移至主內容

「個人資料」的定義及六項保障資料原則

I. 「個人資料」的定義及六項保障資料原則

個人資料是指任何資料,可以「直接或間接與一名在世的人有關的、可以切實可行地透過有關資料,直接或間接地確定有關個人的身分、及該資料的存在形式,讓人可切實可行地查閱及處理有關資料(例如是文件或影帶)」。個人資料的法律定義,可見於第486章個人資料(私隱)條例第2條

 

有關個人資料的明顯例子,包括個人身份證號碼及指紋,通過這些資料,一個人的身份可得以辨認。另一方面,某些資料組合起來,例如電話、地址、性別和年齡,也可能讓人切實可行地辨認出一個人的身份。

 

私隱條例於 1996 年 12 月 20 日正式生效。條例適用於任何收集、持有、處理或使用個人資料的人士,當中包括私營機構、公營機構及政府部門。概括來說,條例規管個人資料的收集和使用方式,並防止任何人因濫用個人資料而侵犯到他人的私隱。

 

根據香港現行之成文法及普通法,只有個人資料受到私隱條例的保障。 《香港人權法案》第14條訂明 “ 任何人之私生活、家庭、住宅或通信,不得無理或非法侵擾,其名譽及信用,亦不得非法破壞。”但是,私隱條例並無涵蓋個人資料以外的所有私隱問題。

 

私隱條例訂明的六項保障資料原則

 

任何人士或機構在收集、持有、處理或使用個人資料時,必須遵守條例第4條附表1訂明的六項保障資料原則。(註: 與該個人資料相關的個人稱為「資料當事人」,而不論是獨自還是聯同其他人共同控制該個人資料的收集、持有、處理或使用的人士或機構則稱為「資料使用者」。)

 

第一項原則 ─ 收集個人資料的目的及方式

 

個人資料必需要為合法目的而收集,收集目的亦須直接與使用該等資料的資料使用者之職能或活動有關。所收集到的資料足夠便可,而不應超過有關目的之實際需要。

 

個人資料須以合法及公平的方式收集。舉例,盜用他人的銀行戶口紀錄或信用咭資料,便屬於用不合法的方式去收集個人資料。如果某人 / 機構蓄意用誤導的手法來收集個人資料,便屬不公平的收集方式。舉例,如果一間公司藉著招聘活動去收集求職人士的個人資料,但其實無意招聘任何人,而只是用招聘的藉口去收集資料,那麼該公司就是用不公平的手法收集個人資料。

 

向資料當事人直接收集個人資料時,必須告知他們下列事項(除非其收集目的不受第六項保障資料原則所管限),包括:

 

  • 該等資料將會用於甚麼目的/用途;
  • 該等資料可能會轉交予甚麼類別的人;
  • 當事人是否有責任(或只是自願性)提供該等資料 ;
  • 若當事人不提供該等資料所須承受的後果;及
  • 當事人有權要求查閱及改正該等資料。

 

第二項原則 ─ 個人資料的準確性及保留期間

 

資料使用者必須確保所持有的個人資料是準確及最新近的。如資料使用者懷疑所持有的個人資料並不準確,就應該立即停止使用有關資料。資料的保存時間,不能超過使用該等資料而達到原定目的之實際所需。

 

第三項原則 ─ 個人資料的使用

 

除非得到資料當事人的「訂明同意」,否則資料使用者不可以改變個人資料的用途,而只可將資料用於當初收集資料時所述明的用途 (或與其直接有關的用途)。「訂明同意」是指資料當事人明確及自願給予的同意。

 

第四項原則 ─ 個人資料的保安

 

資料使用者必須採取適當的保安措施去保護個人資料。他們必須確保個人資料得到足夠保障,以避免有人在未獲准許或意外的情況下,去查閱、處理、刪除或者使用該等資料。

 

第五項原則 ─ 資訊須在一般情況下可提供

 

資料使用者須公開所持有的個人資料之類別 (不是資料內容) ,並公開其處理個人資料的政策及實務。

 

最佳做法是制訂一份「私隱政策聲明」,內容可以包括有關資料的準確性、保留期、保安、使用、如何處理由資料當事人提出的查閱資料及改正資料要求。

 

第六項原則 ─ 查閱個人資料

 

資料當事人有權向資料使用者查證是否持有其個人資料,以及有權要求獲得有關資料的副本。如發現副本內的個人資料不準確,則有權要求改正有關資料。

 

資料使用者須在法定的 40 日內,依從有關查閱資料及改正資料的要求。如未能在指定時限內處理,亦須在 40 日內作出回覆及述明理由。

 

個別人士 / 資料當事人如欲提出查閱要求,可於個人資料私隱專員公署的網頁下載查閱資料要求表格 (OPS003) ,並將填妥之表格送交持有其個人資料的機構。請留意,條例准許資料使用者就依從查閱資料要求而收取合理費用,但有關資料使用者不可以收取超過依從查閱資料要求所需的直接成本。

 

1. 若違反保障資料原則,會有甚麼後果?

1. 若違反保障資料原則,會有甚麼後果?

個人資料私隱專員公署可能會向有關資料使用者發出執行通知,指令其停止進行違規行為及採取必要補救措施。如果違反執行通知的規定,即屬犯法,可被判處罰款或監禁。如個別人士因為他人違反保障資料原則而蒙受損害 (包括情感方面的損害),該受害人有權循民事訴訟向犯錯者索償。

 

關於投訴程序、執行和懲罰的更多資料,請往第VIII部

 

2. 在哪些情況下,持有個人資料的人士/機構或會不受私隱條例或保障資料原則的規限?

2. 在哪些情況下,持有個人資料的人士/機構或會不受私隱條例或保障資料原則的規限?

在某些情況下,個人資料使用者或可獲豁免,毋須受條例或六項保障資料原則規限。《2012年個人資料(私隱)(修訂)條例》(以下簡稱「2012年修訂條例」)引入了新的豁免,簡介如下:

 

家居事務或消閒目的

 

根據私隱條例第52條,與家居事務或為消閒目的而持有的個人資料,不受所有保障資料原則、條例第4及5部,以及第36第38(b)條的條文所規限。持有家庭成員或朋友的電話號碼作日常聯絡或約會之用,便屬例子之一。

 

履行司法職能

 

根據私隱條例第51A條(經2012年個人資料(私隱)(修訂)條例》所新增),由法院、裁判官或司法人員在執行司法職能的過程中持有的個人資料,可獲豁免,不受所有保障資料原則、條例第4及5部及第36第38(b)條的條文所規限。

 

與僱傭有關的用途

 

在某些情況下,資料使用者或可免受部分(非全部)六項保障資料原則所規限。

 

私隱條例第53條第54條第55條第56條指出,如個人資料作下列與僱傭工作有關的用途,便可得到豁免而不需要受到查閱資料要求(第六項保障資料原則第18(1)(b)條)的條文所規限。上述條文要求資料使用者向資料當事人提供其所掌握的關於該當事人的所有個人資料。這些資料可包括:

 

  • 與職工策劃有關的個人資料 ;
  • 在進行某些工作能力評核程序過程中取得的個人資料,而有關評核仍未有決定,且針對該等決定提出上訴是容許的,包括僱用、晉升、授予名銜、獎學金或利益、免除職位或紀律行動等的相關程序
  • 填補某職位前所需取得的個人評介,直至已填補該職位為止。

 

防止或偵查罪行

 

根據私隱條例第58條,為防止或偵查罪案之目的而持有的個人資料可得到豁免,毋須受到查閱資料要求(第六項保障資料原則第18(1)(b)條)和限制資料用途(第三項保障資料原則)的條文所規限。

 

健康原因

 

根據私隱條例第59條,與資料當事人的身體或精神健康有關的個人資料,可獲豁免而不受查閱資料要求(第六項保障資料原則第18(1)(b)條)和限制資料用途(第三項保障資料原則)的條文所規限,前提是使用該等條文的話,若相當可能會對該資料當事人的身體或精神健康造成嚴重損害,或者相當可能會對其他人的身體或精神健康造成嚴重損害,則可獲豁免。


此外,根據第59(2)條(由2012年起生效),有關資料當事人的身份或所在地的個人資料,如果使用限制資料用途的條文便相當可能會對該資料當事人或其他人的身體或精神健康造成嚴重損害,則可獲豁免,不受第三項保障資料原則規限。

 

未成年人的照顧及監護

 

根據私隱條例第59A條(由2012年起生效),凡香港警務處或香港海關向未成年人的父母或監護人轉移或披露該未成年人的個人資料,如果該項轉移或披露符合該未成年人的利益,或其目的是方便該有關人士妥善照顧及監護該未成年人,則可獲豁免,不受第三項保障資料原則規限。

 

法律專業保密權

 

根據私隱條例第60條,假如個人資料包含某些受法律專業保密權保護的資料,則包含該等資訊的個人資料可獲豁免,不受查閱資料要求(第六項保障資料原則第18(1)(b)條)的條文規限。

 

法律程序

 

根據私隱條例第60B條(由2012年起生效),當個人資料用於下列程序時,可獲豁免,不受第三項保障資料原則規限:

 

  • 由任何成文法則、法律規則或香港法院的命令所規定或授權使用的,或是根據任何成文法則而規定或授權使用的;
  • 在與香港進行的法律程序有關連的情況下被規定而使用的;或
  • 為確立、行使或維護在香港的法律權利所需要使用的。

