I. 「個人資料」的定義

個人資料是指任何資料,可以「直接或間接與一名在世的人有關的、可以切實可行地透過有關資料,直接或間接地確定有關個人的身分、及該資料的存在形式,讓人可切實可行地查閱及處理有關資料(例如是文件或影帶)」。個人資料的法律定義,可見於 第486章 《 個人資料(私隱)條例 》 第2條 。

有關個人資料的明顯例子,包括個人的姓名及指紋,通過這些資料,一個人的身份可得以辨認。另一方面,某些資料組合起來,例如電話、地址、性別和年齡,也可能讓人切實可行地辨認出一個人的身份。

私隱條例於 1996 年 12 月 20 日正式生效。條例適用於任何收集、持有、處理或使用個人資料的人士,當中包括私營機構、公營機構及政府部門。概括來說,條例規管個人資料的收集和使用方式,並防止任何人因濫用個人資料而侵犯到他人的私隱。

根據香港現行之成文法及普通法,只有個人資料受到私隱條例的保障。 《香港人權法案》第14條 訂明 “ 任何人之私生活、家庭、住宅或通信,不得無理或非法侵擾,其名譽及信用,亦不得非法破壞。”但是,私隱條例並無涵蓋個人資料以外的所有私隱問題。

II. 六項保障資料原則

任何人士或機構在收集、持有、處理或使用個人資料時,必須遵守條例 第4條 及 附表1 訂明的六項保障資料原則。(註: 被收集個人資料的當事人稱為「 資料當事人 」,而收集他人的個人資料的人士或機構則稱為「 資料使用者 」。)

個人資料私隱專員公署 可能會向有關資料使用者發出執行通知,指令其停止進行違規行為及採取必要補救措施。如果違反執行通知的規定,即屬犯法,可被判處罰款或監禁。如個別人士因為他人違反保障資料原則而蒙受損害 (包括情感方面的損害),該受害人有權循民事訴訟向犯錯者索償。

第一項原則 ─ 收集個人資料的目的及方式

個人資料必需要為合法目的而收集,收集目的亦須直接與使用該等資料的資料使用者之職能或活動有關。所收集到的資料足夠便可,而不應超過有關目的之實際需要。

個人資料須以合法及公平的方式收集。舉例,盜用他人的銀行戶口紀錄或信用咭資料,便屬於用不合法的方式去收集個人資料。如果某人 / 機構蓄意用誤導的手法來收集個人資料,便屬不公平的收集方式。舉例,如果一間公司藉著招聘活動去收集求職人士的個人資料,但其實無意招聘任何人,而只是用招聘的藉口去收集資料,那麼該公司就是用不公平的手法收集個人資料。

向個別人士 (即「資料當事人」) 收集個人資料時,必須告知他們下列事項,包括:

  • 該等資料將會用於甚麼目的/用途;
  • 該等資料可能會轉交予甚麼類別的人;
  • 當事人是否有責任(或只是自願性)提供該等資料 ;
  • 若當事人不提供該等資料所須承受的後果;及
  • 當事人有權要求查閱及改正該等資料。

第二項原則 ─ 個人資料的準確性及保留期間

資料使用者必須確保所持有的個人資料是準確及最新近的。如資料使用者懷疑所持有的個人資料並不準確,就應該立即停止使用有關資料。資料的保存時間,不能超過使用該等資料而達到原定目的之實際所需。

第三項原則 ─ 個人資料的使用

除非得到資料當事人的「訂明同意」,否則資料使用者不可以改變個人資料的用途,而只可將資料用於當初收集資料時所述明的用途 (或與其直接有關的用途)。「訂明同意」是指資料當事人明確及自願給予的同意。

第四項原則 ─ 個人資料的保安

資料使用者必須採取適當的保安措施去保護個人資料。他們必須確保個人資料得到足夠保障,以避免有人在未獲准許或意外的情況下,去查閱、處理、刪除或者使用該等資料。

第五項原則 ─ 資訊須在一般情況下可提供

資料使用者須公開 所持有的個人資料之類別 (不是資料內容) ,並公開其處理個人資料的政策及實務。最佳做法是制訂一份「私隱政策聲明」,內容可以包括有關資料的準確性、保留期、保安、使用、如何處理由資料當事人提出的查閱資料及改正資料要求。

第六項原則 ─ 查閱個人資料

資料當事人有權向資料使用者查證是否持有其個人資料,以及有權要求獲得有關資料的副本。如發現副本內的個人資料不準確,則有權要求改正有關資料。

資料使用者須在法定的 40 日內,依從有關查閱資料及改正資料的要求。如未能在指定時限內處理,亦須在 40 日內作出回覆及述明理由。

個別人士 / 資料當事人如欲提出查閱要求,可於個人資料私隱專員公署的網頁下載 查閱資料要求表格 (OPS003) ,並將填妥之表格送交持有其個人資料的機構。請留意,條例准許資料使用者就依從查閱資料要求而收取合理費用,但有關資料使用者不可以收取超過依從查閱資料要求所需的直接成本。

有關六項保障資料原則的詳細資料,請查閱個人資料私隱專員公署(以下簡稱「公署」)製作的 個人資料私隱通識網 。

A. 豁免

在某些情況下,個人資料使用者或可獲豁免,毋須受條例或六項保障資料原則規限。《2012年個人資料(私隱)(修訂)條例》(以下簡稱「修訂條例」)引入了新的豁免,簡介如下:

