《个人资料(私隐)条例》(「条例」) 在一九九五年通过,并于一九九六年十二月正式生效(个别条文除外)。条例是亚洲区内最早全面保障个人资料私隐的法例之一,源自法律改革委员会在一九九四年八月发表题为「有关保障个人资料的法律改革」的报告书。该报告书建议以经济合作及发展组织的一九八零年私隐指引1为基础,为私隐保障进行本地立法,以确保对个人资料有足够的保障及落实有关人权的公约责任,保持香港作为国际商贸中心的地位。条例在二零一二年进行了主要的修订,包括针对使用个人资料作直接促销的新规定,并为应对私隐保障工作的新挑战和公众关注而加入更多保障。及至二零二一年,条例进行了另一次主要的修订,旨在打击侵犯个人资料私隐的「起底」行为,将「起底」行为列为刑事罪行,赋予个人资料私隐专员法定权力发出停止披露通知,要求停止或限制披露涉及「起底」内容,同时赋予私隐专员权力就「起底」个案进行刑事调查和检控,以加强对「起底」个案的执法力度。
按此浏览《个人资料(私隐)条例》
按此浏览《2021年个人资料(私隐)(修订)条例》(刊宪日期: 2021年10月8日)
按此浏览《2021年个人资料(私隐)(修订)条例草案》 (草案刊宪日期 :2021年7月16日)
条例适用于公私营机构(包括政府),属于科技中立及原则性的法例。条例附表一的保障资料原则,列出资料使用者应如何收集、处理及使用个人资料,此外条例亦有其他条文订明更多的循规要求。
个人资料是指与一名在世人士有关及可确定个人身份的资料,亦必须以可供查阅及处理的方式记录下来。
资料当事人是指属于相关个人资料的当事人的个人。
资料使用者是指控制个人资料的收集、持有、处理或使用的人,不论是独自还是联同其他人共同控制。
资料处理者是指非为本身目的而是代另一人(资料使用者)处理个人资料的人。资料处理者并不受条例直接规管,但资料使用者有责任透过合约规范或其他方式,确保他们的资料处理者符合条例相关的要求。
总括来说,保障资料原则是为了确保个人资料的收集方式是具透明度及公平,亦须尽量减低个人资料的收集;一经收集,应以安全的方式处理个人资料,而资料的保留时间不应超过达致原来目的所需,个人资料的使用亦应限于或关乎原来收集目的;资料当事人有权查阅或改正自己的个人资料。
保障资料第1原则订明,资料使用者须为直接与其职能或活动有关的合法目的,收集个人资料;收集的资料对该目的是必须及足够的,但不超乎适度;而收集的方法应该是合法和公平的。
如果你直接向资料当事人收集个人资料,你应告知资料当事人是否必须提供资料、收集资料的目的、资料可能会被转移给哪类人士,以及资料当事人可要求查阅和改正自己的资料的权利及途径。
保障资料第2原则要求资料使用者采取所有切实可行的步骤,以确保持有的个人资料准确无误,而保留时间不超过达致原来目的实际所需。如果你聘用资料处理者处理个人资料,须采取合约规范或其他方法,确保资料处理者依从这些有关资料保留的要求。
条例的第26条要求资料使用者采取所有切实可行的步骤删除已不再为使用目的而需要的个人资料,除非删除是受任何法律禁止或不合乎公众利益。第26条可在资料使用者不处理资料当事人就删除其个人资料的投诉或要求的情况下被引用,相比违反保障资料第2原则(保留资料时间超过达致原来目的实际所需),违反第26条会构成罪行,最高可被判罚款港币1万元。
保障资料第3原则订明,除非得到资料当事人自愿给予的明示同意,否则个人资料不得用于「新目的」,即原先收集资料时拟使用或相关的目的以外的目的。资料当事人有权以书面通知,撤回先前曾给予的同意。
就个人资料的使用限制,条例第6A部进一步规定资料使用者,在使用资料当事人的个人资料作直接促销或向第三方提供资料作直接促销前,须先取得资料当事人知情的同意;这同意必须是由资料当事人明确表示,可包括表示不反对,但是沉默并不能构成同意。