 

導致自己入罪

 

根據私隱條例第60A條,如果資料使用者依從第六項保障資料原則第18(1)(b)條提出的查閱資料獲取要求,可能會因此而證明自己干犯任何本條例訂定以外的罪行,則該等資料不受該等條文規限。此外,如果資料使用者依從該等條文而披露某項資訊,該項資訊不得用於檢控該資料使用者,指控他干犯私隱條例下列明的罪行。

 

新聞活動

 

根據私隱條例第61條,如資料使用者為進行新聞活動而持有個人資料,該等資料不受第六項保障資料原則及第18(1)(b)條及38(i)條的查閱資料要求所規限,除非及直至該等資料已發表或播放;及不受第36條及第38(b)條的查閱資料要求所規限。如資料使用者有合理理由相信發表該等資料是符合公眾利益,亦可不受限制資料用途(第三項保障資料原則)的條文所規限。


個人資料私隱專員公署曾報道一宗涉及新聞活動的公眾利益的上訴個案。在這個案中,一間教育機構的院長向新聞記者披露了一名職員的個人資料,藉以反駁該職員對院校的指控,以維護院校的聲譽。此舉被公署視為符合公眾利益,有助作出公平及平衡的新聞報導(請登入公署之投訴個案簡述,以參閱全部內容 ) 。

 

統計及研究

 

根據私隱條例第62條,如果個人資料僅僅用於製備統計數字或進行研究,而且所得的統計數字或研究成果不會以識辨資料當事人的身分的形式提供,則可獲豁免,不受第三項保障資料原則的條文所規限。

 

人類胚胎

 

根據私隱條例第63A條,如果個人資料包含可顯示某人是(或可能是)經由生殖科技程序而誕生的資訊,只要是根據《人類生殖科技條例第33條披露該資料,則可獲豁免,不受第六項保障資料原則第18(1)(b)條的條文所規限。

 

盡職審查

 

根據私隱條例第63B條(由2012年起生效),如果個人資料使用者為了進行業務合併、收購或財產轉移而作出盡職審查,因而轉移或披露個人資料,而某些條件獲符合,則該等個人資料可獲豁免,不受限制資料用途(第三項保障資料原則)的條文所規限。

 

緊急情況

 

根據私隱條例第63C條(由2012年起生效),如依從第1(3)項保障資料原則第三項保障資料原則處理個人資料,便相當可能不利於識辨某名正處於危及生命的處境之中的人士之身份,將該名人士的處境告知其家人,及進行緊急拯救行動或提供緊急救助服務,則該等個人資料可獲豁免,不受該等條文所規限。

 

轉移資料到政府檔案處

 

根據私隱條例第63D條(由2012年起生效),轉移到政府檔案處的紀錄中,若載有個人資料,而政府檔案處是為了評核該等記錄是否須予保存而使用該等資料,或是為了整理及保存該等記錄,此類情況可獲豁免,不受第三項保障資料原則的條文所規限。

 

3. 保障資料原則是否亦適用於將個人資料外判處理的情形?

3. 保障資料原則是否亦適用於將個人資料外判處理的情形?

資料使用者將資料處理外判予第三方的做法已日趨普遍。與此同時,在資料處理外判期間發生的個人資料外洩事件亦日益增多,或會對相關的資料當事人造成嚴重且不可挽回的損害。


即使個人資料外判予第三方處理,所有保障資料原則仍然適用。根據私隱條例,在個人資料交託予資料處理者時,該等資料的使用者作為委託人,須對獲其授權的資料處理者的一切行為負上責任。

 

2012年修訂條例通過修訂第二、四項保障資料原則,強化了這方面的保障。新條文自2012年10月1日生效,增加了聘用第三方代為處理資料的資料使用者之義務(無論該等處理是否在香港進行)。資料使用者須以合約或其他方法,防止轉移到資料處理者的個人資料之保存時間超過處理該等資料所需的時間(第2(3)項保障資料原則),以及防止該等資料在未獲授權或意外的情況下被查閱、處理、刪除、丟失或以其他不當方式使用(第4(2)項保障資料原則)。

 

資料處理者是指任何人:

 

  • 代另一人處理個人資料;及
  • 不為任何人的個人目的而處理該資料。

有關新增義務的詳情,請參閱公署的單張

 

隨著資訊科技快速發展和外判處理個人資料日趨普及,個人資料的收集(非直接從資料當事人收集)和傳播較以往容易得多。無論是否受資料使用者委託,故意披露從資料使用者取得的個人資料,可對資料當事人造成嚴重損害。鑑於侵犯個人資料私隱的嚴重性及可能對資料當事人構成損害的程度,修訂條例新增了一項罪行,以打擊在些情形下,披露未經資料使用者同意取得的個人資料的行為。

 

根據私隱條例第64條,如果未經資料使用者同意,任何人披露取自該資料使用者而屬於某資料當事人的個人資料:

  • 意圖獲取金錢或其他財產得益,不論是為了令自身或其他人受惠;或
  • 意圖導致該當事人蒙受金錢或其他財產損失。

即屬犯罪,最高刑罰是罰款1,000,000元及監禁5年。

 

此外,「起底」行為 (通常涉及在網路或其他公開平台上收集及發布目標人士的個人資料的行為) 在近年日益猖獗。因此,立法會通過《2021年個人資料(私隱)(修訂)條例》,將「起底」行為訂為刑事罪行,賦予私隱專員對「起底」及相關罪行的調查及執法權力,以及要求停止披露涉及「起底」內容的法定權力。

 

關於與「起底」相關的罪行的更多資料,請往VII部

 

4. 在瀏覽互聯網時,我發現自己一幅相片被放在某個本地網站內,但該網站並無事先取得我的同意,估計這幅相是當我在逛街購物時被人在商場內偷拍的。我可否根據《個人資料(私隱)條例》去控告有關網站管理人或攝影師 ?

4. 在瀏覽互聯網時,我發現自己一幅相片被放在某個本地網站內,但該網站並無事先取得我的同意,估計這幅相是當我在逛街購物時被人在商場內偷拍的。我可否根據《個人資料(私隱)條例》去控告有關網站管理人或攝影師 ?

有關法律問題是究竟這幅相是否屬於個人資料? 若不屬於個人資料,條例便不適用於上述個案內。

 

高等法院上訴庭於 2000 年有一案例 ( Eastweek Publisher Limited and another v Privacy Commissioner for Personal Data ) ,裁定個人資料可以透過拍照而收集得到 ,但並不表示所有相片也一定是個人資料。法官指出在收集個人資料時,資料使用者必須正在匯集某位已被認定或欲被認定人士的個人資料。換句話說,如相片只顯示出某人的樣貌,而其拍攝不是為了收集該人作為認定人士的個人資料 (即該人只是一個「匿名拍攝對象」) ,拍攝這幅相片一般不會被視為收集個人資料,因此並不涉及保障資料原則。

 

判詞亦進一步說明,條例只會保障市民在個人資料方面的私隱,但並非訂立全面的私隱保障權利去防止任何侵犯私隱的方式出現 (令所有人均可獨處而完全不受騷擾) 。

 

關於問題所述的情況,在有關情況下,如相片的拍攝並不是為了收集閣下作為認定人士的個人資料,條例便不能給予保障。

 

但須留意,任何人如公開刊登相片而該相片附有被拍攝者的個人資料之註腳(未經當事人同意),便可能已違反條例。如有關註腳含有未經證實的負面評論,刊登資料的人士亦可能要負上民事誹謗責任。此外,任何人在公眾地方未經當事人同意下拍照而導致他人合理地擔心本身的安全,亦可能會干犯遊蕩罪(《刑事罪行條例第160條)或被控在公眾地方行為不檢。

 

6. 個人資料私隱專員公署的職能是甚麼?

6. 個人資料私隱專員公署的職能是甚麼?

個人資料私隱專員公署是一個獨立法定機構,負責監察個人資料 ( 私隱 ) 條例的施行。公署由個人資料私隱專員掌管,而私隱專員由行政長官委任,其主要職責是監察及監管各界遵守私隱條例的規定,當中包括調查投訴和發出實務守則及指引。有關公署職能的更多資料,請登入公署網頁

 

根據私隱條例第13條,違反由公署訂立的實務守則 (code of practice)並不等同違反條例。不過,有關違反實務守則的行為,可能會被用作與條例有關的任何法律程序中之證據,以針對違反守則的資料使用者。簡單來說,如資料使用者違反實務守則內的任何條文,便可能要負上民事或刑事責任。

 

個人信貸資料 (有關銀行或財務公司提供信貸的紀錄)

II. 個人信貸資料 (有關銀行或財務公司提供信貸的紀錄)

個人資料私隱專員公署 在 1998年2月首次發出《個人信貸資料實務守則》,並於2013年1月第四次修訂該實務守則。任何違反實務守則的行為,可能會被用作與私隱條例有關的任何針對有關違規者的法律程序中之證據。

 

實務守則對 信貸提供者 (包括銀行及財務公司,向親友提供私人貸款的人士除外 ) 透過信貸資料服務機構共用及使用個人信貸資料作出規管。根據守則內容,個人信貸資料是信貸提供者為向某人提供個人信貸所收集,並與信貸交易有關該人的個人資料。個人信貸大致上包括由信貸提供者向個人提供及供該人使用的任何貸款、透支額或其他 信貸項目。

 

採用信貸資料服務機構的服務之信貸提供者,可向該機構提供個人信貸資料,另外亦可獲取信貸報告 (見以下問題1) 作信貸審核及評估用途。舉例,當閣下向銀行申請信用咭、貸款、透支額、分期付款或租賃安排時,銀行或會向信貸資料服務機構索取閣下的信貸報告,從而參考該信貸報告的資料,以評估閣下的信用可靠性及還款能力。如閣下獲批信貸,銀行可能會向信貸資料服務機構報告有關信貸資料。如閣下日後拖欠還款,銀行便可能會將有關信貸資料轉交追討欠款公司作追收欠帳用途(但不可作其他用途),並會向信貸資料服務機構報告該欠款資料。

 

注意:

 

以上問答只能概括地解釋《個人信貸資料實務守則》之內容,如欲取得更多資料,請瀏覽個人資料私隱專員公署的網頁,以參閱整份實務守則。如有任何問題,請聯絡公署或諮詢律師。

 

1. 信貸報告會包含甚麼資料? 我如何能夠向信貸資料服務機構索取關於自己的信貸報告?

