，這一立場與適用於歐盟和歐洲經濟區所有成員的歐盟一般數據保護條例（GDPR） 一致。

歐盟一般數據保護條例（GDPR）第82條賦予個人向數據控制者索賠的權利，數據控制者包括公共當局、機構或其他處理個人數據的機構。

姚傑翰表示，包括損失金錢等物質損失，或遭受情緒困擾等非物質損失都能進行索賠。

“美國也採取了類似的立場，根據1974年《美國隱私法》，聯邦機構無權因違反美國隱私法而享有豁免權。”