自《2021年個人資料(私隱)(修訂)條例》(《修訂條例》)引入全新的打擊「起底」條文以來,香港應對個人資料被武器化的問題,已從建立法律框架,發展至透過積極執法、宣傳教育,以及不斷累積的法庭裁決,在日常生活中實踐相關條文。隨着個人資料私隱專員公署(「公署」)持續的果斷執法、加強宣傳及教育,加上社會由亂及治的整體轉變,非法「起底」情況已大為改善。2025年,公署所進行的主動網上巡查僅發現九宗「起底」個案,較《修訂條例》生效後首個完整年度(即2022年)錄得的1,134宗,減少逾99%。與「起底」相關的投訴亦由2022年的630宗下降至2025年的299宗,減幅達53%。
除上述令人鼓舞的數字外,新打擊「起底」制度亦隨著實踐邁向成熟。早在2022年10月,首宗援引「起底」新法例的判刑案件中,被告被判監禁八個月,反映了法庭對遏止「起底」行為的堅定立場。此外,原訟法庭近年的上訴裁決,為「起底」罪行的主要法定元素(包括「指明傷害」及「罔顧」的含義)提供了寶貴的指引,而裁判法院的案件則為法例如何在現實個案中應用提供了實務的參考價值。綜合而言,這些裁決展示了一個有效保障個人資料私隱,同時尊重言論自由的法律制度。
本文將回顧《修訂條例》的核心要點,並闡述法庭案件確立的法律原則及值得關注的精髓。
「起底」罪行的兩層架構
《修訂條例》為「起底」罪行訂立了兩層法律架構:
-
簡易程序罪行:第一層為《個人資料(私隱)條例》(《私隱條例》)第64(3A)條下循簡易程序起訴的罪行,即「起底」者在未獲資料當事人的相關同意下,披露該當事人的個人資料,而披露者的意圖,是導致該當事人或其任何家人蒙受任何指明傷害,或罔顧是否會(或相當可能會)導致該當事人或其任何家人蒙受任何指明傷害。任何人觸犯第一層「起底」罪行,可被處罰款港幣100,000元及監禁兩年。
-
公訴程序罪行:第二層為《私隱條例》第64(3C)條下循公訴程序起訴的罪行,除第一層罪行的所有罪行元素外,要構成第二層罪行,須要證明相關披露導致當事人或其任何家人蒙受指明傷害。任何人觸犯第二層「起底」罪行,可被處罰款港幣1,000,000元及監禁五年。
《私隱條例》第64(6)條列出「指明傷害」的定義。就某人而言,指明傷害是指:(a)對該人的滋擾、騷擾、纏擾、威脅或恐嚇;(b)對該人的身體傷害或心理傷害;(c)導致該人合理地擔心其安全或福祉的傷害;或(d)該人的財產受損。
上訴案件
在這法律框架下,法庭在上訴個案的裁決釐清了法庭對相關罪行元素的詮釋。
HCMA 80/2024 (張子良):「指明傷害」與「罔顧」
第一宗案件源自於一在網上發酵的工作糾紛。2021年,事主透過被告尋找散工時,向被告提供其個人資料。其後,雙方因工作問題產生嫌隙,被告向事主發送了一張經修改的香港身份證圖像,並附有負面評論(「涉案圖像」)。事主其後在網上論壇講述事件經過,引起兩名網民(事前與雙方均無連繫)透過即時通訊軟件聯絡被告。在隨後的激烈對話中,被告將涉案圖像轉發予該兩名網民。經審訊後,被告被裁定兩項循簡易程序起訴的「起底」罪行罪成。
原訟法庭駁回被告的定罪上訴,其判決在兩個主要方面值得留意。
其一,就「指明傷害」而言,雖然原訟法庭接受被告陳詞,同意單純喪失就業機會並不構成《私隱條例》第64(6)(d)條所指的「財產受損」,但原訟法庭裁定第64(6)(c)條所指的「導致該人合理地擔心其安全或福祉的傷害」在個案中成立。法庭指出,在相關考慮中,法庭無須要求控方提出披露行為造成具體損害的證據;法庭是在考慮所披露個人資料的性質及敏感程度,以及案件的整體情況下,裁定在有關情況下事主對其安全或福祉的擔憂並非不合理。
其二,就「罔顧」而言,原訟法庭拒絕接納被告關於《私隱條例》要求證明有「重大且實質」風險的理據。法庭指出適用的準則為Sin Kam Wah
[1] 及R & G
[2] 所確立的,以及大家熟悉的原則,即被告是否知悉到某風險已存在或將會存在,或就某結果而言,是否知悉到該結果將會發生的風險,而在其所知悉的情況下,承擔該風險並不合理。就本個案的情況,原訟法庭認為「罔顧」的證據相當充分。被告顯然意識到披露行為對事主會造成指明傷害的風險,卻仍在未核實對方身份的情況下,將涉案圖像轉發給兩名陌生人,完全漠視潛在後果。
HCMA 198/2023; 51/2024 (葉駿軒):駁回「兩層傷害」的要求
