任何人士或机构在收集、持有、处理或使用个人资料时,必须遵守条例 第4条 及 附表1 订明的六项保障资料原则。(注: 被收集个人资料的当事人称为「 资料当事人 」,而收集他人的个人资料的人士或机构则称为「 资料使用者 」。)
个人资料私隐专员公署 可能会向有关资料使用者发出执行通知,指令其停止进行违规行为及采取必要补救措施。如果违反执行通知的规定,即属犯法,可被判处罚款或监禁。如个别人士因为他人违反保障资料原则而蒙受损害 (包括情感方面的损害),该受害人有权循民事诉讼向犯错者索偿。
第一项原则 ─ 收集个人资料的目的及方式
个人资料必需要为合法目的而收集,收集目的亦须直接与使用该等资料的资料使用者之职能或活动有关。所收集到的资料足够便可,而不应超过有关目的之实际需要。
个人资料须以合法及公平的方式收集。举例,盗用他人的银行户口纪录或信用咭资料,便属于用不合法的方式去收集个人资料。如果某人 / 机构蓄意用误导的手法来收集个人资料,便属不公平的收集方式。举例,如果一间公司藉着招聘活动去收集求职人士的个人资料,但其实无意招聘任何人,而只是用招聘的藉口去收集资料,那么该公司就是用不公平的手法收集个人资料。
向个别人士 (即「资料当事人」) 收集个人资料时,必须告知他们下列事项,包括:
- 该等资料将会用于甚么目的/用途;
- 该等资料可能会转交予甚么类别的人;
- 当事人是否有责任(或只是自愿性)提供该等资料 ;
- 若当事人不提供该等资料所须承受的后果;及
- 当事人有权要求查阅及改正该等资料。
第二项原则 ─ 个人资料的准确性及保留期间
资料使用者必须确保所持有的个人资料是准确及最新近的。如资料使用者怀疑所持有的个人资料并不准确,就应该立即停止使用有关资料。资料的保存时间,不能超过使用该等资料而达到原定目的之实际所需。
第三项原则 ─ 个人资料的使用
除非得到资料当事人的「订明同意」,否则资料使用者不可以改变个人资料的用途,而只可将资料用于当初收集资料时所述明的用途 (或与其直接有关的用途)。「订明同意」是指资料当事人明确及自愿给予的同意。
第四项原则 ─ 个人资料的保安
资料使用者必须采取适当的保安措施去保护个人资料。他们必须确保个人资料得到足够保障,以避免有人在未获准许或意外的情况下,去查阅、处理、删除或者使用该等资料。
第五项原则 ─ 资讯须在一般情况下可提供
资料使用者须公开 所持有的个人资料之类别 (不是资料内容) ,并公开其处理个人资料的政策及实务。最佳做法是制订一份「私隐政策声明」,内容可以包括有关资料的准确性、保留期、保安、使用、如何处理由资料当事人提出的查阅资料及改正资料要求。
第六项原则 ─ 查阅个人资料
资料当事人有权向资料使用者查证是否持有其个人资料,以及有权要求获得有关资料的副本。如发现副本内的个人资料不准确,则有权要求改正有关资料。
资料使用者须在法定的 40 日内,依从有关查阅资料及改正资料的要求。如未能在指定时限内处理,亦须在 40 日内作出回覆及述明理由。
个别人士 / 资料当事人如欲提出查阅要求,可于个人资料私隐专员公署的网页下载 查阅资料要求表格 (OPS003) ,并将填妥之表格送交持有其个人资料的机构。请留意,条例准许资料使用者就依从查阅资料要求而收取合理费用,但有关资料使用者不可以收取超过依从查阅资料要求所需的直接成本。
有关六项保障资料原则的详细资料,请查阅个人资料私隐专员公署(以下简称「公署」)制作的 个人资料私隐通识网 。
A. 豁免
在某些情况下,个人资料使用者或可获豁免,毋须受条例或六项保障资料原则规限。《2012年个人资料(私隐)(修订)条例》(以下简称「修订条例」)引入了新的豁免,简介如下:
家居事务或消闲目的
根据《私隐条例》第52条 ,与家居事务或为消闲目的而持有的个人资料,不受第四、五项资料保护原则及私隐条例 第36条 和 第38(b)条 所规限。持有家庭成员或朋友的电话号码作日常联络或约会之用,便属例子之一。
与雇佣有关的用途
在某些情况下,资料使用者或可免受部分(非全部)六项保障资料原则所规限。
《私隐条例》第53条 、 第54条 、 第55条 及 第56条 指出,如个人资料作下列与雇佣工作有关的用途,便可得到豁免而不需要受到查阅资料要求(第六项保障资料原则及 第18(1)(b)条 )的条文所规限。上述条文要求资料使用者向资料当事人提供其所掌握的关于该当事人的所有个人资料。这些资料可包括:
- 与职工策划有关的个人资料 ;
