3. 保障資料原則是否亦適用於將個人資料外判處理的情形?
資料使用者將資料處理外判予第三方的做法已日趨普遍。與此同時,在資料處理外判期間發生的個人資料外洩事件亦日益增多,或會對相關的資料當事人造成嚴重且不可挽回的損害。
即使個人資料外判予第三方處理,所有保障資料原則仍然適用。根據私隱條例,在個人資料交託予資料處理者時,該等資料的使用者作為委託人,須對獲其授權的資料處理者的一切行為負上責任。
2012年修訂條例通過修訂第二、四項保障資料原則,強化了這方面的保障。新條文自2012年10月1日生效,增加了聘用第三方代為處理資料的資料使用者之義務(無論該等處理是否在香港進行)。資料使用者須以合約或其他方法,防止轉移到資料處理者的個人資料之保存時間超過處理該等資料所需的時間(第2(3)項保障資料原則),以及防止該等資料在未獲授權或意外的情況下被查閱、處理、刪除、丟失或以其他不當方式使用(第4(2)項保障資料原則)。
資料處理者是指任何人:
- 代另一人處理個人資料;及
- 不為任何人的個人目的而處理該資料。
有關新增義務的詳情,請參閱公署的單張。
隨著資訊科技快速發展和外判處理個人資料日趨普及,個人資料的收集(非直接從資料當事人收集)和傳播較以往容易得多。無論是否受資料使用者委託,故意披露從資料使用者取得的個人資料,可對資料當事人造成嚴重損害。鑑於侵犯個人資料私隱的嚴重性及可能對資料當事人構成損害的程度,修訂條例新增了一項罪行,以打擊在些情形下,披露未經資料使用者同意取得的個人資料的行為。
根據私隱條例第64條,如果未經資料使用者同意,任何人披露取自該資料使用者而屬於某資料當事人的個人資料:
- 意圖獲取金錢或其他財產得益,不論是為了令自身或其他人受惠;或
- 意圖導致該當事人蒙受金錢或其他財產損失。
即屬犯罪,最高刑罰是罰款1,000,000元及監禁5年。
此外,「起底」行為 (通常涉及在網路或其他公開平台上收集及發布目標人士的個人資料的行為) 在近年日益猖獗。因此,立法會通過《2021年個人資料(私隱)(修訂)條例》,將「起底」行為訂為刑事罪行,賦予私隱專員對「起底」及相關罪行的調查及執法權力,以及要求停止披露涉及「起底」內容的法定權力。