1. 個人資料私隱專員吳斌先生關注最近的網上流傳照片事件。
2. 吳斌表示:「這次事件是一個不幸的例子,顯示了在互聯網上洩漏個人資料可以對個人造成嚴重傷害及尷尬。作為個人資料私隱的監管者,我很關注任何涉及《個人資料(私隱)條例》(下稱「條例」)的事件。」
3. 在未有確認一切有關事實之前,專員不會對此事件或任何其他特定個案作出評論。以下概述專員對同類事件的普遍看法。
條例的相關規定
4. 一般來說,如從照片可以切實可行地直接或間接辨識一個人,則有關照片屬於條例所界定的「個人資料」。
5. 條例附表1的保障資料第1(2)原則、第3原則及第4原則與類似的事件相關。
6. 保障資料第1(2)原則規定,個人資料須以合法及在有關情況下屬公平的方法收集。未獲准許而收集儲存於電腦內的個人資料,可視為不公平收集個人資料,亦可能屬於不合法,但須視乎案情而定。
7. 保障資料第3原則規定,除非資料當事人給予訂明同意,否則個人資料不得用於原本收集目的或與之直接有關的目的以外的目的。如任何人把所收集的個人資料使用於或移轉予或發放予他人的目的與原本的收集目的無關,便可能違反保障資料第3原則的規定。其他有關不當使用的例子包括照片被用作非法用途,或被當作商品大量出售,超越資料當事人對個人資料私隱的合理期望。
8. 保障資料第4原則規定,資料使用者須採取所有合理地切實可行的步驟,確保個人資料免受未獲准許的或意外的查閱、處理及使用。保安程度必須視乎所涉及的個人資料的種類、保安受破壞時所造成的損害、查閱有關資料的人士的操守及態度等。如個人資料以電子方式儲存,可以利用加密法及適當的私隱增強技術,阻止黑客入侵或遭人意外查閱資料。
9. 條例並不視違反保障資料原則是刑事罪行,但是如專員在完成一項調查後認為有關資料使用者正在違反條例下的規定;或已違反條例下的規定,而違反情況令到違反行為將持續或重複發生是相當可能的,專員可向有關資料使用者送達執行通知,指令它採取所需步驟,糾正違反情況。如資料使用者沒有依從執行通知的規定,乃是刑事罪行。專員會把個案轉介警方進行刑事調查,隨之可能提出刑事檢控。違反執行通知屬於犯罪,可處第5級罰款(目前是50,000 元)及監禁2年。
資料當事人及資料使用者應採取的預防措施
10. 吳斌說:「資料使用者及資料當事人於互聯網上載自己及他人的照片時,例如經網誌或可與人分享的社交網站,都應該小心。照片及個人資料一旦於互聯網上曝光,便有機會遭人濫用,甚至一發不可收拾。」
11. 「電腦內敏感或重要的個人資料應加密儲存,防止資料被盜用。電腦進行維修時,如可行的話,資料使用者應先抽出硬盤或清除硬盤內的個人資料。另外,亦應選擇信譽良好的公司進行維修,而維修人員亦應遵守條例的規定,尤其要符合條例內的上述的3條保障資料原則。」
公署採取的行動
12. 如果事件中的資料當事人提出投訴,專員會依條例處理,但至今沒有接獲任何投訴。
13. 即使沒有接獲投訴,專員也可在適當的情況下主動展開調查。在決定這樣做之前,專員必須考慮多種因素。不過,一般的做法是,當有關事件正由警方調查或正在等候法律程序時,專員則不宜展開調查。
14. 公署已經與警方聯絡,並緊密注視事件的發展。
15. 隨著這事件的發生,專員會與九個資訊科技專業團體及三個政府部門聯手合作,籌劃推廣及教育活動,例如制定指引及舉辦研討會,教導公眾如何保障網上個人資料及儲存於電腦內的資料。專員年前在完成對投訴警方獨立監察委員會的調查之後,曾舉辦「資訊保安關注行動」,以提高資訊科技專業人員及公眾的私隱意識;亦出版了一份「資訊科技從業員處理個人資料的建議程序」。
條例中的豁免條文
16. 條例容許一些情況可以豁免受部分或所有保障資料原則的管限。值得注意的有:
(a) 第52條:只為私人或消閒目的而持有的個人資料免受管限;
(b) 第58條:如個人資料是用於獲豁免的目的,可免受管限,例如罪行的防止或偵測,或任何人所作的不合法或嚴重不當的行為、或不誠實的行為或舞弊行為等的防止、排除或糾正及應用保障資料第3原則可能會損害獲豁免的目的;以及
(c) 第61條:如個人資料是披露予進行新聞活動的資料使用者,而且作出披露的人有合理理由相信發表或播放該等資料是符合公眾利益的,可免受管限。
需考慮的法律改革
17. 吳斌說:「此事件顯示當局有迫切需要考慮更改條例,把在未獲同意下蓄意取得或披露資料使用者所持有的或被洩漏的個人資料,或售賣如此取得的個人資料列為罪行。因為此舉能有效阻止在網上不負責任地處理個人資料的行為。」
保障個人資料
18. 吳斌又說:「就保障個人資料而言,除了法律外,給下一代培養正確的觀念,是極之重要的,以往公署鼓勵青少年的口號是【保護私隱,尊重別人】,其實,保障私隱,也就是尊重自己的行為。」
完