II. 六項保障資料原則
任何人士或機構在收集、持有、處理或使用個人資料時,必須遵守條例 第4條 及 附表1 訂明的六項保障資料原則。(註: 被收集個人資料的當事人稱為「 資料當事人 」,而收集他人的個人資料的人士或機構則稱為「 資料使用者 」。)
個人資料私隱專員公署 可能會向有關資料使用者發出執行通知,指令其停止進行違規行為及採取必要補救措施。如果違反執行通知的規定,即屬犯法,可被判處罰款或監禁。如個別人士因為他人違反保障資料原則而蒙受損害 (包括情感方面的損害),該受害人有權循民事訴訟向犯錯者索償。
第一項原則 ─ 收集個人資料的目的及方式
個人資料必需要為合法目的而收集,收集目的亦須直接與使用該等資料的資料使用者之職能或活動有關。所收集到的資料足夠便可,而不應超過有關目的之實際需要。
個人資料須以合法及公平的方式收集。舉例,盜用他人的銀行戶口紀錄或信用咭資料,便屬於用不合法的方式去收集個人資料。如果某人 / 機構蓄意用誤導的手法來收集個人資料,便屬不公平的收集方式。舉例,如果一間公司藉著招聘活動去收集求職人士的個人資料,但其實無意招聘任何人,而只是用招聘的藉口去收集資料,那麼該公司就是用不公平的手法收集個人資料。
向個別人士 (即「資料當事人」) 收集個人資料時,必須告知他們下列事項,包括:
- 該等資料將會用於甚麼目的/用途;
- 該等資料可能會轉交予甚麼類別的人;
- 當事人是否有責任(或只是自願性)提供該等資料 ;
- 若當事人不提供該等資料所須承受的後果;及
- 當事人有權要求查閱及改正該等資料。
第二項原則 ─ 個人資料的準確性及保留期間
資料使用者必須確保所持有的個人資料是準確及最新近的。如資料使用者懷疑所持有的個人資料並不準確,就應該立即停止使用有關資料。資料的保存時間,不能超過使用該等資料而達到原定目的之實際所需。
第三項原則 ─ 個人資料的使用
除非得到資料當事人的「訂明同意」,否則資料使用者不可以改變個人資料的用途,而只可將資料用於當初收集資料時所述明的用途 (或與其直接有關的用途)。「訂明同意」是指資料當事人明確及自願給予的同意。
第四項原則 ─ 個人資料的保安
資料使用者必須採取適當的保安措施去保護個人資料。他們必須確保個人資料得到足夠保障,以避免有人在未獲准許或意外的情況下,去查閱、處理、刪除或者使用該等資料。
第五項原則 ─ 資訊須在一般情況下可提供
資料使用者須公開 所持有的個人資料之類別 (不是資料內容) ,並公開其處理個人資料的政策及實務。最佳做法是制訂一份「私隱政策聲明」,內容可以包括有關資料的準確性、保留期、保安、使用、如何處理由資料當事人提出的查閱資料及改正資料要求。
第六項原則 ─ 查閱個人資料
資料當事人有權向資料使用者查證是否持有其個人資料,以及有權要求獲得有關資料的副本。如發現副本內的個人資料不準確,則有權要求改正有關資料。
資料使用者須在法定的 40 日內,依從有關查閱資料及改正資料的要求。如未能在指定時限內處理,亦須在 40 日內作出回覆及述明理由。
個別人士 / 資料當事人如欲提出查閱要求,可於個人資料私隱專員公署的網頁下載 查閱資料要求表格 (OPS003) ,並將填妥之表格送交持有其個人資料的機構。請留意,條例准許資料使用者就依從查閱資料要求而收取合理費用,但有關資料使用者不可以收取超過依從查閱資料要求所需的直接成本。
有關六項保障資料原則的詳細資料,請查閱個人資料私隱專員公署(以下簡稱「公署」)製作的 個人資料私隱通識網 。
A. 豁免
在某些情況下,個人資料使用者或可獲豁免,毋須受條例或六項保障資料原則規限。《2012年個人資料(私隱)(修訂)條例》(以下簡稱「修訂條例」)引入了新的豁免,簡介如下:
家居事務或消閒目的
根據《私隱條例》第52條 ,與家居事務或為消閒目的而持有的個人資料,不受第四、五項資料保護原則及私隱條例 第36條 和 第38(b)條 所規限。持有家庭成員或朋友的電話號碼作日常聯絡或約會之用,便屬例子之一。
與僱傭有關的用途
在某些情況下,資料使用者或可免受部分(非全部)六項保障資料原則所規限。
《私隱條例》第53條 、 第54條 、 第55條 及 第56條 指出,如個人資料作下列與僱傭工作有關的用途,便可得到豁免而不需要受到查閱資料要求(第六項保障資料原則及 第18(1)(b)條 )的條文所規限。上述條文要求資料使用者向資料當事人提供其所掌握的關於該當事人的所有個人資料。這些資料可包括:
- 與職工策劃有關的個人資料 ;