家居事務或消閒目的

根據《私隱條例》第52條 ,與家居事務或為消閒目的而持有的個人資料,不受第四、五項資料保護原則及私隱條例 第36條 和 第38(b)條 所規限。持有家庭成員或朋友的電話號碼作日常聯絡或約會之用,便屬例子之一。

與僱傭有關的用途

在某些情況下,資料使用者或可免受部分(非全部)六項保障資料原則所規限。

《私隱條例》第53條 、 第54條 、 第55條 及 第56條 指出,如個人資料作下列與僱傭工作有關的用途,便可得到豁免而不需要受到查閱資料要求(第六項保障資料原則及 第18(1)(b)條 )的條文所規限。上述條文要求資料使用者向資料當事人提供其所掌握的關於該當事人的所有個人資料。這些資料可包括:

  • 與職工策劃有關的個人資料 ;
  • 在進行某些工作能力評核(包括招聘或晉升)程式過程中取得的個人資料,而有關評核仍未有決定,且針對該等決定提出上訴是容許的;
  • 填補某職位前所需取得的個人評介,直至已填補該職位為止。

健康原因

根據《私隱條例》第59條 ,與資料當事人的身體或精神健康有關的個人資料,可獲豁免而不受查閱資料要求(第六項保障資料原則及 第18(1)(b)條 )和限制資料用途(第三項保障資料原則)的條文所規限,前提是使用該等條文的話,若相當可能會對該資料當事人的身體或精神健康造成嚴重損害,或者相當可能會對其他人的身體或精神健康造成嚴重損害,則可獲豁免。

此外,根據 第59(2)條 (修訂條例所新增),有關資料當事人的身份或所在地的個人資料,如果使用限制資料用途的條文便相當可能會對該資料當事人或其他人的身體或精神健康造成嚴重損害,則可獲豁免,不受第三項保障資料原則規限。

未成年人的照顧及監護

根據《私隱條例》第59A條 (修訂條例所新增),凡香港警務處或香港海關向未成年人的父母或監護人轉移或披露該未成年人的個人資料,如果該項轉移或披露符合該未成年人的利益,或其目的是方便該有關人士妥善照顧及監護該未成年人,則可獲豁免,不受第三項保障資料原則規限。

新聞活動

根據私隱條例第61條,如資料使用者為進行新聞活動而持有個人資料,除非及直至該等資料已發表或播放,否則該等資料可免受查閱資料要求(第六項保障資料原則、 第18(1)(b)條 及 38(i)條 、第 36條 及 38(b)條 )的條文所規限。如資料使用者相信發表該等資料是符合公眾利益,亦可不受限制資料用途(第三項保障資料原則)的條文所規限。

個人資料私隱專員公署曾處理一宗上訴個案,涉及新聞活動的公眾利益。在這個案中,一間教育機構的院長向新聞記者披露了一名職員的個人資料,藉以反駁該職員對院校的指控,以維護院校的聲譽。此舉被公署視為符合公眾利益,有助作出公平及平衡的新聞報導(請登入公署之 投訴個案簡述 ,以參閱全部內容) 。

人類胚胎

根據《私隱條例》第63條 ,如果個人資料包含可顯示某人是(或可能是)經由生殖科技程序而誕生的資訊,只要是根據《 人類生殖科技條例 》 第33條 披露該資料,則可獲豁免,不受第六項保障資料原則及 第18(1)(b)條 的條文所規限。

緊急情況

根據《私隱條例》第63C條 (修訂條例所新增),如依從第1(3)項保障資料原則及第三項保障資料原則處理個人資料,便相當可能不利於識辨某名正處於危及生命的處境之中的人士之身份,將該名人士的處境告知其家人,及進行緊急拯救行動或提供緊急救助服務,則該等個人資料可獲豁免,不受該等條文所規限。

個人資料外判處理

資料使用者將資料處理外判予第三方的做法已日趨普遍。與此同時,在資料處理外判期間發生的個人資料外洩事件亦日益增多,或會對相關的資料當事人造成嚴重且不可挽回的損害。
即使個人資料外判予第三方處理,所有保障資料原則仍然適用。根據私隱條例,在個人資料交託予資料處理者時,該等資料的使用者作為委託人,須對獲其授權的資料處理者的一切行為負上責任。

修訂條例通過修訂第二、四項保障資料原則,強化了這方面的保障。新條文自2012年10月1日生效,增加了聘用第三方代為處理資料的資料使用者之義務(無論該等處理是否在香港進行)。資料使用者須以合約或其他方法,防止轉移到與資料處理者的個人資料,保存時間超過處理該等資料所需的時間(第2(3)項保障資料原則),以及防止該等資料在未獲授權或意外的情況下被查閱、處理、刪除、丟失或以其他不當方式使用(第4(2)項保障資料原則)。

根據修訂條例,資料處理者是指任何人:

  • 代另一人處理個人資料;及
  • 不為任何人的個人目的而處理該資料。

有關新增義務的詳情,請參閱公署的單張 。

隨著資訊科技快速發展和外判處理個人資料日趨普及,個人資料的收集(非直接從資料當事人收集)和傳播較以往容易得多。無論是否受資料使用者委託,故意披露從資料使用者取得的個人資料,可對資料當事人造成嚴重損害。鑑於侵犯個人資料私隱的嚴重性及可能對資料當事人構成損害的程度,修訂條例新增了一項罪行,以打擊在些情形下,披露未經資料使用者同意取得的個人資料的行為。

根據《私隱條例》第64條 ,如果未經資料使用者同意,任何人披露取自該資料使用者的個人資料:

  • 意圖獲取金錢或其他財產得益,不論是為了令自身或其他人受惠;
  • 意圖導致該當事人蒙受金錢或其他財產損失;或
  • 不論意圖為何,該項披露導致該當事人蒙受心理傷害。

即屬犯罪,最高刑罰是罰款1,000,000元及監禁5年。

有關新罪行及其處罰理據的詳情,請參閱公署的單張 。

III. 直接促銷涉及的私隱問題

針對將個人資料用於直接促銷的行為,《2012年個人資料(私隱)(修訂)條例》(以下簡稱「修訂條例」)引入了新的規管制度。新制度由2013年4月1日起生效,加強對個人的保障。如果資料使用者擬將某資料當事人的個人資料用於直接促銷、或將資料提供予他人用於直接促銷,必須告知該資料當事人若干訂明資訊,並獲得其同意。

根據私隱條例 第35A條 ,「直接促銷」(就個人資料私隱而言)是指透過直接促銷方法—

  • 要約提供貨品、設施或服務,或為貨品、設施或服務進行廣告宣傳;或
  • 為慈善、文化、公益、康體、政治或其他目的索求捐贈或貢獻。

而直接促銷方法是指:

  • 藉 郵件、圖文傳真、電子郵件或其他類似形式的傳播方式 ,向特定人士發放資訊或貨品;或
  • 致電特定人士。

因應私隱條例的修訂,個人資料私隱專員公署(以下簡稱「公署」)在2013年1月發出了直接促銷新指引。

A. 資料使用者將個人資料用於本身的直接促銷活動

根據私隱條例新修訂的 第35C條 ,在將個人資料用於直接促銷之前,資料使用者必須採取以下措施:

  • 資料使用者必須告知資料當事人有意使用其個人資料作直接促銷,除非得到該當事人同意,否則不應使用有關資料。
  • 資料使用者須向資料當事人提供資訊,表明打算使用其個人資料作甚麼用途,包括計劃使用哪種個人資料,及計劃將個人資料用於哪類促銷目標。
  • 資料使用者必須向資料當事人提供免費途徑,讓當事人可傳達其同意資料被使用的訊息。
  • 為協助資料當事人作出有根據的選擇,資料使用者提供的資訊必須簡單易明,如屬書面資訊,則亦須容易理解。

此外,根據 第35F條 ,如果資料使用者 首次 將個人資料用於直接促銷,須告知資料當事人有權拒絕直接促銷活動,而資料使用者必須在當事人表明拒絕後,停止使用有關資料作直接促銷,亦不能收取當事人任何費用。

資料使用者只有在收到資料當事人的同意後,方可將個人資料用於直接促銷。此處的同意包括 示意不反對 該項使用或提供其個人資料( 第35A(1)條 )。如果資料當事人以口頭方式表示同意,資料使用者須在收到該口頭同意起計的14日內,向當事人發出書面通知,確認當事人同意使用何種個人資料及用於何種促銷目標。( 第35E條 )。

資料使用者須 隨時 應資料當事人要求,停止在直接促銷中使用該當事人的個人資料,而不收取任何費用( 第35G條 )。

任何資料使用者違反上述任何條文要求,均屬犯罪。每項罪行最高刑罰是罰款500,000元及監禁3年。

與新制度的「選擇加入」性質相反,舊有制度只容許有限度的「拒絕加入」選擇,意思是,在舊制度下,資料使用者首次將個人資料用於直接促銷時,須告知資料當事人,該當事人有權要求停止將其個人資料用於直銷。如果該當事人提出此要求,資料使用者必須停止使用該等資料;但如果該當事人並未提出要求,資料使用者便可使用其資料而毋須作進一步通知。需要注意的是,在修訂後的私隱條例 第35D條 之下,對於在修訂條例生效前已用於直接促銷的個人資料,舊制度仍然適用。換言之,如果在2013年4月1日前,資料使用者已在遵守當時的私隱條例要求的情況下將個人資料用於直接促銷,那麼在2013年4月1日後,該使用者仍可繼續使用該等資料於同等類別的促銷目標,而毋須履行新制度訂立的義務。

B. 資料使用者將個人資料提供予第三者作直接促銷

修訂條例除了規管資料使用者使用個人資料作直接促銷之外,還針對向第三者提供個人資料作直接促銷的行為,實施更嚴格的規管,當中包括向第三者出售個人資料。

如果資料使用者擬提供個人資料予第三者作直接促銷之用,須依循A部分列出的類似措施行事。此外,資料使用者還須告知資料當事人與該等資料用途有關的兩項資訊( 第35J條 ):

  • 該資料是否用以圖利;及
  • 該資料擬提供予甚麼類別的人士。

通知資料當事人的方式及資料當事人的回覆,均必須以書面方式進行。此外,除非資料使用者收到資料當事人的 書面同意 ,否則不得將其個人資料提供予第三者。( 第35K條 )
無論資料當事人曾否在較早前同意將其個人資料提供予第三者,資料當事人可以在任何時候,要求資料使用者:

  • 停止將該當事人的個人資料提供予第三者作直接促銷用途;及
  • 通知獲得資料的第三者,停止在直接促銷中使用該資料。

資料使用者收到上述指示後,必須依從,並且不得收取資料當事人任何費用。資料使用者向第三者發出的通知必須為 書面通知 。第三者收到資料使用者通知後,必須按照該通知,停止在直接促銷中使用有關個人資料。( 第35L條 )

違反有關提供個人資料予第三者作直接傳銷之用的規定,即屬犯罪。如違反行為涉及提供個人資料圖利(包括出售個人資料),最高刑罰是罰款1,000,000元及監禁5年。其他違反行為的最高刑罰是罰款500,000元及監禁3年。