1. 信貸報告會包含甚麼資料? 我如何能夠向信貸資料服務機構索取關於自己的信貸報告?

概括來說,信貸報告會列出以下 資料 :

 

  • 被查核的人 (即資料當事人) 的姓名、身分證號碼、地址及電話號碼等個人資料;
  • 關於資料當事人現有及已結束的信貸帳戶資料 (包括貸款額、還款資料及任何拖欠款項);
  • 各間銀行過去曾向信貸資料服務機構查閱資料當事人的信貸報告之紀錄 ; 及
  • 針對資料當事人的任何法律訴訟紀錄(尤其是關於破產或追收欠債的法律行動)。

閣下可向提供信貸的銀行/財務公司查詢信貸資料服務機構的詳情,然後直接聯絡該機構以取得自己的信貸報告。在一般情況下,閣下需要為取得信貸報告而支付服務費,因私隱條例容許資料使用者在依從查閱資料要求 (第六項保障資料原則) 而提供有關資料時收取合理費用。目前在本港營運的主要信貸資料服務機構名為「環聯資訊有限公司」。

 

2. 如我發現自己的信貸報告的資料不準確,可採取什麼行動?

2. 如我發現自己的信貸報告的資料不準確,可採取什麼行動?

如發現任何不準確的資料,閣下首先應知會提供信貸的放債人(即是向信貸資料服務機構提供資料的信貸提供者)。信貸提供者必須在給予信貸資料服務機構的資料中,註明該資料現受爭議。

 

除此之外,閣下亦可向有關信貸資料服務機構提出改正資料要求,並提供適當的佐證文件以支持修改。信貸資料服務機構在收到閣下的要求時,會立即與信貸提供者澄清有關資料。如該機構在由改正資料要求日期起計 40日內,仍無收到信貸提供者就爭議資料作出的任何書面證實或改正,則有關資料將會在40日屆滿時刪除,或應閣下的要求作出修改 。 如信貸資料服務機構沒有回應閣下的改正資料要求,便可能已違反了私隱條例第23條

 

3. 信貸提供者是否可在任何時間取得我的信貸報告?

3. 信貸提供者是否可在任何時間取得我的信貸報告?

不是。信貸提供者只可在有限的情況下取得閣下的信貸報告 。

 

實務 守則容許信貸提供者在下列情況索取信貸報告 :

 

  • 考慮閣下的新信貸 /貸款申請;
  • 檢討閣下的現有信貸安排 ; 或
  • 續批到期的信貸安排。

(註: 「 檢討 」意指信 貸提供者考慮將閣下的信貸限額提高或調低 。 )

 

若閣下拖欠還款,信貸提供者亦可能會查閱閣下的信貸報告,以監察有關欠債情況。不過,信貸提供者不得為其他目的 (例如索取資料作直接促銷用途) 而查閱閣下的信貸資料。

 

5. 如我為朋友的銀行貸款作擔保人,該銀行可否向信貸資料服務機構披露我作為擔保人的身分?若由個別人士作擔保的貸款是屬於公司貸款,《個人信貸資料實務守則》有無作出說明?

5. 如我為朋友的銀行貸款作擔保人,該銀行可否向信貸資料服務機構披露我作為擔保人的身分?若由個別人士作擔保的貸款是屬於公司貸款,《個人信貸資料實務守則》有無作出說明?

銀行可以向信貸資料服務機構披露上述資料。信貸提供者或會將從借款人處收集的信貸資料給予信貸資料服務機構,當中包括與借款人及 擔保人 ( 如有 ) 相關的 信貸 資料 。

 

實務守則內關於「個人信貸」的定義牽涉信貸使用者,即有關貸款是否向一名個別人士提供及供該人使用,或是向另外一名人士提供而有關貸款是由個別人士作擔保人。由於「人士」一詞不但可指人類,亦可指「法人」(例如已註冊的有限公司),因此由個別人士作擔保的公司貸款,亦屬守則內所指的「個人信貸」。

 

6. 信貸提供者是否必需要向信貸資料服務機構提供借款人或擔保人的所有貸款帳戶資料?

6. 信貸提供者是否必需要向信貸資料服務機構提供借款人或擔保人的所有貸款帳戶資料?

問答4所述,信貸提供者不能披露任何與住宅按揭貸款有關的帳戶資料,除非該等帳戶資料顯示目前尚有未償還的重要欠帳 (拖欠超過 60日的欠帳) ,在此情況下,信貸提供者可向信貸資料服務機構提供有關欠款資料及帳戶一般資料

 

但是,實務守則沒有強制要求信貸提供者報告借款人或擔保人的信貸資料 (守則第2.4條訂明: “…其後向信貸資料服務機構提供下述任何個人信貸資料 …”)。信貸提供者可在守則的範圍內,就貸款產品的種類和提供資料要求與信貸資料服務機構達成協議。

 

實務守則列載各項基本規定,訂明哪些信貸資料可以 / 不可以提供或共用,以及述明信貸提供者須遵守的條文,以符合私隱條例的規定。

 

7. 信貸資料服務機構可保留我的資料多久?如我已還清整筆貸款,該機構會否在其資料庫中刪除我的信貸資料?

7. 信貸資料服務機構可保留我的資料多久?如我已還清整筆貸款,該機構會否在其資料庫中刪除我的信貸資料?

只要閣下仍然與信貸提供者有借貸關係,信貸資料服務機構便可為信貸報告目的而保留閣下的個人資料及帳戶一般資料

 

資料保留期間的一般規定是帳戶還款資料可被保留 5年,由產生該等資料的日期起計,或直至帳戶結束後5年屆滿為止,但亦有一些例外的情況。舉例,如閣下曾拖欠還款超過60日,該等拖欠還款資料可在全數清還欠款後起計保留5年。

 

( 註 : 「 帳戶一般資料 」包括貸款額 /信用額、信貸提供者的身分、帳戶的開戶和結束日期。 「 帳戶還款資料 」包括上次報告期間所作還款額、未償還的總額及過期欠款額 (如有) 。有關詳情請參閱實務守則的附表2。 )

 

當閣下還清整筆貸款後,便有權指示有關信貸提供者向信貸資料服務機構提出要求,在其資料庫中刪除已結束帳戶的資料。在閣下申請貸款時,信貸提供者 應已告知閣下此項權利 ; 或是當閣下清結帳戶時,信貸提供者將會給予有關書面提示。

 

不過,刪除資料的先決條件是在緊接帳戶結束前 5年內,有關帳戶必須並無拖欠還款逾60日的紀錄,以及帳戶是在全數清還欠款後結束的。此外,縱使閣下已要求信貸資料服務機構刪除已結束帳戶的資料,但信貸提供者(即銀行 / 財務公司 )本身仍 可為內部會計目的而在其系統內保留有關資料。

 

9. 假若我向銀行借了稅務貸款,但已在2003年1月 (即實務守則生效之前) 全數清還這筆貸款,而我亦持有該銀行的信用咭多年並一直使用至今。銀行可否於2003年6月2日之後,向信貸資料服務機構提供上述所有帳戶的資料?

9. 假若我向銀行借了稅務貸款,但已在2003年1月 (即實務守則中的有關條文在2003年6月2日生效之前) 全數清還這筆貸款,而我亦持有該銀行的信用咭多年並一直使用至今。銀行可否於2003年6月2日之後,向信貸資料服務機構提供上述所有帳戶的資料?

與閣下有現行借貸關係的銀行可向信貸資料服務機構提供有關信貸 / 貸款帳戶資料 ( 就算閣下無拖欠還款 ) 。

 

不過,銀行不得報告在2003年6月2日前已全數還清欠款而結束的任何帳戶的資料。至於在2003年6月2日前已存在但於生效日期後仍有信貸運作的帳戶,銀行不得報告在2003年6月2日前的還款資料,除非該帳戶直至2003年6月2日尚有未償還的拖欠還款,在此情況下,銀行可報告該欠款資料。 (註: 「尚有未償還的拖欠還款 」等同已到期但未償還的欠款。 )

 

關於問題所述之情況,由於閣下在 2003年6月2日前已全數清還稅務貸款,銀行不得向信貸資料服務機構報告該貸款帳戶資料。至於閣下的信用咭帳戶,只要並無未償還的咭數,銀行亦不會報告在2003年6月2日前的還款詳情。但如閣下在2003年6月2日前只依照信用咭月結單償還最低還款額,每月剩餘的未償還款項或會被視為未償還的拖欠還款,而銀行可能有權將閣下過去的還款資料提交信貸資料服務機構 (視乎有關信貸合約條款而定)。

 

10. 如我宣布破產,信貸資料服務機構會否於資料庫中刪除我的信貸資料?如我沒有宣布破產但已參與了個人自願安排 (即法庭認可的債務重組協議),情況會否不同?