第二宗上訴源於一裝修糾紛,事件延伸至社交媒體上的「起底」行為。兩名事主與被告因家居裝修未完成的工程發生爭執,其後,被告在Facebook上發佈兩則帖文,洩露了兩名事主大量的個人資料,並發表負面評論。帖文發佈後,兩名事主接獲無數可疑及滋擾電話。被告面對兩項可公訴「起底」罪行的控罪(控罪一及控罪二)。雖然被告被裁定控罪二罪成,但裁判官就控罪一裁定被告無罪,並改為裁定其簡易程序「起底」罪行罪成。
被告就兩項定罪提出上訴,而控方則就控罪一的無罪裁決提出上訴。兩項上訴由原訟法庭姚勳智暫委法官合併處理。
在控方針對無罪裁決的上訴中,控方認為裁判官對《私隱條例》第64(6)(c)條(即「導致該人合理地擔心其安全或福祉的傷害」(「安全╱福祉的擔心」)的詮釋錯誤,致使錯誤地要求相關披露須要首先造成某種傷害,再由該傷害引致有關安全╱福祉的擔心。控方指出,根據立法原意,對相關條文的正確的詮釋應為只須證明有關披露導致事主擔心其安全╱福祉。換言之,控方只需證明一層傷害,而非裁判官要求的兩重傷害。
原訟法庭在考慮立法歷史及相關案例後,裁定裁判官要求控方進一步證明多重傷害並無依據,控方只需證明有關披露造成事主對安全╱福祉的擔心便已足夠。原訟法庭指出,政府引入《修訂條例》的其中一個原意,是廢除舊有條文中關於未經同意披露個人資料造成「心理傷害」的入罪門檻,因為相關門檻過往曾構成檢控障礙。
上述高等法院的裁決值得我們留意。它們不僅闡明了法庭對「起底」罪行相關元素的詮釋,相關判案書亦討論了《修訂條例》的立法歷史、有關其他採用類似傷害定義的刑事罪行的相關性,以及公署《執行指引》的實用性。
裁判法院案件
另一方面,裁判法院案件亦為新打擊「起底」法例的實踐提供重要參考價值。以下三點觀察尤其值得關注:
-
法庭重視涉及兒童的「起底」行為:法庭在量刑時特別關注針對兒童的「起底」行為。在WKCC 2552/2024中,裁判官就被告在兩個公開Facebook群組及兩個個人Facebook帳戶上多次披露一名十歲兒童及其母親的個人資料,判處被告監禁30天。此外,在WKCC 2708/2025中,事主包括一名七歲兒童,被告在其就讀的小學附近張貼傳單,當中載有該兒童及其母親的個人資料(包括該兒童的姓名、年級及就讀學校),並在多個公共場所穿著印有上述個人資料的T恤,被告在罪成後被判處監禁14天。裁判官在判處上述刑罰時,均指出案件涉及兒童受害人,並明言案件性質嚴重。
-
個人資料屬公開資訊並非免責理由:即使相關個人資料來自公共領域,也不能免除披露者的刑事責任。在WKCC 3987/2024中,被告在WhatsApp群組內轉發若干個人資料,並加入負面評語。辯方在審訊中的陳述指出,有關資料取自公眾可查閱的護士登記冊,且披露該等資料並未造成指明傷害。裁判官拒絕接納上述辯護,裁定被告循簡易程序起訴的「起底」罪行罪成。這裁決與公署的立場一致,即公開可查閱的資料仍受《私隱條例》的使用限制所規管。雖然相關個人資料屬公開資訊,但並不代表該些資料可在未獲資料當事人同意的情況下被使用於任何目的,包括「起底」或其他形式的濫用。
-
煽惑或協助「起底」可招致刑事法律責任:案例亦顯示,法律責任並不限於披露個人資料的人士。煽惑或協助非法「起底」的人士亦可能需要承擔刑事法律責任。在ESCC 642/2025中,被告在網上論壇看到一名男子描述自己被指控非禮後承受的壓力及對日常生活的影響,隨即留言慫恿其他網民披露案中女方指控人的個人資料。被告其後經簡易程序被裁定煽惑「起底」罪行罪成,在認罪後被判處監禁兩個月。在ESCC 603/2024中,被告在Facebook設立公開群組,為業主及地產代理提供平台交流有關「租霸」的資料。她亦發佈帖文,鼓吹以司法程序以外的方式處理此類問題租客,並表示在網上公開揭露他們或更為有效。裁判官裁定,有關帖文構成對業主提供租客個人資料以供網上曝光的明確邀約,被告因此擔當協助及教唆犯的角色。被告被裁定協助及煽惑「起底」罪行罪成,被判處社會服務令120小時。
結語
四年過去,憑藉公署積極堅定的執法行動及日益豐富的判例,香港的打擊「起底」制度日漸成熟。法庭在處理各類「起底」行為時,就「起底」罪行各項元素的詮釋提供了更清晰的指引。網上「起底」訊息及與「起底」相關的投訴大幅減少,反映《修訂條例》在遏止個人資料被武器化方面的成效。值得留意的是,雖然《修訂條例》的實施成效顯著,民主社會的兩大基石,包括言論自由及資訊自由流通卻絲毫無損。
展望未來,人工智能的迅速發展,包括合成媒體及深度偽造技術,勢將為偵測及打擊非法「起底」行為帶來前所未有的挑戰。因此,在肯定至今所取得的進展之餘,公署將繼續致力維護一個安全、文明、以及並無「起底」訊息充斥的網絡環境。