資料使用者直接促銷中使用個人資料的行為之規管方式,與提供個人資料予第三者作直接促銷之規管方式略有不同。前者在新制度實施後,部分情況下仍可沿用舊有制度。提供個人資料予第三者作直接促銷的話,無論是否在2013年4月1日之前或之後發生,均必須遵從修訂後的私隱條例之新要求。

關於促銷電話(註)的問題,資料使用機構之職員在致電時應講出類似下列內容的字句:「如你不想再接獲我們的促銷電話,請告知我。我們便不會再打電話給你。」如資料使用者沒有提供拒絕服務選擇及遵守私隱條例 第34條 之規定,閣下可向個人資料私隱專員公署投訴。(註:利用電話促銷 (cold-calling) 開發新客戶是一種業務促銷手法,致電者與準客戶事前並無交往。)

公署已製作了 宣傳單張 ,介紹在修訂後的私隱條例下,市民如何行使權利拒絕直接促銷。

IV. 使用身分證號碼及身分證副本

由個人資料私隱專員公署發出的《 身分證號碼及其他身分代號實務守則 》及守則的 資料使用者指引 於1998年12月19日生效。任何違反實務守則的行為,可能會被用作與私隱條例有關的任何法律程序中之證據,以針對有關違規者。

實務守則就私隱條例如何適用在下述兩項的收集、準確性、保留、使用及保安方面,為資料使用者提供實務性指引,這兩個項目是:(a)身分證號碼及身分證副本; 及(b) 其他可識辨個人身分的特定代號,例如護照號碼、僱員編號、考生編號及病人編號。

如資料使用者為實務守則容許之用途而收集 身分證號碼或身分證副本,這些資料只可作該指定用途。在完成指定用途後,資料使用者應把 有關身分證號碼或身分證副本之紀錄銷毀。

資料使用者應為持有或傳送資料時作出足夠的保安措施。實務守則特別指出,有關紙張形式的身分證副本,應在橫跨整個身分證影像上加上「副本」的字眼,而身分證號碼或副本之紀錄亦應以機密文件形式處理,在不需使用時應將文件存於已上鎖的文件櫃或其他穩妥地方。

隨著技術簡化和成本下降,運用指紋資料識別身份,已廣泛地應用於調查罪案以外的用途。為了規管使用此類敏感的個人資料,公署在2012年5月修訂了《 收集指紋資料指引 》。

注意:

以下問答只能概括地解釋《身分證號碼及其他身分代號實務守則》之內容,如欲取得更多資料,請瀏覽 個人資料私隱專員公署的網頁 ,以參閱整份實務守則。如有任何問題,請聯絡公署或諮詢律師。

1. 概括來說,別人可在甚麼情況下向我索取身分證號碼或身分證副本?

身分證號碼

除獲法律授權外,資料使用者不可強制任何人提供他 / 她的身分證號碼。在實務守則准許的情況下,資料使用者可要求個人提供他 / 她的身分證號碼,而部分日常遇到的例子如下 :

  • 某一條例規定資料使用者須收集身分證號碼,例如《 入境條例 》( 第115章 ) 第17K條 規定,僱主須備存每名僱員可藉以合法地受僱的證件的號碼之紀錄,這證件通常是身分證。
  • 為履行 私隱條例第58(1)條 所述的任何目的而需要使用身分證號碼,包括防止或偵測罪行,以及評定或收取任何稅項。
  • 為了下述情況而有需要讓資料使用者識辨某人或正確認出該人的個人資料:
    • 增進該名個人的利益,例如在診治病人時能找出該病人的正確醫療紀錄 ;
    • 防止對有關資料使者以外的任何其他人造成損害,例如確保不會因參照錯誤的醫療紀錄而開錯葯給其他人 ;
    • 避免對資料使用者造成不輕微的損害或損失,例如涉及交通意外的司機可互相交換身分證號碼,以便就意外申索賠償時識辨對方的身分。
  • 為了加入用以確立或證明任何法律或 衡平法 上的權利或利益或任何法律責任的文件內,而該等權利 / 利益 / 法律責任的性質絕非輕微,例如用以確立個人物業權益的文件。
  • 在某人獲准進入處所後,要監察該人在處所內的活動是不切實可行的情況下,以身分證號碼作為將來識辨該人的方法,例如在辦公時間外進入商業大廈。
  • 作為准許某人保管或控制財物的一項條件,而有關財物的價值並非輕微,例如租賃樓宇或汽車。

身分證副本

除獲法律授權外,資料使用者不可強制任何人提供他 / 她的身分證副本。在實務守則准許的情況下,資料使用者可要求個人提供他 / 她的身分證副本,而部分日常遇到的例子如下 :

  • 為了履行與 私隱條例第58(1)條 所述的任何目的,包括防止或偵測罪行,以及評定或收取任何稅項。
  • 藉以證明已遵守任何法例規定,例如僱主可收集僱員的身分證副本,以證明有遵守《 入境條例 》 第17J條 的規定。該條文規定僱主在聘用僱員前,須查核該僱員的身分證。
  • 藉以遵守任何守則、規則、規例或指引中適用於資料使用者的收集身分證副本的規定,而該等規定已獲私隱專員的書面認可,例如香港金融管理局發出的《防止清洗黑錢活動指引》載有銀行可收集客戶的身分證副本的規定,有關規定已獲私隱專員認可。
  • 藉以收集或核對個人的身分證號碼,但只有在個人可選擇親身出示他 / 她的身分證以作代替的情況下,才可使用這個方法。例如運輸署可收集用郵寄方式申請駕駛執照的申請人的身分證副本,因申請人可選擇親身到運輸署出示身分證。
  • 藉以簽發官方認可的旅遊證件,例如英國國民 (海外)護照。