10. 如我宣布破產,信貸資料服務機構會否於資料庫中刪除我的信貸資料?如我沒有宣布破產但已參與了個人自願安排 (即法庭認可的債務重組協議),情況會否不同?

閣下的破產聲明會出現在公眾可查閱到的官方紀錄內 ( 詳情請參閱另一題目 : 破產及清盤 ) 。 信貸資料服務機構可為信貸報告目的而從官方來源收集這類資料。實務守則訂明與破產有關的公眾紀錄資料可被保留 8年,由正式宣布破產那日起計。

 

至於參與 個人自願安排 但沒有宣布破產的欠債人,信貸資料服務機構亦可收集有關公眾紀錄資料,並將資料保留 7年 (由個人自願安排建議書獲通過當日起計 ) 。如閣下遵守建議書之條款而按時還錢,信貸資料服務機構會於所有欠款還清的 5年後,將有關帳戶還款資料刪除。

 

請注意,儘管銀行 / 財務公司可能已在閣下破產後將有關欠款撇帳,但只要該欠款仍未還清,信貸資料服務機構仍可繼續保留該欠款的帳戶還款資料。因此,如閣下已獲解除破產,便有責任向信貸資料服務機構提供解除破產的證據 (由高等法院原訟法庭發出的破產解除證明書或由破產管理署署長發出的書面通知)。如可提供有關文件證據,信貸資料服務機構會在破產解除日期起計的5年後,刪除該等帳戶還款資料。

 

11. 我的信貸資料會否受到任何保護,以防止信貸提供者作出不當查閱?

11. 我的信貸資料會否受到任何保護,以防止信貸提供者作出不當查閱?

信貸提供者及信貸資料服務機構均受到實務守則及私隱條例所規管。根據守則的規定,信貸提供者必須在每次向信貸資料服務機構查閱其資料庫時,向該機構具體述明查閱理由及在何種情況下作出查閱。另一方面,信貸資料服務機構須備存查閱記錄簿,用以記錄信貸提供者作出的每次查閱。如信貸資料服務機構發現信貸提供者有任何懷疑異常的查閱情況,便須向信貸提供者的高層管理人員及私隱專員報告該事件。為確保依從守則的規定,信貸資料服務機構必須在相隔不超過 12個月的期間內進行循規審核,並向私隱專員呈交審核報告。

 

12. 如發現信貸提供者或信貸資料服務機構不當地處理我的資料,我可採取甚麼行動?

12. 如發現信貸提供者或信貸資料服務機構不當地處理我的資料,我可採取甚麼行動?

把資料交給錯誤對象、沒有回應 資料當事人提出的查閱資料或改正資料要求、沒有為資料採取適當的保安措施等行為,均會構成不當地處理信貸資料 。

 

如閣下未能與信貸提供者或信貸資料服務機構解決有關糾紛,可向個人資料私隱專員公署提出書面投訴。有關投訴程序和懲罰方式的詳情,請登入第VIII部份

 

13. 私隱專員公署之查詢個案簡述 ─ 我作為信貸安排的擔保人,若銀行在 (i)批核貸款申請時及 (ii)檢討現有貸款安排時查閱我的信貸報告,銀行應否將此事通知我?如我是帳戶的持有人 (即借款人),情況會否不同?

13. 私隱專員公署之查詢個案簡述 ─ 我作為信貸安排的擔保人,若銀行在 (i)批核貸款申請時及 (ii)檢討現有貸款安排時查閱我的信貸報告,銀行應否將此事通知我?如我是帳戶的持有人 (即借款人),情況會否不同?

請登入相關網頁參閱公署提供的答案。

 

14. 私隱專員公署之查詢個案簡述 ─ 某間代表一名死者的遺產管理人的律師行去信,要求某間銀行披露一些有關死者名下帳戶的紀錄。不過,這些紀錄亦涉及與第三者有關的資料,如該銀行披露這些紀錄,是否違法?

14. 私隱專員公署之查詢個案簡述 ─ 某間代表一名死者的遺產管理人的律師行去信,要求某間銀行披露一些有關死者名下帳戶的紀錄。不過,這些紀錄亦涉及與第三者有關的資料,如該銀行披露這些紀錄,是否違法?

請登入相關網頁參閱公署提供的答案。

 

使用身分證號碼及身分證副本

III. 使用身分證號碼及身分證副本

由個人資料私隱專員公署發出的《身分證號碼及其他身分代號實務守則》及守則的資料使用者指引於1997年12月19日生效,並分別於2016年4月及7月被修訂。任何違反實務守則的行為,可能會被用作與私隱條例有關的任何法律程序中之證據,以針對有關違規者。

 

實務守則就私隱條例如何適用在下述兩項的收集、準確性、保留、使用及保安方面,為資料使用者提供實務性指引,這兩個項目是:(a)身分證號碼及身分證副本; 及(b) 其他可識辨個人身分的特定代號,例如護照號碼、僱員編號、考生編號及病人編號。

 

如資料使用者為實務守則容許之用途而收集 身分證號碼或身分證副本,這些資料只可作該指定用途。有關身分證號碼或身分證副本之紀錄的保存時間不應超過將其保存以貫徹該資料使用於的目的所需的時間。

 

資料使用者應為持有或傳送資料時作出足夠的保安措施。實務守則特別指出,有關紙張形式的身分證副本,應在橫跨整個身分證影像上加上「副本」的字眼,而身分證號碼或副本之紀錄亦應以機密文件形式處理,在不需使用時應將文件存於已上鎖的文件櫃或其他穩妥地方。

 

隨著技術簡化和成本下降,運用生物特徵資料識別身份,已廣泛地應用於調查罪案以外的用途。為了規管使用此類敏感的個人資料,公署在2015年7月出版及於2020年8月修訂了《收集及使用生物辨識資料指引》。

 

注意: 

以下問答只能概括地解釋 《身分證號碼及其他身分代號實務守則》之內容,如欲取得更多資料,請瀏覽個人資料私隱專員公署的網頁,以參閱整份實務守則。如有任何問題,請聯絡公署或諮詢律師。

 

1. 概括來說,別人可在甚麼情況下向我索取身分證號碼或身分證副本?

1. 概括來說,別人可在甚麼情況下向我索取身分證號碼或身分證副本?

身分證號碼

 

除獲法律授權外,資料使用者不可強制任何人提供他 / 她的身分證號碼。在實務守則准許的情況下,資料使用者可要求個人提供他 / 她的身分證號碼,而部分日常遇到的例子如下 :

 

  • 某一條例規定資料使用者須收集身分證號碼,例如《入境條例》(第115章)第17K條規定,僱主須備存每名僱員可藉以合法地受僱的證件的號碼之紀錄,這證件通常是身分證。
  • 為履行私隱條例第58(1)條 所述的任何目的而需要使用身分證號碼,包括防止或偵測罪行,以及評定或收取任何稅項。
  • 為了下述情況而有需要讓資料使用者識辨某人或正確認出該人的個人資料:
    • 增進該名個人的利益,例如在診治病人時能找出該病人的正確醫療紀錄 ;
    • 防止對有關資料使者以外的任何其他人造成損害,例如確保不會因參照錯誤的醫療紀錄而開錯葯給其他人 ;
    • 避免對資料使用者造成不輕微的損害或損失,例如涉及交通意外的司機可互相交換身分證號碼,以便就意外申索賠償時識辨對方的身分。
  • 為了加入用以確立或證明任何法律或衡平法上的權利或利益或任何法律責任的文件內,而該等權利 / 利益 / 法律責任的性質絕非輕微,例如用以確立個人物業權益的文件。
  • 在某人獲准進入處所後,要監察該人在處所內的活動是不切實可行的情況下,以身分證號碼作為將來識辨該人的方法,例如在辦公時間外進入商業大廈。
  • 作為准許某人保管或控制財物的一項條件,而有關財物的價值並非輕微,例如租賃樓宇或汽車。

身分證副本

 

除獲法律授權外,資料使用者不可強制任何人提供他 / 她的身分證副本。在實務守則准許的情況下,資料使用者可要求個人提供他 / 她的身分證副本,而部分日常遇到的例子如下 :

 

  • 為了履行與私隱條例第58(1)條所述的任何目的,包括防止或偵測罪行,以及評定或收取任何稅項。
  • 藉以證明已遵守任何法例規定,例如僱主可收集僱員的身分證副本,以證明有遵守《入境條例第17J條的規定。該條文規定僱主在聘用僱員前,須查核該僱員的身分證。
  • 藉以遵守任何守則、規則、規例或指引中適用於資料使用者的收集身分證副本的規定,而該等規定已獲私隱專員的書面認可,例如香港金融管理局發出的《防止清洗黑錢活動指引》載有銀行可收集客戶的身分證副本的規定,有關規定已獲私隱專員認可。
  • 藉以收集或核對個人的身分證號碼,但只有在個人可選擇親身出示他 / 她的身分證以作代替的情況下,才可使用這個方法。例如運輸署可收集用郵寄方式申請駕駛執照的申請人的身分證副本,因申請人可選擇親身到運輸署出示身分證。
  • 藉以簽發官方認可的旅遊證件,例如英國國民 (海外)護照。

 

實務守則特別註明在下述情況下,資料使用者不可以收集身分證副本:

 

  1. 只為了防止在記錄個人的姓名或身分證號碼時出現錯誤。亦即是說,資料使用者不應只為了核對載有某人的姓名或身分證號碼的紀錄之準確性,而收集該人的身分證副本 ; 或
  2. 只為了期待建立與個人的未來關係。例如僱主不能因為在將來可能會向某人發出聘約,便收集該人的身分證副本。

 

2. 大廈保安員可否要求我把身分證號碼登記在大廈入口處的訪客登記冊內?

