I. 「個人資料」的定義及六項保障資料原則
個人資料是指任何資料,可以「直接或間接與一名在世的人有關的、可以切實可行地透過有關資料,直接或間接地確定有關個人的身分、及該資料的存在形式,讓人可切實可行地查閱及處理有關資料(例如是文件或影帶)」。個人資料的法律定義,可見於第486章《個人資料(私隱)條例》第2條。
有關個人資料的明顯例子,包括個人身份證號碼及指紋,通過這些資料,一個人的身份可得以辨認。另一方面,某些資料組合起來,例如電話、地址、性別和年齡,也可能讓人切實可行地辨認出一個人的身份。
私隱條例於 1996 年 12 月 20 日正式生效。條例適用於任何收集、持有、處理或使用個人資料的人士,當中包括私營機構、公營機構及政府部門。概括來說,條例規管個人資料的收集和使用方式,並防止任何人因濫用個人資料而侵犯到他人的私隱。
根據香港現行之成文法及普通法,只有個人資料受到私隱條例的保障。 《香港人權法案》第14條訂明 “ 任何人之私生活、家庭、住宅或通信,不得無理或非法侵擾,其名譽及信用,亦不得非法破壞。”但是,私隱條例並無涵蓋個人資料以外的所有私隱問題。
私隱條例訂明的六項保障資料原則
任何人士或機構在收集、持有、處理或使用個人資料時,必須遵守條例第4條及附表1訂明的六項保障資料原則。(註: 與該個人資料相關的個人稱為「資料當事人」,而不論是獨自還是聯同其他人共同控制該個人資料的收集、持有、處理或使用的人士或機構則稱為「資料使用者」。)
第一項原則 ─ 收集個人資料的目的及方式
個人資料必需要為合法目的而收集,收集目的亦須直接與使用該等資料的資料使用者之職能或活動有關。所收集到的資料足夠便可,而不應超過有關目的之實際需要。
個人資料須以合法及公平的方式收集。舉例,盜用他人的銀行戶口紀錄或信用咭資料,便屬於用不合法的方式去收集個人資料。如果某人 / 機構蓄意用誤導的手法來收集個人資料,便屬不公平的收集方式。舉例,如果一間公司藉著招聘活動去收集求職人士的個人資料,但其實無意招聘任何人,而只是用招聘的藉口去收集資料,那麼該公司就是用不公平的手法收集個人資料。
向資料當事人直接收集個人資料時,必須告知他們下列事項(除非其收集目的不受第六項保障資料原則所管限),包括:
- 該等資料將會用於甚麼目的/用途;
- 該等資料可能會轉交予甚麼類別的人;
- 當事人是否有責任(或只是自願性)提供該等資料 ;
- 若當事人不提供該等資料所須承受的後果;及
- 當事人有權要求查閱及改正該等資料。
第二項原則 ─ 個人資料的準確性及保留期間
資料使用者必須確保所持有的個人資料是準確及最新近的。如資料使用者懷疑所持有的個人資料並不準確,就應該立即停止使用有關資料。資料的保存時間,不能超過使用該等資料而達到原定目的之實際所需。
第三項原則 ─ 個人資料的使用
除非得到資料當事人的「訂明同意」,否則資料使用者不可以改變個人資料的用途,而只可將資料用於當初收集資料時所述明的用途 (或與其直接有關的用途)。「訂明同意」是指資料當事人明確及自願給予的同意。
第四項原則 ─ 個人資料的保安
資料使用者必須採取適當的保安措施去保護個人資料。他們必須確保個人資料得到足夠保障,以避免有人在未獲准許或意外的情況下,去查閱、處理、刪除或者使用該等資料。
第五項原則 ─ 資訊須在一般情況下可提供
資料使用者須公開所持有的個人資料之類別 (不是資料內容) ,並公開其處理個人資料的政策及實務。
最佳做法是制訂一份「私隱政策聲明」,內容可以包括有關資料的準確性、保留期、保安、使用、如何處理由資料當事人提出的查閱資料及改正資料要求。
第六項原則 ─ 查閱個人資料
資料當事人有權向資料使用者查證是否持有其個人資料,以及有權要求獲得有關資料的副本。如發現副本內的個人資料不準確,則有權要求改正有關資料。
資料使用者須在法定的 40 日內,依從有關查閱資料及改正資料的要求。如未能在指定時限內處理,亦須在 40 日內作出回覆及述明理由。
個別人士 / 資料當事人如欲提出查閱要求,可於個人資料私隱專員公署的網頁下載查閱資料要求表格 (OPS003) ,並將填妥之表格送交持有其個人資料的機構。請留意,條例准許資料使用者就依從查閱資料要求而收取合理費用,但有關資料使用者不可以收取超過依從查閱資料要求所需的直接成本。
打印
電郵