實務守則特別註明在下述情況下,資料使用者不可以收集身分證副本:

  1. 只為了防止在記錄個人的姓名或身分證號碼時出現錯誤。亦即是說,資料使用者不應只為了核對載有某人的姓名或身分證號碼的紀錄之準確性,而收集該人的身分證副本 ; 或
  2. 只為了期待建立與個人的未來關係。例如僱主不能因為在將來可能會向某人發出聘約,便收集該人的身分證副本。

2. 大廈保安員可否要求我把身分證號碼登記在大廈入口處的訪客登記冊內?

要視乎監察閣下在樓宇內的活動是否可行而定 ( 例如能否安排保安員在樓宇內一直陪同閣下 ) 。如可行的話,則保安員不應記錄閣下的身分證號碼 ; 如不可行的話,保安員便可記錄身分證號碼。

不過,保安員須採取適當保安措施遮蓋訪客登記冊內的資料,以免後來的訪客在登記資料時獲悉之前訪客的資料。如閣下不願意提供身分證號碼,可建議他們採用其他辦法代替。這些代替辦法包括使用其他身分證明文件 (例如職員證)作識辨用途,或由保安員認識的其他人(例如大廈內的住客)識辨閣下的身分。

個人資料私隱專員公署建議在一般情況下,訪客登記冊內的資料不應保留超過一個月。但若有充分理由 (例如資料需用作舉證用途或協助警方調查不法活動), 保安員便可將有關資料保留一段較長的時間。有關上述事項之更多指引,請參考由公署發出的 《 保障個人資料私隱:物業管理指引 》 。

3. 警務人員可否要求我出示身分證?

如只是要求閣下出示身分證,但並沒有將身分證上的任何資料記錄下來,這情況不屬實務守則的涵蓋範圍。但一般來說,如警務人員或其他公職人員 ( 例如入境事務處職員 ) ,在閣下與他們執行公務時有往來的情況下而被要求記錄身分證號碼,閣下應依從他們的要求,因為這些公職人員有法定權力在與政府公務有關的情況下,要求市民提供他們的身分證號碼。

如欲了解更多有關警察檢查身分證的權力,請往《社區法網》中另一個題目──警察及罪案

4. 準僱主可否在面試時記錄我的身分證號碼或收集我的身分證副本?

為了查核閣下以前曾否申請該公司的職位或曾否於該公司任職,準僱主可記錄閣下的身分證號碼,但在正式獲聘為該公司的僱員之前,僱主不應收集閣下的身分證副本。

5. 若果我接受聘約,僱主可否收集我的身分證副本?

可以。該身分證副本是僱主用作顯示已遵守《 入境條例 》的證據。該條例規定僱主須在聘用閣下前檢查閣下的身分證。不過,實務守則規定僱主須在僱員的身分證副本上加上「副本」的字眼,而該字眼亦須橫跨整個身分證影像,以減少誤用及濫用副本的機會。

6. 如我申請成為會所會員,該會所可否要求我提供身分證號碼及身分證副本?

一般來說,根據實務守則的規定,會所管理人或可記錄會員的身分證號碼以核對會員的身分。不過,他們似乎無理由收集會員的身分證副本。

7. 如我申請流動電話服務,有關公司可否記錄我的身分證號碼或收集我的身分證副本?

這類公司通常在提供服務後才向用戶收費。故此,它們需要有一個證明用戶身分的方法,以收取服務費用。另一問題是,它們並不是向固定的地點提供服務。目前已有多宗報導,關於有人利用他人的姓名和地址,用欺詐的方法取得該等服務,以及銷售員用虛假的人名開立戶口欺騙公司。有鑑於此,該等機構一般有理由根據實務守則的規定,記錄用戶的身分證號碼及收集他們的身分證副本,但必須在身分證副本上加上「副本」的字眼,而該字眼亦須橫跨整個身分證影像。

8. 當我申請成為銀行/保險公司的客戶時,該等機構可否收集我的身分證副本?

可以。根據這些行業的規管機構所發出的指引,銀行 / 保險公司必須這樣做。該等規定已由個人資料私隱專員認可。不過,銀行 / 保險公司職員應在客戶的身分證副本上加上「副本」的字眼,而該字眼亦須橫跨整個身分證影像。

9. 當我提供身分證號碼或身分證副本給其他人時,需要注意甚麼?

實務守則規定機構或個人 ( 資料使用者 ) 在記錄他人的身分證號碼前,須考慮是否有其他侵犯私隱程度較低的辦法以代替記錄身分證號碼。如閣下對提供身分證號碼之要求有所不滿,可向有關資料使用者建議其他合理而閣下又可接受的代替方法,例如安排資料使用者認識的其他人士協助識辨閣下的身分。 資料使用者如無合理解釋下拒絕接納其他代替方法,便可能會違反實務守則。

與記錄身分證號碼的限制比較,實務守則在收集身分證副本方面制訂了較嚴格的限制,因為隨收集身分證副本而可能出現詐騙或其他濫用情況的危機更大。一般來說,這給予閣下更充分理由去質詢有關 資料使用者 為何要提供身分證副本。