2. 大廈保安員可否要求我把身分證號碼登記在大廈入口處的訪客登記冊內?

要視乎監察閣下在樓宇內的活動是否可行而定 ( 例如能否安排保安員在樓宇內一直陪同閣下 ) 。如可行的話,則保安員不應記錄閣下的身分證號碼 ; 如不可行的話,保安員便可記錄身分證號碼。

 

不過,保安員須採取適當保安措施遮蓋訪客登記冊內的資料,以免後來的訪客在登記資料時獲悉之前訪客的資料。如閣下不願意提供身分證號碼,可建議他們採用其他辦法代替。這些代替辦法包括使用其他身分證明文件 (例如職員證)作識辨用途,或由保安員認識的其他人(例如大廈內的住客)識辨閣下的身分。

 

個人資料私隱專員公署建議在一般情況下,訪客登記冊內的資料不應保留超過一個月。但若有充分理由 (例如資料需用作舉證用途或協助警方調查不法活動), 保安員便可將有關資料保留一段較長的時間。有關上述事項之更多指引,請參考由公署發出的 《 保障個人資料私隱:物業管理指引 》。

 

3. 警務人員可否要求我出示身分證?

3. 警務人員可否要求我出示身分證?

如只是要求閣下出示身分證,但並沒有將身分證上的任何資料記錄下來,這情況不屬實務守則的涵蓋範圍。但一般來說,如警務人員或其他公職人員 ( 例如入境事務處職員 ) ,在閣下與他們執行公務時有往來的情況下而被要求記錄身分證號碼,閣下應依從他們的要求,因為這些公職人員有法定權力在與政府公務有關的情況下,要求市民提供他們的身分證號碼。

 

如欲了解更多有關警察檢查身分證的權力,請往另一個題目 ─ 警察及罪案

 

5. 若果我接受聘約,僱主可否收集我的身分證副本?

5. 若果我接受聘約,僱主可否收集我的身分證副本?

可以。該身分證副本是僱主用作顯示已遵守《入境條例》的證據。該條例規定僱主須在聘用閣下前檢查閣下的身分證。不過,實務守則規定僱主須在僱員的身分證副本上加上「副本」的字眼,而該字眼亦須橫跨整個身分證影像,以減少誤用及濫用副本的機會。

 

7. 如我申請流動電話服務,有關公司可否記錄我的身分證號碼或收集我的身分證副本?

7. 如我申請流動電話服務,有關公司可否記錄我的身分證號碼或收集我的身分證副本?

這類公司通常在提供服務後才向用戶收費。故此,它們需要有一個證明用戶身分的方法,以收取服務費用。另一問題是,它們並不是向固定的地點提供服務。目前已有多宗報導,關於有人利用他人的姓名和地址,用欺詐的方法取得該等服務,以及銷售員用虛假的人名開立戶口欺騙公司。有鑑於此,該等機構一般有理由根據實務守則的規定,記錄用戶的身分證號碼及收集他們的身分證副本,但必須在身分證副本上加上「副本」的字眼,而該字眼亦須橫跨整個身分證影像。

 

8. 當我申請成為銀行/保險公司的客戶時,該等機構可否收集我的身分證副本?

8. 當我申請成為銀行/保險公司的客戶時,該等機構可否收集我的身分證副本?

可以。銀行 / 保險公司可為證明已遵守《打擊洗錢及恐怖分子資金籌集條例》附表2第2條及第3條的客戶作盡職審查的規定,收集閣下的香港身份證副本。該等規定已由個人資料私隱專員認可。不過,銀行 / 保險公司職員應在客戶的身分證副本上加上「副本」的字眼,而該字眼亦須橫跨整個身分證影像。

 

9. 當我提供身分證號碼或身分證副本給其他人時,需要注意甚麼?

9. 當我提供身分證號碼或身分證副本給其他人時,需要注意甚麼?

實務守則規定機構或個人 ( 資料使用者 ) 在記錄他人的身分證號碼前,須考慮是否有其他侵犯私隱程度較低的辦法以代替記錄身分證號碼。如閣下對提供身分證號碼之要求有所不滿,可向有關資料使用者建議其他合理而閣下又可接受的代替方法,例如安排資料使用者認識的其他人士協助識辨閣下的身分。資料使用者如無合理解釋下拒絕接納其他代替方法,便可能會違反實務守則。

 

與記錄身分證號碼的限制比較,實務守則在收集身分證副本方面制訂了較嚴格的限制,因為隨收集身分證副本而可能出現詐騙或其他濫用情況的危機更大。一般來說,這給予閣下更充分理由去質詢有關 資料使用者 為何要提供身分證副本。

 

實務守則規定資料使用者須在所保留的身分證影印本上加上「副本」的字眼 ,而該 字眼亦須橫跨整個身分證影像。唯一可能遇到的例外情況,是有關影印本將轉變為其他形式 ( 例如縮微膠片 ) ,在這情況下便不需要依從上述規定。

 

如閣下親身提供身分證影印本予資料使用者,可堅持對方於閣下面前在影印本上加上「副本」的字眼。

 

除法律另有規定或准許外,資料使用者應確保不會將身分證號碼及持證人的姓名一同公開展示。其中一個可能違反上述規定的常見情況,是在報章上刊登包括個人姓名及身分證號碼的告示 ( 例如宣布抽獎或比賽結果的告示 ) ,另一例子是在學校、辦公室或大廈大堂等地方的告示板,張貼載有個人姓名及身分證號碼的告示,其他例子,包括不小心地向後來的訪客披露了大廈訪客登記冊上所載的訪客姓名及身分證號碼。

 

當閣下遇到上述任何情況時,可要求有關機構 / 資料使用者停止展示或披露有關資料 ( 除非他們就所涉及的展示或披露情況作出合理解釋 ) 。如資料使用者無法提供合理解釋,便可能己違反了實務守則。

 

10. 別人可在甚麼情況下向我索取其他身分代號 (例如職員編號、護照號碼或病人編號)?

10. 別人可在甚麼情況下向我索取其他身分代號 (例如職員編號、護照號碼或病人編號)?

概括來說,實務守則中適用於身分證號碼的規定亦適用於其他身分代號。換言之,資料使用者通常只可在准許收集身分證號碼的情況下,並用准許收集身分證號碼的方法去收集其他身分代號,而在保留及使用方面,亦須遵守類似的規定。

 

但是,上述限制不適用於與編配身分代號者的職能及活動直接有關之目的而收集及使用其他身分代號。舉例,如僱主為每位員工編配了僱員編號,便可為了與僱主的職能或活動直接有關之目的而收集及使用該僱員編號,有關目的包括管理僱員紀錄及支付僱員薪金。

 

為他人編配身分代號的資料使用者,須採取所有合理和可行的步驟,以確保用以編配身分代號的系統有妥善的保安措施。該等步驟應包括採用必要的保安措施,以防止未獲授權人士將身分代號編配給任何人或製造任何文件 ( 例如製造印上虛假僱員編號的職員證 ) 。

 

12. 私隱專員公署之投訴個案簡述 ─ 某人向旅行社要求退回團費及相關費用。旅行社在處理有關手續時要求該人簽署收據及提供他的香港身分證副本。這是否屬過份收集個人資料?

12. 私隱專員公署之投訴個案簡述 ─ 某人向旅行社要求退回團費及相關費用。旅行社在處理有關手續時要求該人簽署收據及提供他的香港身分證副本。這是否屬過份收集個人資料?

請登入相關網頁參閱公署提供的答案。

 

招聘過程、人力資源管理及工作期間的私隱

IV. 招聘過程、人力資源管理及工作期間的私隱

由個人資料私隱專員公署發出的《人力資源管理實務守則》在2001年4月1日起生效,並於2016年4月被修訂。實務守則為資料使用者就僱傭事宜處理個人資料時 ( 例如進行招聘和管理現任及前任僱員的個人資料 ) ,提供實務性指引。任何違反實務守則的行為,可能會被用作與私隱條例有關的任何法律程序中之證據,以針對有關違規者。因此,受僱人士亦可從守則條文中,了解自己在個人資料保障方面的法律權利。

 

為上述題目提供更多資料,公署於2004年12月發出一份《保障個人資料私隱指引:僱主監察僱員工作活動須知》,並於2016年4月進行修訂。儘管該指引並無法律約束力,但它是根據私隱條例的六項保障資料原則所編製而成,所以極具參考價值。指引為僱主在使用下列方式去監察僱員之工作活動時,提供相關的建議步驟:

 

  • 電話監察(僱員發出及接收的電話及留言);
  • 電子郵件監察(僱員收發的電郵);
  • 互聯網監察( 僱員的網頁瀏覽活動);
  • 攝錄監察(利用攝錄機或閉路電視監察或記錄僱員的工作活動及行為)。

 

在家庭傭工方面,公署亦於2004年12月發出一份《保障個人資料私隱指引:僱主監察僱員工作活動須知(家傭僱主應注意的事項)》,並於2016年4月進行修訂,內容涉及以攝錄方式監察在住宅內工作之家庭傭工的活動。

 

僱主不得在取得僱員的同意前,向第三者披露僱員的僱傭資料,除非披露該等資料之目的與僱傭事宜直接有關,或是由法律或法定主管當局規定必須披露該等資料 ( 例如作評稅 / 課稅或刑事偵緝用途 ) 。

 

注意:

 

如有任何關於上述守則 / 指引的問題,請聯絡公署或諮詢律師。

 

1. 甚麼是「匿名」招聘廣告?《人力資源管理實務守則》是否適用於所有招聘廣告?

