3. 保障资料原则是否亦适用于将个人资料外判处理的情形?
资料使用者将资料处理外判予第三方的做法已日趋普遍。与此同时,在资料处理外判期间发生的个人资料外泄事件亦日益增多,或会对相关的资料当事人造成严重且不可挽回的损害。
即使个人资料外判予第三方处理,所有保障资料原则仍然适用。根据私隐条例,在个人资料交讬予资料处理者时,该等资料的使用者作为委讬人,须对获其授权的资料处理者的一切行为负上责任。
2012年修订条例通过修订第二、四项保障资料原则,强化了这方面的保障。新条文自2012年10月1日生效,增加了聘用第三方代为处理资料的资料使用者之义务(无论该等处理是否在香港进行)。资料使用者须以合约或其他方法,防止转移到资料处理者的个人资料之保存时间超过处理该等资料所需的时间(第2(3)项保障资料原则),以及防止该等资料在未获授权或意外的情况下被查阅、处理、删除、丢失或以其他不当方式使用(第4(2)项保障资料原则)。
资料处理者是指任何人:
- 代另一人处理个人资料;及
- 不为任何人的个人目的而处理该资料。
有关新增义务的详情,请参阅公署的单张。
随着资讯科技快速发展和外判处理个人资料日趋普及,个人资料的收集(非直接从资料当事人收集)和传播较以往容易得多。无论是否受资料使用者委讬,故意披露从资料使用者取得的个人资料,可对资料当事人造成严重损害。鉴于侵犯个人资料私隐的严重性及可能对资料当事人构成损害的程度,修订条例新增了一项罪行,以打击在些情形下,披露未经资料使用者同意取得的个人资料的行为。
根据私隐条例第64条,如果未经资料使用者同意,任何人披露取自该资料使用者而属于某资料当事人的个人资料:
- 意图获取金钱或其他财产得益,不论是为了令自身或其他人受惠;或
- 意图导致该当事人蒙受金钱或其他财产损失。
即属犯罪,最高刑罚是罚款1,000,000元及监禁5年。
此外,「起底」行为 (通常涉及在网络或其他公开平台上收集及发布目标人士的个人资料的行为) 在近年日益猖獗。因此,立法会通过《2021年个人资料(私隐)(修订)条例》,将「起底」行为订为刑事罪行,赋予私隐专员对「起底」及相关罪行的调查及执法权力,以及要求停止披露涉及「起底」内容的法定权力。
关于与「起底」相关的罪行的更多资料,请往第VII部。