實務守則規定資料使用者須在所保留的身分證影印本上加上「副本」的字眼 ,而該 字眼亦須橫跨整個身分證影像。唯一可能遇到的例外情況,是有關影印本將轉變為其他形式 ( 例如縮微膠片 ) ,在這情況下便不需要依從上述規定。

如閣下親身提供身分證影印本予資料使用者,可堅持對方於閣下面前在影印本上加上「副本」的字眼。

除法律另有規定或准許外,資料使用者應確保不會將身分證號碼及持證人的姓名一同公開展示。其中一個可能違反上述規定的常見情況,是在報章上刊登包括個人姓名及身分證號碼的告示 ( 例如宣布抽獎或比賽結果的告示 ) ,另一例子是在學校、辦公室或大廈大堂等地方的告示板,張貼載有個人姓名及身分證號碼的告示,其他例子,包括不小心地向後來的訪客披露了大廈訪客登記冊上所載的訪客姓名及身分證號碼。

當閣下遇到上述任何情況時,可要求有關機構 / 資料使用者停止展示或披露有關資料 ( 除非他們就所涉及的展示或披露情況作出合理解釋 ) 。如資料使用者無法提供合理解釋,便可能己違反了實務守則。

10. 別人可在甚麼情況下向我索取其他身分代號 (例如職員編號、護照號碼或病人編號)?

概括來說,實務守則中適用於身分證號碼的規定亦適用於其他身分代號。換言之,資料使用者通常只可在准許收集身分證號碼的情況下,並用准許收集身分證號碼的方法去收集其他身分代號,而在保留及使用方面,亦須遵守類似的規定。

但是,上述限制不適用於與編配身分代號者的職能及活動直接有關之目的而收集及使用其他身分代號。舉例,如僱主為每位員工編配了僱員編號,便可為了與僱主的職能或活動直接有關之目的而收集及使用該僱員編號,有關目的包括管理僱員紀錄及支付僱員薪金。

為他人編配身分代號的資料使用者,須採取所有合理和可行的步驟,以確保用以編配身分代號的系統有妥善的保安措施。該等步驟應包括採用必要的保安措施,以防止未獲授權人士將身分代號編配給任何人或製造任何文件 ( 例如製造印上虛假僱員編號的職員證 ) 。

11. 私隱專員公署之投訴個案簡述 ─ 物業管理公司收集申請大廈入口電子咭的住客的身分證號碼,是否屬過份收集個人資料?

請登入 相關網頁 參閱公署提供的答案。

V. 在互聯網上的私隱

有人認為網上私隱主要關乎資訊科技問題而並非法律問題,但實際上兩者皆有關連。以下的問答內容是參考 個人資料私隱專員公署發出的《 保障網上私隱須知 ─ 互聯網個人用戶指引 》所編製而成。

針對發展迅速的各種互聯網應用和服務,公署網站提供了相應的單張:

1. 對方是否要求閣下在網上提交個人資料?

如要透過網上表格或電子郵件傳送個人資料,應於按下「呈交」或「傳送」按鈕前採取以下行動:

查看有關網站的背景資料。一些網站可能會虛報電郵地址,所以閣下應瀏覽「公司簡介」或「關於我們」(About the Organization)那頁,以查看其背景資料,例如名稱、公司地址及聯絡電話/傳真號碼。如機構沒有提供其背景資料,便可能會被視為用不公平的手法去收集個人資料 (即可能已違反 第一項保障資料原則 )。

查看有關網站的私隱政策告示。向對方提供個人資料前,較安全的做法是先了解對方將會如何處理這些資料。私隱條例規定所有在香港的機構均須公開其處理個人資料的政策及方法( 第五項保障資料原則 )。

在網站內尋找「收集個人資料聲明」之告示。網 站會以 這段告示來告知閣下 :

  1. 有關個人資料會作甚麼用途 ;
  2. 資料可能會被轉交給哪些人士 ;
  3. 閣下可要求取得資料副本及更正資料的權利 ; 及
  4. 如要尋求上述服務時應聯絡哪位人士。

根據條例規定,香港的機構在收集個人資料時或收集資料之前,必須提供以上資料。

2. 有否設定瀏覽器在接受「曲奇」(cookies)檔案前先徵求閣下的同意?

「曲奇」是閣下每次瀏覽某一網頁時可能會儲進電腦的小檔案。在登入一個網站時,該網站的伺服器可能會向閣下的互聯網瀏覽器索取獨立的記認號碼,如閣下的瀏覽器沒有記認號碼,該伺服器便會傳送一個號碼至閣下的電腦,這就是「傳送曲奇」的程序。有時當閣下登入一個網站時,可能會被要求填寫網上表格,用以收集閣下的姓名和個人興趣等資料,而這些資料亦可能會儲存在曲奇內,該網站的負責人便可利用曲奇去錄取閣下的行為及興趣。

為提高瀏覽器的保安程度,閣下可考慮在瀏覽器的功能選項上設定,每當曲奇出現時,電腦系統均需徵求閣下的同意才可接收曲奇檔案。另一方法是使用「無名氏曲奇」軟件,該軟件通常可在互聯網上用「曲奇」 (cookies) 一詞便可搜尋到,其用途是避免閣下的電腦儲存任何曲奇檔案,或避免他人取閱閣下的曲奇檔案,從而減低被侵犯私隱的機會。

3. 閣下對於促銷電郵感到厭煩嗎﹖

根據 私隱條例第34條 ,進行直接促銷活動的本港機構有責任提供「拒絕服務」選擇,讓閣下以後不會再收到該等機構的促銷資料。換句話說,閣下有權要求有關機構停止再傳送促銷電郵。