1. 甚麼是「匿名」招聘廣告?《人力資源管理實務守則》是否適用於所有招聘廣告?

「匿名」招聘廣告是指沒有說明僱主或僱主代理人 ( 職業介紹所 ) 的身分的招聘廣告。

 

實務守則只適用於直接要求求職者遞交個人資料的招聘廣告。根據守則的規定,僱主或代表僱主的職業介紹所不准刊登直接要求求職者遞交履歷或簡歷的 「匿名」 招聘廣告。若廣告並無直接要求求職者遞交個人資料,則有關廣告不受守則條文所規管。舉例,如廣告只要求求職者以書面索取職位申請表,或與僱主的代表聯絡,便不算是直接要求遞交個人資料。

 

另一方面,如僱主或職業介紹所清楚述明自己的身分 ( 即公司名稱 ) ,便可在招聘廣告中要求求職者遞交個人資料,只要有關資料就招聘目的而言屬足夠但不超乎實際需要,並且會使用於合法的用途。

 

2. 為何在招聘廣告中要求求職者遞交個人資料的僱主須表明身分?

2. 為何在招聘廣告中要求求職者遞交個人資料的僱主須表明身分?

如僱主不透露本身或受託職業介紹所的身分,便可能會被視為以不公平的方式收集個人資料,因而違反私隱條例的第一項保障資料原則。一般來說,在不透露身分的情況下收集他人的個人資料是不公平的。

 

此外,求職者亦有權查閱及改正他們所提供的個人資料(第六項保障資料原則) 。除非根據條例可免受查閱及改正資料的規定所管限,否則僱主須在收到查閱要求後40日內提供有關資料的副本。求職者如不知道收集他們的個人資料的機構之身分,便無法行使這項查閱資料權利。

 

3. 如僱主只在招聘廣告中刊登公司的電郵地址、電話號碼或傳真號碼作為識辨僱主身分的資料,他們可否在此情況下直接要求求職者提供個人資料?

3. 如僱主只在招聘廣告中刊登公司的電郵地址、電話號碼或傳真號碼作為識辨僱主身分的資料,他們可否在此情況下直接要求求職者提供個人資料?

不可以。單是公司的電郵地址、電話號碼或傳真號碼,一般不能視作足以識辨僱主的身分。如僱主不欲披露自己的身分,可選擇在招聘廣告中提供電話號碼,並註明求職者可在提供個人資料前作進一步查詢。

 

4. 有些僱主只在招聘廣告中列出了他們的傳真號碼、郵寄地址或電郵地址,但卻沒有明確要求求職者提供個人資料。實務守則是否容許這種做法?

4. 有些僱主只在招聘廣告中列出了他們的傳真號碼、郵寄地址或電郵地址,但卻沒有明確要求求職者提供個人資料。實務守則是否容許這種做法?

不容許。如僱主只在招聘廣告中列出傳真號碼、郵寄地址或電郵地址,此舉可視為要求求職者提供個人資料。根據守則的規定,僱主是不可以這樣做。

 

5. 僱主是否需要在招聘廣告中作出通知,列明求職者所提供的個人資料的用途?

5. 僱主是否需要在招聘廣告中作出通知,列明求職者所提供的個人資料的用途?

如僱主透過招聘廣告直接要求求職者提供個人資料,便須刊登一段聲明表明資料的用途,而該聲明需作為廣告不可缺少的一部分。以下是這項聲明的例子: “所收集的個人資料只作招聘用途” 

 

另一選擇,是刊登一段內容如下的收集個人資料聲明: “在使用求職者所提供的個人資料時,僱主會嚴格遵守其個人資料政策的規定,並在收到要求後,會隨即提供一份有關政策的副本。” 在此情況下,廣告應載有僱主的聯絡資料。如欲就招聘事宜取得僱主之個人資料政策 / 收集個人資料聲明的參考樣本,請參閱個人資料私隱專員公署發出的《僱主及人力資源管理者指引》的附錄。

 

6. 僱主可否向應徵者查詢他們有無刑事紀錄/案底?

6. 僱主可否向應徵者查詢他們有無刑事紀錄/案底?

第一項保障資料原則訂明只可收集有關目的所需的個人資料。此外,上述原則亦規定,所收集的資料屬足夠即可,不應超乎有關目的之實際需要。

 

在人力資源管理的用途上,並沒有硬性規定甚麼資料是必需要的,這主要視乎個別情況而定。某些職位可能需要應徵者申報他們是否有刑事紀錄 ( 例如有關職責包括保管貴重物品或掌管庫房 ) 。在決定是否需要收集某項資料之前,資料使用者應小心考慮若不收集該項資料,是否仍可以滿足到原本收集資料之目的。

 

與案底有關的更多資料列於另一題目 ─ 警察及罪案

 

8. 僱主可否收集求職者的身分證副本? 僱主可保留落選者的個人資料多久?

8. 僱主可否收集求職者的身分證副本? 僱主可保留落選者的個人資料多久?

一般而言,僱主在招聘過程中不可收集求職者的身分證副本,除非有關求職者已接受聘約。

 

考慮到落選者可能提出與歧視有關的指控或投訴,僱主可保留落選者的個人資料不超過兩年 ( 由求職者落選的日期起計 ) ,之後則必須銷毀有關資料。但僱主如有具體理由 必需要 保留該等資料一段較長期間 ( 例如為履行某些法律責任 ) ,或已取得求職者同意,則可保留該等資料超過兩年。

 

9. 在甚麼情況下,持有個人資料的僱主可不受私隱條例或保障資料原則所規限?

9. 在甚麼情況下,持有個人資料的僱主可不受私隱條例或保障資料原則所規限?

私隱條例第535556條訂明,如個人資料作下列用途,便可得到豁免而不需要受到查閱資料要求(第六項保障資料原則) 的條文所規限:

 

  • 與職工策劃有關的個人資料 ;
  • 在進行某些工作能力評核 (包括招聘或晉升)過程中取得的個人資料,而有關評核仍未有決定及針對該等決定提出上訴是容許的 ;
  • 填補某職位前所需取得的個人評介,直至已填補該職位為止。

請注意,上述豁免權是酌情性但非強制性的。換句話說,即使僱員要求查閱的個人資料屬上述豁免項目,僱主仍可選擇不引用豁免權而向僱員提供有關資料。

 

10. 僱主可以保存已離職僱員的個人資料多久?

10. 僱主可以保存已離職僱員的個人資料多久?

第二項保障資料原則訂明個人資料的保留時期,不得超過履行資料使用目的 (或與其直接有關之目的 ) 之實際需要。至於可否將有關資料長時間保留,便要視乎在收集資料時定下之目的是否經已履行了,或是否為公眾利益而必須保留有關資料 ( 私隱條例第26條) 。

 

實務守則規定 僱主可保留前僱員的個人資料不超過 7 年,由前僱員離職當日起計。但如僱主在履行合約上或法律上的責任而需要該等資料,或前僱員已自願給予同意該等資料可被保留一段較長期間,則屬例外。

 

12. 僱員是否有權向僱主索取有關自己的個人資料(包括工作評核報告)的副本?

12. 僱員是否有權向僱主索取有關自己的個人資料(包括工作評核報告)的副本?

第六項保障資料原則訂明個別人士有權去確定資料使用者是否持有他/她的個人資料,並可要求查閱該等資料。不過,如第9條問答所述,私隱條例亦訂明與僱傭事宜有關的個人資料 (例如用於職工策劃或工作能力評核的資料),免受查閱規定所管限。換句話說,僱員未必有權取得其工作評核報告的副本。但是問答9亦有提及,上述豁免權是酌情性但非強制性的,僱主仍可選擇依從查閱個人資料要求而向僱員發放有關資料。

 

13. 在與僱傭事宜有關的個人資料方面,誰人應負起違反私隱條例的責任?是僱主抑或是人力資源經理?

13. 在與僱傭事宜有關的個人資料方面,誰人應負起違反私隱條例的責任?是僱主抑或是人力資源經理?