- 在進行某些工作能力評核(包括招聘或晉升)程式過程中取得的個人資料,而有關評核仍未有決定,且針對該等決定提出上訴是容許的;
- 填補某職位前所需取得的個人評介,直至已填補該職位為止。
健康原因
根據《私隱條例》第59條 ,與資料當事人的身體或精神健康有關的個人資料,可獲豁免而不受查閱資料要求(第六項保障資料原則及 第18(1)(b)條 )和限制資料用途(第三項保障資料原則)的條文所規限,前提是使用該等條文的話,若相當可能會對該資料當事人的身體或精神健康造成嚴重損害,或者相當可能會對其他人的身體或精神健康造成嚴重損害,則可獲豁免。
此外,根據 第59(2)條 (修訂條例所新增),有關資料當事人的身份或所在地的個人資料,如果使用限制資料用途的條文便相當可能會對該資料當事人或其他人的身體或精神健康造成嚴重損害,則可獲豁免,不受第三項保障資料原則規限。
未成年人的照顧及監護
根據《私隱條例》第59A條 (修訂條例所新增),凡香港警務處或香港海關向未成年人的父母或監護人轉移或披露該未成年人的個人資料,如果該項轉移或披露符合該未成年人的利益,或其目的是方便該有關人士妥善照顧及監護該未成年人,則可獲豁免,不受第三項保障資料原則規限。
新聞活動
根據私隱條例第61條,如資料使用者為進行新聞活動而持有個人資料,除非及直至該等資料已發表或播放,否則該等資料可免受查閱資料要求(第六項保障資料原則、 第18(1)(b)條 及 38(i)條 、第 36條 及 38(b)條 )的條文所規限。如資料使用者相信發表該等資料是符合公眾利益,亦可不受限制資料用途(第三項保障資料原則)的條文所規限。
個人資料私隱專員公署曾處理一宗上訴個案,涉及新聞活動的公眾利益。在這個案中,一間教育機構的院長向新聞記者披露了一名職員的個人資料,藉以反駁該職員對院校的指控,以維護院校的聲譽。此舉被公署視為符合公眾利益,有助作出公平及平衡的新聞報導(請登入公署之 投訴個案簡述 ,以參閱全部內容) 。
人類胚胎
根據《私隱條例》第63條 ,如果個人資料包含可顯示某人是(或可能是)經由生殖科技程序而誕生的資訊,只要是根據《 人類生殖科技條例 》 第33條 披露該資料,則可獲豁免,不受第六項保障資料原則及 第18(1)(b)條 的條文所規限。
緊急情況
根據《私隱條例》第63C條 (修訂條例所新增),如依從第1(3)項保障資料原則及第三項保障資料原則處理個人資料,便相當可能不利於識辨某名正處於危及生命的處境之中的人士之身份,將該名人士的處境告知其家人,及進行緊急拯救行動或提供緊急救助服務,則該等個人資料可獲豁免,不受該等條文所規限。
個人資料外判處理
資料使用者將資料處理外判予第三方的做法已日趨普遍。與此同時,在資料處理外判期間發生的個人資料外洩事件亦日益增多,或會對相關的資料當事人造成嚴重且不可挽回的損害。
即使個人資料外判予第三方處理,所有保障資料原則仍然適用。根據私隱條例,在個人資料交託予資料處理者時,該等資料的使用者作為委託人,須對獲其授權的資料處理者的一切行為負上責任。
修訂條例通過修訂第二、四項保障資料原則,強化了這方面的保障。新條文自2012年10月1日生效,增加了聘用第三方代為處理資料的資料使用者之義務(無論該等處理是否在香港進行)。資料使用者須以合約或其他方法,防止轉移到與資料處理者的個人資料,保存時間超過處理該等資料所需的時間(第2(3)項保障資料原則),以及防止該等資料在未獲授權或意外的情況下被查閱、處理、刪除、丟失或以其他不當方式使用(第4(2)項保障資料原則)。
根據修訂條例,資料處理者是指任何人:
- 代另一人處理個人資料;及
- 不為任何人的個人目的而處理該資料。
有關新增義務的詳情,請參閱公署的單張 。
隨著資訊科技快速發展和外判處理個人資料日趨普及,個人資料的收集(非直接從資料當事人收集)和傳播較以往容易得多。無論是否受資料使用者委託,故意披露從資料使用者取得的個人資料,可對資料當事人造成嚴重損害。鑑於侵犯個人資料私隱的嚴重性及可能對資料當事人構成損害的程度,修訂條例新增了一項罪行,以打擊在些情形下,披露未經資料使用者同意取得的個人資料的行為。
根據《私隱條例》第64條 ,如果未經資料使用者同意,任何人披露取自該資料使用者的個人資料:
- 意圖獲取金錢或其他財產得益,不論是為了令自身或其他人受惠;
- 意圖導致該當事人蒙受金錢或其他財產損失;或
- 不論意圖為何,該項披露導致該當事人蒙受心理傷害。
即屬犯罪,最高刑罰是罰款1,000,000元及監禁5年。
有關新罪行及其處罰理據的詳情,請參閱公署的單張 。