閣下亦可採取預防措施,以免收到自來的宣傳電郵。為減低自己成為促銷對象的機會,閣下應該避免申請免費電郵服務或電郵目錄服務。如採用載有「簽署檔案」 (signature file) (*註) 的電子郵件,該檔案不應載有無關重要的個人資料,以免被直銷商取得有關資料而令閣下成為促銷對象。

(* 註 : 簽署檔案是可以自動附設於電郵內容末端的細小文字檔案,可包含傳送者的姓名、職銜、公司名、電話或傳真號碼等。 )

VI. 投訴、懲罰及法律協助

在收到有關違反《 個人資料(私隱)條例 》的投訴後,個人資料私隱專員公署之職員會首先作出初步查詢,以確定該投訴是否有充分理據。進行初步查詢後,公署職員會將初步意見告知投訴人,並要求被投訴者採取糾正措施以解決投訴事項。

如無法透過調解去解決爭端,公署職員可能會作出正式調查。當然,如投訴個案中涉嫌違例事項的性質嚴重,公署職員亦可立即進行正式調查而不進行初步查詢。如調查證實有關資料使用者確有違反私隱條例,私隱專員會向資料使用者發出執行通知,指令其採取必要的補救措施。不依從執行通知的資料使用者即屬違法,可被判處罰款及監禁。私隱專員還可進行起訴。根據修訂後的私隱條例,準備提出檢控所需資料的時間,由該罪行發生當日後起計6個月內延長至2年內。

若個別資料當事人因為資料使用者違反私隱條例而蒙受損害 (包括情感方面的損害),受害人有權循民事訴訟向該資料使用者索償。根據修訂條例,私隱專員可向受害人提供法律協助。

A.處理投訴政策及投訴程序

如資料使用者沒有遵照私隱條例去處理個人資料,相關的資料當事人須先向該資料使用者提出投訴。

如資料使用者未能作出滿意之回覆,而資料當事人決定向公署提出投訴,投訴人應先了解更多關於公署的處理投訴政策才採取行動。欲知有關詳情,請登入公署 有關處理投訴政策的網頁 或致電 28272827 。

公署網頁提供了 投訴程序 ,並附有 程序表 。請注意,投訴限期為投訴人已實際知悉該侵犯私隱行為的 兩年 之內 。話雖如此,任何投訴應盡早提出。

B. 執行通知與處罰

根據修訂後的私隱條例 第50條 ,私隱專員送達執行通知的權力有所擴大。如果私隱專員發現有違反條例規定的行為,不論該項違反行為是否會持續或重複發生,專員可向有關的資料使用者發出執行通知,指明須採取甚麼步驟以糾正該項違反行為
任何資料使用者如不遵從執行通知,即屬犯罪,可被判處第5級罰款(目前為50,000元)及監禁2年。修訂條例對再次或屢次違反執行通知的資料使用者,處以較重刑罰,刑罰為第6級罰款(目前為100,000元)及監禁2年,如屬持續罪行,可處每日罰款$2000。( 第50A(1)條 )
如資料使用者在特定時間內遵從某執行通知,但其後故意重犯同樣的違規行為,一經定罪,可處第5級罰款(目前為50,000元)及監禁2年,如屬持續罪行,可處每日罰款$1000。( 第50A(3)條 )
有關私隱條例規定的其他罪行,請參閱 第64條 。

C. 法律協助

若資料當事人因為資料使用者違反私隱條例的規定而蒙受損害,有權循民事訴訟向該資料使用者索償,即在法庭上起訴該資料使用者( 第66條 )。但是,資料當事人在進行訴訟中可能會遇到困難,因為案情有時頗為複雜,訟費及開支亦往往非常昂貴。有鑑於此,修訂後的私隱條例 第66B條 授權私隱專員向有意索償的受屈當事人提供法律協助。
私隱專員可以決定提供何種法律協助最為合適,當中包括但不限於:

  • 提供法律意見;
  • 調解;
  • 安排律師提供意見或協助;
  • 在初步法律程序或附帶程序中、或在達致或執行和解以避免或結束法律程序中,安排為受助人出庭的法律代表,包括通常提供此類協助的律師。

該等協助可由私隱專員公署的法律人員或公署外聘的律師提供。公署的法律人員會在不受他人影響下,獨立地向受助人提供意見。
公署通常會負擔提供法律協助的訟費。如果受助人通過法律程序或其他和解方式成功索償,及討回申索相關的訟費及開支,公署將享有第一押記(即受助人所獲的款項會首先用以支付公署的訟費及開支)。
在提出申請法律協助之前,資料當事人一般須先向公署投訴相關資料使用者。當事人應遵從上述有關投訴程序的要求,向公署提供所有資料。在公署對個案下結論後,當事人可提出申請法律協助。所有申請須以公署的 申請表格 提出。
如私隱專員 認為合適 ,可批准給予法律協助。專員在行使酌情權批准法律協助申請時,會考慮一系列因素,尤其包括:

  • 有關個案是否帶出原則性問題;或
  • 在考慮到案件的複雜性,以及考慮申請人面對答辯人、其他涉及人士或任何其他事宜時的立場,如果期望申請人在沒有協助下處理有關個案,是否不合理。

私隱專員在 「根據《個人資料(私隱)條例》提出民事申索的法律協助」 的單張中,私隱專員羅列了他可能會加以考慮的各種因素。
一般而言,申請人在提交申請法律協助的所有相關資料後的3個月內,會被告知申請結果。若私隱專員決定提供協助,會要求申請人簽署協議,協議內裡列明公署提供協助的條款及細則。若專員拒絕申請,會以書面通知申請人,並解釋理由。
公署在提供法律援助的任何階段,均有酌情權複檢其給予協助的決定,並決定終止提供協助。上述 單張 說明了法律協助可被終止的各種情形,尤其包括申請人刻意向私隱專員提供虛假或誤導性資料。

若私隱專員決定拒絕或終止給予法律協助,私隱條例並未授予申請人上訴的權利。但是,如果情況出現重大改變,在收到申請人的書面要求後,私隱專員可行使酌情權,決定複檢其拒絕或終止給予法律協助的決定。專員的複檢決定是最終決定。

常見問題

1. 甚麼是個人資料?