此外,必须让资料当事人在知情的情况下给予同意。资料使用者须向资料当事人告知:打算使用其个人资料作直接促销的意图、如没有资料当事人同意的话资料使用者不能如此使用有关个人资料、意图使用的个人资料类别、意图就甚么类别的促销目的使用有关资料。资料使用者亦需告知资料当事人有权撤回同意。如果资料使用者意图向第三方提供资料作直接促销,须将这意图告知资料当事人,并说明可能会提供资料予哪类人士和涉及甚么类别的促销目的,以及是为了得益而提供资料等。违反有关直接促销的规定可构成罪行,最高可被判罚款港币50万元及监禁3年,如属为了得益而提供资料予第三方的情况,最高可被判罚款港币100万元及监禁5年。
保障资料第4原则订明要求资料使用者采取一切切实可行的步骤,保障个人资料不会未经授权或意外地被查阅、处理、删除、丧失或使用。资料使用者尤其须考虑资料的种类、上述情况一旦发生所造成的损害,以至为确保能查阅资料人士的良好操守、审慎程度及办事能力而采取的措施等。如果你聘用资料处理者处理个人资料,你必须采取合约规范或其他方法,确保资料处理者依从上述的资料保安要求。
保障资料第5原则订明,资料使用者须采取一切切实可行的步骤,确保任何人都能确定其在个人资料方面的政策及实务,以及获告知资料使用者所持有的个人资料种类和使用于甚么主要目的。
保障资料第6原则赋予资料当事人可要求查阅及改正自己的个人资料的权利。若资料使用者拒绝资料当事人提出的查阅或改正的要求,便要提供理由。
条例的第5部另有详细条文补充保障资料第6原则,具体订明遵从查阅及改正资料要求的方式及时限,以及在甚么情况下资料使用者可拒绝依从这些要求等。资料使用者亦须备存记录簿,记录所有曾作出的拒绝。
私隐权是重要的权利,但亦需与其他重要权利或公众利益之间取得平衡。条例订明在个别情况下,个人资料可获豁免而不受若干条文所管限,例子包括防止罪行或检控、保安及防卫、统计及研究、新闻活动、保障资料当事人的健康等;此外,条例亦豁免法律或法院命令所规定或授权使用的个人资料,或为行使或维护在香港的法律权利的需要而使用的个人资料。可按此参考豁免条文的简表。
资料使用者可引用豁免作为未能遵从条例规定时的免责辩护。作为资料使用者,你不应惯常地依赖豁免,反而应该就个别情况考虑是否引用豁免,亦需要证明相关豁免适用于有关情况,才能作为违反条例规定的免责辩护。 另一方面,即使资料使用者可引用某项豁免,并不等同其有责任引用该项豁免,亦不对任何人士赋予任何权利,强迫资料使用者引用该项豁免。
个人资料私隐专员公署(「专员」)根据条例成立,担任专责资料私隐的监管机构。如果你发现有人在处理你的个人资料时可能违反条例,你可以向专员作出投诉。视乎个案的事实和证据,专员会决定是否就投诉个案进行调查或终止进行调查。
当专员接获投诉或有合理理由相信有人违反条例规定,专员可就涉嫌违规的行为进行调查,并在符合公众利益的情况下发表报告,当中包括调查结果及建议。如在完成调查后发现有关资料使用者违反条例规定,专员可向该资料使用者发出执行通知,指令纠正该项违反,以及防止该违反再次发生。违反专员发出的执行通知即属犯罪,最高可被判罚款港币5万元及监禁2年,加上每日罚款港币1千元。一经再次定罪,最高可被判罚款港币10万元及监禁2年,加上每日罚款港币2千元。
尽管违反保障资料原则本身并不构成刑事罪行,但违反条例的某些条文可构成罪行,例子包括有关删除已不再为使用目的而需要的个人资料的第26条,有关涉及「起底」罪行的第64条,以及有关直接促销的条文等。
专员有权就条例第 64条所订的罪行及某些相关罪行作出刑事调查,并就该等罪行提出检控。专员会审视每宗个案的严重性,决定是否以自己名义行使检控权力,或将怀疑涉及其他罪行的个案转介警方或律政司跟进。
可按此参考条例下各罪行及相关刑罚的简表。
资料当事人有权提出民事诉讼,要求资料使用者就条例的违反赔偿损失。专员可在合适的情况下,向蒙受损失的资料当事人提供法律协助。
此外,专员可主动就个别资料使用者或某类别的资料使用者的资料系统进行视察,以向资料使用者就促进条例的遵守作出建议。专员亦可发出实务守则,就条例的遵守提供实务性指引;违反实务守则本身并不构成罪行,但可以用作证明违反条例的相关规定。
专员还有其他责任,包括促进公众对条例的认识及理解,审核可影响个人私隐的立法建议,研究及监察对个人资料保障有影响的资讯科技发展等。除了肩负监管者的角色外,专员亦担当着促进公众了解条例的教育者,以及推动机构将个人资料保障融入在港业务及营运的促进者。