《個人資料(私隱)條例》(「條例」) 在一九九五年通過,並於一九九六年十二月正式生效(個別條文除外)。條例是亞洲區内最早全面保障個人資料私隱的法例之一,源自法律改革委員會在一九九四年八月發表題爲「有關保障個人資料的法律改革」的報告書。該報告書建議以經濟合作及發展組織的一九八零年私隱指引1為基礎,為私隱保障進行本地立法,以確保對個人資料有足夠的保障及落實有關人權的公約責任,保持香港作爲國際商貿中心的地位。條例在二零一二年進行了重大的修訂,包括針對使用個人資料作直接促銷的新規定,並為應對私隱保障工作的新挑戰和公眾關注而加入更多保障。
按此瀏覽《個人資料(私隱)條例》
條例適用於公私營機構(包括政府),屬於科技中立及原則性的法例。條例附表一的保障資料原則,列出資料使用者應如何收集、處理及使用個人資料,此外條例亦有其他條文訂明更多的循規要求。
個人資料是指與一名在世人士有關及可確定個人身份的資料,亦必須以可供查閲及處理的方式記錄下來。
資料當事人是指屬於相關個人資料的當事人的個人。
資料使用者是指控制個人資料的收集、持有、處理或使用的人,不論是獨自還是聯同其他人共同控制。
資料處理者是指非為本身目的而是代另一人(資料使用者)處理個人資料的人。資料處理者並不受條例直接規管,但資料使用者有責任透過合約規範或其他方式,確保他們的資料處理者符合條例相關的要求。
總括來説,保障資料原則是爲了確保個人資料的收集方式是具透明度及公平,亦須盡量減低個人資料的收集;一經收集,應以安全的方式處理個人資料,而資料的保留時間不應超過達致原來目的所需,個人資料的使用亦應限於或關乎原來收集目的;資料當事人有權查閲或改正自己的個人資料。
保障資料第1原則訂明,資料使用者須為直接與其職能或活動有關的合法目的,收集個人資料;收集的資料對該目的是必須及足夠的,但不超乎適度;而收集的方法應該是合法和公平的。
如果你直接向資料當事人收集個人資料,你應告知資料當事人是否必須提供資料、收集資料的目的、資料可能會被轉移給哪類人士,以及資料當事人可要求查閲和改正自己的資料的權利及途徑。
保障資料第2原則要求資料使用者採取所有切實可行的步驟,以確保持有的個人資料準確無誤,而保留時間不超過達致原來目的實際所需。如果你聘用資料處理者處理個人資料,須採取合約規範或其他方法,確保資料處理者依從這些有關資料保留的要求。
條例的第26條要求資料使用者採取所有切實可行的步驟刪除已不再為使用目的而需要的個人資料,除非刪除是受任何法律禁止或不合乎公眾利益。第26條可在資料使用者不處理資料當事人就刪除其個人資料的投訴或要求的情況下被引用,相比違反保障資料第2原則(保留資料時間超過達致原來目的實際所需),違反第26條會構成罪行,最高可被判罰款港幣1萬元。
保障資料第3原則訂明,除非得到資料當事人自願給予的明示同意,否則個人資料不得用於「新目的」,即原先收集資料時擬使用或相關的目的以外的目的。資料當事人有權以書面通知,撤回先前曾給予的同意。
就個人資料的使用限制,條例第6A部進一步規定資料使用者,在使用資料當事人的個人資料作直接促銷或向第三方提供資料作直接促銷前,須先取得資料當事人知情的同意;這同意必須是由資料當事人明確表示,可包括表示不反對,但是沉默並不能構成同意。
此外,必須讓資料當事人在知情的情況下給予同意。資料使用者須向資料當事人告知:打算使用其個人資料作直接促銷的意圖、如沒有資料當事人同意的話資料使用者不能如此使用有關個人資料、意圖使用的個人資料類別、意圖就甚麽類別的促銷目的使用有關資料。資料使用者亦需告知資料當事人有權撤回同意。如果資料使用者意圖向第三方提供資料作直接促銷,須將這意圖告知資料當事人,並説明可能會提供資料予哪類人士和涉及甚麽類別的促銷目的,以及是爲了得益而提供資料等。違反有關直接促銷的規定可構成罪行,最高可被判罰款港幣50萬元及監禁3年,如屬爲了得益而提供資料予第三方的情況,最高可被判罰款港幣100萬元及監禁5年。