這要視乎違例事項而定。私隱條例第64條列出多項罪行,而有些罪行是「人」可能觸犯的 ( 在法律上「人」可以是機構或個別人士 ) 。根據《刑事訴訟程序條例》,如公司犯法(在私隱條例中公司可以是「人」或「資料使用者」),並可以証明有關罪行是經公司董事或其他管理人員所「同意或默許」的,則有關董事或管理人員須個人為該等罪行負責。有鑑於此,在與僱傭事宜有關的個人資料方面,僱主及人力資源經理兩者均可能要對違例事項負責。

 

而實際上,如人力資源經理是按照僱主的指示辦事,則個人資料私隱專員公署一般只會向僱主採取行動,要求他們依從私隱條例的規定。另一方面,如僱主已採取所有切實可行的措施,以確保公司依從條例的規定,但人力資源經理卻不按照公司的政策及既定方針辦事,並因此而違反條例,公署便可能會向該人力資源經理採取法律行動。

 

15. 僱主在採取僱員監察措施之前(例如進行電話、攝錄、電郵或互聯網監察),需要先考慮甚麼事情? 僱主可否向僱員進行隱蔽式/秘密監察?

15. 僱主在採取僱員監察措施之前(例如進行電話、攝錄、電郵或互聯網監察),需要先考慮甚麼事情? 僱主可否向僱員進行隱蔽式/秘密監察?

僱主應考慮是否尚有其他可行方法,藉以減低監察活動所造成的不良影響。舉例,可否採用選擇性或抽樣檢查方式而不是連續地進行監察 ? 可否局限於高風險的範圍內執行 ? 如使用閉路電視, 攝錄範圍可否選定於某些地方而非全公司的所有地方 ?

 

在一般情況下 ,僱員監察應以公開形式進行,除非有特殊的理據支持 ( 例如有合理原因懷疑某些員工將會或已經在進行非法活動 ) ,否則不應進行 隱蔽式監察 (例如使用針孔攝錄機 ) 。

 

僱主如須監察僱員的工作活動,便要為有關監察措施承擔責任,及避免在進行監察時作出不當行為 。舉例,僱主應為僱員設立投訴機制,以保障他們的合理私隱權利。

 

16. 在開始進行上述之僱員監察活動前,僱主應否通知僱員? 僱主應如何處理收集得來的資料?

16. 在開始進行上述之僱員監察活動前,僱主應否通知僱員? 僱主應如何處理收集得來的資料?

僱主應通知僱員有關任何的監察活動。最佳做法是擬備一份周全的書面私隱政策/僱員監察政策,並在監察活動開始前將這份政策分發給所有僱員。根據個人資料私隱專員公署的建議,這份政策應明確地指出下列事項 :

 

  • 藉僱員監察希望達到之業務目的 ;
  • 可能進行監察的情況及可能用以進行監察的方式 ;
  • 監察過程中可能收集的個人資料類別 ;
  • 有關個人資料的用途。

有關這類私隱政策聲明的例子,可參考由公署發出之《保障個人資料私隱指引:僱主監察僱員工作活動須知》的附錄一,當中載有關於電郵監察的私隱政策聲明樣本 。

 

除非 僱主經已取得僱員的明確及自願給予的同意 ,或根據法律下有適用的豁免情況,否則收集得到的個人資料只能用於僱員監察政策訂明的用途 (或與其直接有關的用途)。

 

有關個人資料的保存時間,不應超過使用該等資料而達到原定目的之實際所需。例如,閉路電視錄影帶所記錄的資料應按既定安排而定期清洗,並只能在特殊情況下 ( 如資料會作為法律程序或紀律聆訊中之證據 ),才可延長保存時間。

 

僱主亦應採取適當的資料保安措施。舉例,閉路電視錄影帶應存放在限制出入區域裡的保管設施內。

 

17. 我可否在家中安裝攝錄機以監察家庭傭工的活動?

17. 我可否在家中安裝攝錄機以監察家庭傭工的活動?

個人資料私隱專員公署於2004年12月發出、並於2015年10月修訂一份《保障個人資料私隱指引:僱主監察僱員工作活動須知(家傭僱主應注意的事項)》,以下提供該指引之撮要作參考用途 。

 

一般而言,在家中使用攝錄機監察家傭的活動會侵犯他們的私隱。在決定進行攝錄監察前,僱主必須慎重考慮是否有必要進行這類監察,和是否尚有其他可行方法。如公署收到投訴,便可能會要求被投訴的僱主作出解釋及證明是否有初步證據或合理懷疑進行攝錄監察。

 

如閣下決定在家中採用攝錄監察,便要注意下列三點:監察活動的合理性、監察活動的公開性,以及錄影紀錄的使用和保留 。

 

a) 監察活動的合理性

 

除非有特殊情況支持進行隱蔽式 / 秘密 監察 ( 例如使用針孔攝錄機 ) ,否則 僱主應以公開的方式進行監察 。如出現下述情況 ,便可能有理由進行隱蔽式 監察 :

 

  • 有合理理由懷疑小孩或老年人受到 ( 或可能受到 ) 虐待或忽視,例如他們身上出現無故的傷痕,或發現家傭有異常行為 ;
  • 這些懷疑的虐待行為很可能在家中發生 ; 及
  • 除隱蔽式監察外,並無其他可行方法取得虐待行為的證據 。

但請注意,僱主不可使用攝錄機 ( 不論是否隱蔽式 ) 拍攝家傭在工作後休息的私人空間之活動 。

 

b) 監察活動的公開性

 

僱主必須將屋內裝設的任何攝錄監察系統通知家傭 ,只有在非常例外的情況下 ( 例如有合理懷疑發生虐待行為而須搜集證據 ) ,才可不通知家傭。公署建議僱主應向家傭發出書面通知。

 

僱主亦要注意,給予上述通知在法律上並無賦予僱主在所有情況下均可監察僱員的權利,他們亦不能因此而可免遵守在私隱條例下關於六項保障資料原則的責任。

 

c) 錄影紀錄的使用和保留

 

僱主須確保透過攝錄監察所收集的家傭個人資料,只會使用於早前通知家傭時所述明之目的 ( 或直接有關之目的 ) ,但法律另有准許的除外。

 

公署建議載有家傭個人資料的錄影紀錄不應保留超過 7 日。不過,如須使用有關資料作舉證用途 ( 如協助公署或警方作調查之用 ) ,則可保留一段較長時間。

 

在互聯網上的私隱

V. 在互聯網上的私隱

有人認為網上私隱主要關乎資訊科技問題而並非法律問題,但實際上兩者皆有關連。以下的問答內容是參考個人資料私隱專員公署發出的《保障網上私隱須知 ─ 互聯網個人用戶指引》所編製而成。

 

針對發展迅速的各種互聯網應用和服務,公署網站提供了相應的單張:

 

 

1. 閣下有否向互聯網服務供應商查詢其使用「用戶瀏覽紀錄」(clicktrails) 的政策﹖

1. 閣下有否向互聯網服務供應商查詢其使用「用戶瀏覽紀錄」(clicktrails) 的政策﹖

閣下可向有關互聯網服務供應商查詢,以了解他們會如何使用閣下的「用戶瀏覽紀錄」資料。互聯網服務供應商可藉著查閱其伺服器的電腦紀錄檔案,從而得悉閣下曾到訪的網頁,這些資料稱為「用戶瀏覽紀錄」,一般只作系統保養及故障檢修方面的用途。供應商不得在未經閣下的同意下使用這些資料作其他用途,例如作市場調查用途 (第三項保障資料原則)。

 

2. 對方是否要求閣下在網上提交個人資料?

2. 對方是否要求閣下在網上提交個人資料?

如要透過網上表格或電子郵件傳送個人資料,應於按下「呈交」或「傳送」按鈕前採取以下行動:

 

查看有關網站的背景資料。一些網站可能會虛報電郵地址,所以閣下應瀏覽「公司簡介」或「關於我們」(About the Organization)那頁,以查看其背景資料,例如名稱、公司地址及聯絡電話/傳真號碼。如機構沒有提供其背景資料,便可能會被視為用不公平的手法去收集個人資料 (即可能已違反第一項保障資料原則)。

 

查看有關網站的私隱政策告示。向對方提供個人資料前,較安全的做法是先了解對方將會如何處理這些資料。私隱條例規定所有在香港的機構均須公開其處理個人資料的政策及方法(第五項保障資料原則)。

 

在網 站 內尋找「收集個人資料聲明」之告示。網 站會以 這段告示來告知閣下 :

 

  1. 有關個人資料會作甚麼用途 ;
  2. 資料可能會被轉交給哪些人士 ;
  3. 閣下可要求取得資料副本及更正資料的權利 ; 及
  4. 如要尋求上述服務時應聯絡哪位人士。

根據條例規定,香港的機構在收集個人資料時或收集資料之前,必須提供以上資料。

 

3. 有否設定瀏覽器在接受「曲奇」(cookies)檔案前先徵求閣下的同意?

3. 有否設定瀏覽器在接受「曲奇」(cookies)檔案前先徵求閣下的同意?

「曲奇」是閣下每次瀏覽某一網頁時可能會儲進電腦的小檔案。在登入一個網站時,該網站的伺服器可能會向閣下的互聯網瀏覽器索取獨立的記認號碼,如閣下的瀏覽器沒有記認號碼,該伺服器便會傳送一個號碼至閣下的電腦,這就是「傳送曲奇」的程序。有時當閣下登入一個網站時,可能會被要求填寫網上表格,用以收集閣下的姓名和個人興趣等資料,而這些資料亦可能會儲存在曲奇內,該網站的負責人便可利用曲奇去錄取閣下的行為及興趣。

 

為提高瀏覽器的保安程度,閣下可考慮在瀏覽器的功能選項上設定,每當曲奇出現時,電腦系統均需徵求閣下的同意才可接收曲奇檔案。另一方法是使用「無名氏曲奇」軟件,該軟件通常可在互聯網上用「曲奇」 (cookies) 一詞便可搜尋到,其用途是避免閣下的電腦儲存任何曲奇檔案,或避免他人取閱閣下的曲奇檔案,從而減低被侵犯私隱的機會。

 

4. 閣下對於促銷電郵感到厭煩嗎?