個人資料是指任何資料,可以「直接或間接與一名在世的人有關的、可以切實可行地透過有關資料,直接或間接地確定有關個人的身分、及該資料的存在形式,讓人可切實可行地查閱及處理有關資料(例如是文件或光碟)」。有關個人資料的明顯例子,包括包括個人姓名及指紋,通過這些資料,一個人的身份可得以辨認。另一方面,某些資料組合起來,例如電話、地址、性別和年齡,也可能讓人切實可行地辨認出一個人的身份。

有關個人資料的法律定義,以及法律如何保障個人資料私隱,請參閱 日常生活法律問題 > 個人資料私隱 > 「個人資料」的定義

2. 在哪些情況下,持有個人資料的人士/機構或會不受私隱條例或保障資料原則的規限?

在某些情況下,個人資料使用者或可獲豁免,毋須受條例或六項保障資料原則規限。部分常見例子如下:

  • 持有家庭成員或朋友的電話號碼作日常聯絡或約會之用
  • 由法院、裁判官或司法人員在執行司法職能的過程中持有的個人資料
  • 為防止或偵查罪案之目的而持有的個人資料;或
  • 為進行新聞活動而持有個人資料,或資料使用者相信發表該等資料是符合公眾利益。

想知道還有甚麼情況可獲豁免,可瀏覽 日常生活法律問題 > 個人資料私隱 > 六項保障資料原則

3. 一般而言,別人可在甚麼情況下向我索取身分證號碼或身分證副本?

身分證號碼

除獲法律授權外,資料使用者不可強制任何人提供他/她的身分證號碼。在實務守則准許的情況下,資料使用者可要求個人提供他/她的身分證號碼,而部分日常遇到的例子如下:

  • 某一條例規定資料使用者須收集身分證號碼,例如法例規定,僱主須備存每名僱員可藉以合法地受僱的證件的號碼之紀錄,這證件通常是身分證。
  • 促進該人利益,例如在診治病人時能找出該病人的正確醫療紀錄;
  • 在某人獲准進入處所後,要監察該人在處所內的活動並不切實可行,需以身分證號碼作為將來識別該人的方法,例如在非辦公時間進入商業大廈。

身分證副本

同樣地,除獲法律授權外,資料使用者不可強制任何人提供他/她的身分證副本。在實務守則准許的情況下,資料使用者可要求個人提供他/她的身分證副本,而部分日常遇到的例子如下:

  • 藉以收集或核對個人的身分證號碼,但只有在個人可選擇親身出示他/她的身分證以作代替的情況下,才可使用這個方法。例如運輸署可收集用郵寄方式申請駕駛執照的申請人的身分證副本,而申請人亦可選擇親身到運輸署出示身分證。
  • 藉以簽發官方認可的旅遊證件,例如特區護照。

如想知道更多,可參閱 日常生活法律問題 > 個人資料私隱 > 使用身分證號碼及身分證副本

4. 其他人可使用我的個人資料作直接促銷嗎?

如果資料使用者擬將某資料當事人的個人資料用於直接促銷、或將資料提供予他人用於直接促銷,必須告知該資料當事人某些資訊,並獲得當事人同意,才可使用其個人資料作直接促銷。另一方面,資料當事人亦有權拒絕對方使用其個人資料作直接促銷。

根據法例,「直接促銷」(就個人資料私隱而言)是指透過直接促銷方法:

  • 要約提供貨品、設施或服務,或為貨品、設施或服務進行廣告宣傳;或
  • 為慈善、文化、公益、康體、政治或其他目的索求捐贈或貢獻。

而直接促銷方法是指:

  • 藉郵件、圖文傳真、電子郵件或其他類似形式的傳播方式,向特定人士發放資訊或貨品;或
  • 致電特定人士。

任何資料使用者在直接促銷時,如違反法例要求,均屬犯罪。

有關詳情可參考 日常生活法律問題 > 個人資料私隱 > 直接促銷涉及的私隱問題

5. 如果我認為自己的個人私隱被侵犯,我可怎樣做?

閣下可向個人資料私隱專員公署(公署)投訴。公署收到投訴後,職員會首先作出初步查詢,以確定該投訴是否有充分理據,職員會將初步意見告知閣下,及要求被投訴者採取糾正措施以解決投訴事項。

如調解無法解決爭端,公署可能會作出正式調查。如調查證實有關資料使用者違反私隱條例,私隱專員會向資料使用者發出執行通知,指令其採取必要的補救措施。不依從執行通知的資料使用者即屬違法,可被判處罰款及監禁。

若閣下因為資料使用者違反私隱條例而蒙受損害 (包括情感方面的損害),您有權循民事訴訟向該資料使用者索償。私隱專員可向合資格的投訴人提供法律協助。

如欲了解更多,可瀏覽 日常生活法律問題 > 個人資料私隱 > 投訴、懲罰及法律援助