另外值得留意的是,條例第64條訂明另一項罪行 — 披露未經資料使用者同意而取得的個人資料。假若披露是出於獲取得益或導致資料當事人蒙受損失的意圖,或有關披露導致資料當事人蒙受心理傷害,便會構成罪行。雖然此類行爲可能已受保障資料第3原則(限制個人資料不得用於「新目的」)所規限,但鑑於對私隱的嚴重侵犯及資料當事人可能蒙受的重大傷害,這條文將此類行爲刑事化,違例者最高可被判罰款港幣100萬元及監禁5年。
保障資料第4原則訂明要求資料使用者採取一切切實可行的步驟,保障個人資料不會未經授權或意外地被查閲、處理、刪除、喪失或使用。資料使用者尤其須考慮資料的種類、上述情況一旦發生所造成的損害,以至為確保能查閲資料人士的良好操守、審慎程度及辦事能力而採取的措施等。如果你聘用資料處理者處理個人資料,你必須採取合約規範或其他方法,確保資料處理者依從上述的資料保安要求。
保障資料第5原則訂明,資料使用者須採取一切切實可行的步驟,確保任何人都能確定其在個人資料方面的政策及實務,以及獲告知資料使用者所持有的個人資料種類和使用於甚麼主要目的。
保障資料第6原則賦予資料當事人可要求查閲及改正自己的個人資料的權利。若資料使用者拒絕資料當事人提出的查閲或改正的要求,便要提供理由。
條例的第5部另有詳細條文補充保障資料第6原則,具體訂明遵從查閲及改正資料要求的方式及時限,以及在甚麼情況下資料使用者可拒絕依從這些要求等。資料使用者亦須備存記錄簿,記錄所有曾作出的拒絕。
私隱權是重要的權利,但亦需與其他重要權利或公眾利益之間取得平衡。條例訂明在個別情況下,個人資料可獲豁免而不受若干條文所管限,例子包括防止罪行或檢控、保安及防衛、統計及研究、新聞活動、保障資料當事人的健康等;此外,條例亦豁免法律或法院命令所規定或授權使用的個人資料,或爲行使或維護在香港的法律權利的需要而使用的個人資料。可按此參考豁免條文的簡表。
資料使用者可引用豁免作爲未能遵從條例規定時的免責辯護。作爲資料使用者,你不應慣常地依賴豁免,反而應該就個別情況考慮是否引用豁免,亦需要證明相關豁免適用於有關情況,才能作爲違反條例規定的免責辯護。 另一方面,即使資料使用者可引用某項豁免,並不等同其有責任引用該項豁免,亦不對任何人士賦予任何權利,強迫資料使用者引用該項豁免。
個人資料私隱專員公署(「專員」)根據條例成立,擔任專責資料私隱的監管機構。如果你發現有人在處理你的個人資料時可能違反條例,你可以向專員作出投訴。視乎個案的事實和證據,專員會決定是否就投訴個案進行調查或終止進行調查。
當專員接獲投訴或有合理理由相信有人違反條例規定,專員可就涉嫌違規的行爲進行調查,並在符合公眾利益的情況下發表報告,當中包括調查結果及建議。如在完成調查後發現有關資料使用者違反條例規定,專員可向該資料使用者發出執行通知,指令糾正該項違反,以及防止該違反再次發生。
儘管違反保障資料原則本身並不構成刑事罪行,但違反條例的某些條文可構成罪行,例子包括有關刪除已不再為使用目的而需要的個人資料的第26條,有關披露未經資料使用者同意而取得的個人資料的第64條,以及有關直接促銷的條文等等。
違反專員發出的執行通知即屬犯罪,最高可被判罰款港幣5萬元及監禁2年,加上每日罰款港幣1千元。一經再次定罪,最高可被判罰款港幣10萬元及監禁2年,加上每日罰款港幣2千元。可按此參考條例下各罪行及相關刑罰的簡表。
資料當事人有權提出民事訴訟,要求資料使用者就條例的違反賠償損失。專員可在合適的情況下,向蒙受損失的資料當事人提供法律協助。
此外,專員可主動就個別資料使用者或某類別的資料使用者的資料系統進行視察,以向資料使用者就促進條例的遵守作出建議。專員亦可發出實務守則,就條例的遵守提供實務性指引;違反實務守則本身並不構成罪行,但可以用作證明違反條例的相關規定。
專員還有其他責任,包括促進公眾對條例的認識及理解,審核可影響個人私隱的立法建議,研究及監察對個人資料保障有影響的資訊科技發展等。除了肩負監管者的角色外,專員亦擔當着促進公眾了解條例的教育者,以及推動機構將個人資料保障融入在港業務及營運的促進者。