- 在进行某些工作能力评核(包括招聘或晋升)程式过程中取得的个人资料,而有关评核仍未有决定,且针对该等决定提出上诉是容许的;
- 填补某职位前所需取得的个人评介,直至已填补该职位为止。
健康原因
根据《私隐条例》第59条 ,与资料当事人的身体或精神健康有关的个人资料,可获豁免而不受查阅资料要求(第六项保障资料原则及 第18(1)(b)条 )和限制资料用途(第三项保障资料原则)的条文所规限,前提是使用该等条文的话,若相当可能会对该资料当事人的身体或精神健康造成严重损害,或者相当可能会对其他人的身体或精神健康造成严重损害,则可获豁免。
此外,根据 第59(2)条 (修订条例所新增),有关资料当事人的身份或所在地的个人资料,如果使用限制资料用途的条文便相当可能会对该资料当事人或其他人的身体或精神健康造成严重损害,则可获豁免,不受第三项保障资料原则规限。
未成年人的照顾及监护
根据《私隐条例》第59A条 (修订条例所新增),凡香港警务处或香港海关向未成年人的父母或监护人转移或披露该未成年人的个人资料,如果该项转移或披露符合该未成年人的利益,或其目的是方便该有关人士妥善照顾及监护该未成年人,则可获豁免,不受第三项保障资料原则规限。
新闻活动
根据私隐条例第61条,如资料使用者为进行新闻活动而持有个人资料,除非及直至该等资料已发表或播放,否则该等资料可免受查阅资料要求(第六项保障资料原则、 第18(1)(b)条 及 38(i)条 、第 36条 及 38(b)条 )的条文所规限。如资料使用者相信发表该等资料是符合公众利益,亦可不受限制资料用途(第三项保障资料原则)的条文所规限。
个人资料私隐专员公署曾处理一宗上诉个案,涉及新闻活动的公众利益。在这个案中,一间教育机构的院长向新闻记者披露了一名职员的个人资料,藉以反驳该职员对院校的指控,以维护院校的声誉。此举被公署视为符合公众利益,有助作出公平及平衡的新闻报导(请登入公署之 投诉个案简述 ,以参阅全部内容) 。
人类胚胎
根据《私隐条例》第63条 ,如果个人资料包含可显示某人是(或可能是)经由生殖科技程序而诞生的资讯,只要是根据《 人类生殖科技条例 》 第33条 披露该资料,则可获豁免,不受第六项保障资料原则及 第18(1)(b)条 的条文所规限。
紧急情况
根据《私隐条例》第63C条 (修订条例所新增),如依从第1(3)项保障资料原则及第三项保障资料原则处理个人资料,便相当可能不利于识辨某名正处于危及生命的处境之中的人士之身份,将该名人士的处境告知其家人,及进行紧急拯救行动或提供紧急救助服务,则该等个人资料可获豁免,不受该等条文所规限。
个人资料外判处理
资料使用者将资料处理外判予第三方的做法已日趋普遍。与此同时,在资料处理外判期间发生的个人资料外泄事件亦日益增多,或会对相关的资料当事人造成严重且不可挽回的损害。
即使个人资料外判予第三方处理,所有保障资料原则仍然适用。根据私隐条例,在个人资料交讬予资料处理者时,该等资料的使用者作为委讬人,须对获其授权的资料处理者的一切行为负上责任。
修订条例通过修订第二、四项保障资料原则,强化了这方面的保障。新条文自2012年10月1日生效,增加了聘用第三方代为处理资料的资料使用者之义务(无论该等处理是否在香港进行)。资料使用者须以合约或其他方法,防止转移到与资料处理者的个人资料,保存时间超过处理该等资料所需的时间(第2(3)项保障资料原则),以及防止该等资料在未获授权或意外的情况下被查阅、处理、删除、丢失或以其他不当方式使用(第4(2)项保障资料原则)。
根据修订条例,资料处理者是指任何人:
- 代另一人处理个人资料;及
- 不为任何人的个人目的而处理该资料。
有关新增义务的详情,请参阅公署的单张 。
随着资讯科技快速发展和外判处理个人资料日趋普及,个人资料的收集(非直接从资料当事人收集)和传播较以往容易得多。无论是否受资料使用者委讬,故意披露从资料使用者取得的个人资料,可对资料当事人造成严重损害。鉴于侵犯个人资料私隐的严重性及可能对资料当事人构成损害的程度,修订条例新增了一项罪行,以打击在些情形下,披露未经资料使用者同意取得的个人资料的行为。
根据《私隐条例》第64条 ,如果未经资料使用者同意,任何人披露取自该资料使用者的个人资料:
- 意图获取金钱或其他财产得益,不论是为了令自身或其他人受惠;
- 意图导致该当事人蒙受金钱或其他财产损失;或
- 不论意图为何,该项披露导致该当事人蒙受心理伤害。
即属犯罪,最高刑罚是罚款1,000,000元及监禁5年。
有关新罪行及其处罚理据的详情,请参阅公署的单张 。