I. 「个人资料」的定义及六项保障数据原则
个人资料是指任何数据,可以「直接或间接与一名在世的人有关的、可以切实可行地透过有关资料,直接或间接地确定有关个人的身分、及该资料的存在形式,让人可切实可行地查阅及处理有关数据(例如是文件或影带)」。个人资料的法律定义,可见于第486章《个人资料(私隐)条例》第2条。
有关个人资料的明显例子,包括个人身份证号码及指纹,通过这些资料,一个人的身份可得以辨认。另一方面,某些数据组合起来,例如电话、地址、性别和年龄,也可能让人切实可行地辨认出一个人的身份。
私隐条例于 1996 年 12 月 20 日正式生效。条例适用于任何收集、持有、处理或使用个人资料的人士,当中包括私营机构、公营机构及政府部门。概括来说,条例规管个人资料的收集和使用方式,并防止任何人因滥用个人资料而侵犯到他人的私隐。
根据香港现行之成文法及普通法,只有个人资料受到私隐条例的保障。 《香港人权法案》第14条订明 “ 任何人之私生活、家庭、住宅或通信,不得无理或非法侵扰,其名誉及信用,亦不得非法破坏。”但是,私隐条例并无涵盖个人资料以外的所有私隐问题。
私隐条例订明的六项保障资料原则
任何人士或机构在收集、持有、处理或使用个人资料时,必须遵守条例第4条及附表1订明的六项保障资料原则。(注: 与该个人资料相关的个人称为「资料当事人」,而不论是独自还是联同其他人共同控制该个人资料的收集、持有、处理或使用的人士或机构则称为「数据用户」。)
第一项原则 ─ 收集个人资料的目的及方式
个人资料必需要为合法目的而收集,收集目的亦须直接与使用该等数据的数据用户之职能或活动有关。所收集到的数据足够便可,而不应超过有关目的之实际需要。
个人资料须以合法及公平的方式收集。举例,盗用他人的银行户口纪录或信用咭数据,便属于用不合法的方式去收集个人资料。如果某人 / 机构蓄意用误导的手法来收集个人资料,便属不公平的收集方式。举例,如果一间公司借着招聘活动去收集求职人士的个人资料,但其实无意招聘任何人,而只是用招聘的借口去收集资料,那么该公司就是用不公平的手法收集个人资料。
向数据当事人直接收集个人资料时,必须告知他们下列事项(除非其收集目的不受第六项保障数据原则所管限),包括:
- 该等数据将会用于甚么目的/用途;
- 该等数据可能会转交予甚么类别的人;
- 当事人是否有责任(或只是自愿性)提供该等数据 ;
- 若当事人不提供该等数据所须承受的后果;及
- 当事人有权要求查阅及改正该等资料。
第二项原则 ─ 个人资料的准确性及保留期间
数据用户必须确保所持有的个人资料是准确及最新近的。如数据用户怀疑所持有的个人资料并不准确,就应该立即停止使用有关数据。数据的保存时间,不能超过使用该等数据而达到原定目的之实际所需。
第三项原则 ─ 个人资料的使用
除非得到资料当事人的「订明同意」,否则资料用户不可以改变个人资料的用途,而只可将数据用于当初收集数据时所述明的用途 (或与其直接有关的用途)。「订明同意」是指资料当事人明确及自愿给予的同意。
第四项原则 ─ 个人资料的保安
数据用户必须采取适当的保安措施去保护个人资料。他们必须确保个人资料得到足够保障,以避免有人在未获准许或意外的情况下,去查阅、处理、删除或者使用该等数据。
第五项原则 ─ 信息须在一般情况下可提供
数据用户须公开所持有的个人资料之类别 (不是数据内容) ,并公开其处理个人资料的政策及实务。
最佳做法是制订一份「私隐政策声明」,内容可以包括有关数据的准确性、保留期、保安、使用、如何处理由资料当事人提出的查阅数据及改正数据要求。
第六项原则 ─ 查阅个人资料
数据当事人有权向数据用户查证是否持有其个人资料,以及有权要求获得有关数据的副本。如发现副本内的个人资料不准确,则有权要求改正有关资料。
数据用户须在法定的 40 日内,依从有关查阅数据及改正数据的要求。如未能在指定时限内处理,亦须在 40 日内作出回复及述明理由。
个别人士 / 资料当事人如欲提出查阅要求,可于个人资料私隐专员公署的网页下载查阅数据要求表格 (OPS003) ,并将填妥之表格送交持有其个人资料的机构。请留意,条例准许数据用户就依从查阅数据要求而收取合理费用,但有关资料用户不可以收取超过依从查阅资料要求所需的直接成本。