4. 閣下對於促銷電郵感到厭煩嗎?

根據私隱條例第35E條,資料使用者只可以在獲得閣下的同意後 (可包括表示不反對) ,將閣下的個人資料用於直接促銷。第35G條賦予閣下一般權利,隨時要求資料使用者停止在直接促銷將中使用閣下的個人資料,例如停止再傳送促銷電郵。

 

閣下亦可採取預防措施,以免收到自來的宣傳電郵。為減低自己成為促銷對象的機會,閣下應該避免申請免費電郵服務或電郵目錄服務。如採用載有「簽署檔案」 (signature file) (*註) 的電子郵件,該檔案不應載有無關重要的個人資料,以免被直銷商取得有關資料而令閣下成為促銷對象。

 

(* 註 : 簽署檔案是可以自動附設於電郵內容末端的細小文字檔案,可包含傳送者的姓名、職銜、公司名、電話或傳真號碼等。)

 

關於直接促銷涉及的私隱問題的更多資料,請往第VI部

 

直接促銷涉及的私隱問題

VI. 直接促銷涉及的私隱問題

針對將個人資料用於直接促銷的行為,,2012年修訂條例引入了新的規管制度。新制度由2013年4月1日起生效,加強對個人的保障。如果資料使用者擬將某資料當事人的個人資料用於直接促銷、或將資料提供予他人用於直接促銷,必須告知該資料當事人若干訂明資訊,並獲得其同意。

 

根據私隱條例第35A條,「直接促銷」(就個人資料私隱而言)是指透過直接促銷方法—

 

  • 要約提供貨品、設施或服務,或為貨品、設施或服務進行廣告宣傳;或
  • 為慈善、文化、公益、康體、政治或其他目的索求捐贈或貢獻。

而直接促銷方法是指:

 

  • 郵件、圖文傳真、電子郵件或其他類似形式的傳播方式,向特定人士發放資訊或貨品;或
  • 致電特定人士。

 

個人資料私隱專員公署(以下簡稱「公署」)在2023年4月發出了直接促銷指引,而該指引由條例6A部的實施日期(即2013年4月1日)同日起生效。

 

A. 資料使用者將個人資料用於本身的直接促銷活動

A. 資料使用者將個人資料用於本身的直接促銷活動

根據私隱條例第35C條,在將個人資料用於直接促銷之前,資料使用者必須採取以下措施:

 

  • 資料使用者必須告知資料當事人有意使用其個人資料作直接促銷,除非得到該當事人同意,否則不應使用有關資料。
  • 資料使用者須向資料當事人提供資訊,表明打算使用其個人資料作甚麼用途,包括計劃使用哪種個人資料,及計劃將個人資料用於哪類促銷目標。
  • 資料使用者必須向資料當事人提供免費途徑,讓當事人可傳達其同意資料被使用的訊息。
  • 為協助資料當事人作出有根據的選擇,資料使用者提供的資訊必須簡單易明,如屬書面資訊,則亦須容易理解。

此外,根據第35F條,如果資料使用者首次將個人資料用於直接促銷,須告知資料當事人有權拒絕直接促銷活動,而資料使用者必須在當事人表明拒絕後,停止使用有關資料作直接促銷,亦不能收取當事人任何費用。

 

資料使用者只有在收到資料當事人的同意後,方可將個人資料用於直接促銷。此處的同意包括不反對該項使用或提供其個人資料(第35A(1)條)。如果資料當事人以口頭方式表示同意,資料使用者須在收到該口頭同意起計的14日內,向當事人發出書面通知,確認當事人同意使用何種個人資料及用於何種促銷目標。(第35E條)。

 

資料使用者須隨時應資料當事人要求,停止在直接促銷中使用該當事人的個人資料,而不收取任何費用(第35G條)。

 

任何資料使用者違反上述任何條文要求,均屬犯罪。每項罪行最高刑罰是罰款500,000元及監禁3年。

 

與新制度的「選擇加入」性質相反,舊有制度只容許有限度的「拒絕加入」選擇,意思是,在舊制度下,資料使用者首次將個人資料用於直接促銷時,須告知資料當事人,該當事人有權要求停止將其個人資料用於直銷。如果該當事人提出此要求,資料使用者必須停止使用該等資料;但如果該當事人並未提出要求,資料使用者便可使用其資料而毋須作進一步通知。需要注意的是,在私隱條例第35D條之下,對於在2012年修訂條例生效前已用於直接促銷的個人資料,舊制度仍然適用。換言之,如果在2013年4月1日前,資料使用者已在遵守當時的私隱條例要求的情況下將個人資料用於直接促銷,那麼在2013年4月1日後,該使用者仍可繼續使用該等資料於同等類別的促銷目標,而毋須履行新制度訂立的義務。

 

B. 資料使用者將個人資料提供予第三者作直接促銷

B. 資料使用者將個人資料提供予第三者作直接促銷

條例除了規管資料使用者使用個人資料作直接促銷之外,還針對向第三者提供個人資料作直接促銷的行為,實施更嚴格的規管,當中包括向第三者出售個人資料。

 

如果資料使用者擬提供個人資料予第三者作直接促銷之用,須依循A部分列出的類似措施行事。此外,資料使用者還須告知資料當事人與該等資料用途有關的兩項資訊(第35J條):

 

  • 該資料是否用以圖利;及
  • 該資料擬提供予甚麼類別的人士。

通知資料當事人的方式及資料當事人的回覆,均必須以書面方式進行。此外,除非資料使用者收到資料當事人的書面同意,否則不得將其個人資料提供予第三者。(第35K條


無論資料當事人曾否在較早前同意將其個人資料提供予第三者,資料當事人可以在任何時候,要求資料使用者:

 

  • 停止將該當事人的個人資料提供予第三者作直接促銷用途;及
  • 通知獲得資料的第三者,停止在直接促銷中使用該資料。

資料使用者收到上述指示後,必須依從,並且不得收取資料當事人任何費用。資料使用者向第三者發出的通知必須為書面通知。第三者收到資料使用者通知後,必須按照該通知,停止在直接促銷中使用有關個人資料。(第35L條

 

違反有關提供個人資料予第三者作直接傳銷之用的規定,即屬犯罪。如違反行為涉及提供個人資料圖利(包括出售個人資料),最高刑罰是罰款1,000,000元及監禁5年。其他違反行為的最高刑罰是罰款500,000元及監禁3年。

 

資料使用者直接促銷中使用個人資料的行為之規管方式,與提供個人資料予第三者作直接促銷之規管方式略有不同。前者在新制度實施後,部分情況下仍可沿用舊有制度。提供個人資料予第三者作直接促銷的話,無論是否在2013年4月1日之前或之後發生,均必須遵從私隱條例之要求。

 

關於促銷電話(註)的問題,資料使用機構之職員在致電時應講出類似下列內容的字句:「在未獲得閣下同意之前,我們無權使用您的個人資料作促銷之用。如閣下在任何時候不想再接到我們的促銷電話,請告知我。我們不會再打電話給您。」如資料使用者沒有告知資料當事人有拒絕服務的選擇權,或者沒有告知當事人第35C35F條所規定的其他資訊下,當事人可向個人資料私隱專員公署投訴。

 

(註:利用電話促銷 (cold-calling) 開發新客戶是一種業務促銷手法,致電者與準客戶事前並無交往。)

 

公署已製作了宣傳單張,介紹在私隱條例下,市民如何行使權利拒絕直接促銷。

 

1. 私隱專員公署之投訴個案簡述 ─ 儘管一名業主不斷作出拒絕,但地產代理仍繼續利用該業主的住宅電話及手提電話號碼聯絡她,力圖勸她透過該地產代理公司出售她的物業。這是否違反了私隱條例第35G條?

1. 私隱專員公署之投訴個案簡述 ─ 儘管一名業主不斷作出拒絕,但地產代理仍繼續利用該業主的住宅電話及手提電話號碼聯絡她,力圖勸她透過該地產代理公司出售她的物業。這是否違反了私隱條例第35G條?

請登入相關網頁參閱公署提供的答案。

 

2. 私隱專員公署之投訴個案簡述 ─ 一名區議員的辦事處使用曾向該議員尋求協助的市民之聯繫方式,向其撥打選舉宣傳的電話。這是否屬於在政治性促銷中不當使用個人資料?

2. 私隱專員公署之投訴個案簡述 ─ 一名區議員的辦事處使用曾向該議員尋求協助的市民之聯繫方式,向其撥打選舉宣傳的電話。這是否屬於在政治性促銷中不當使用個人資料?

請登入相關網頁參閱公署提供的答案。

 

投訴、懲罰及法律協助

VIII. 投訴、懲罰及法律協助

在收到有關違反《個人資料(私隱)條例》的投訴後,個人資料私隱專員公署之職員會首先作出初步查詢,以確定該投訴是否有充分理據。進行初步查詢後,公署職員會將初步意見告知投訴人,並要求被投訴者採取糾正措施以解決投訴事項。

 

如無法透過調解去解決爭端,公署職員可能會作出正式調查。當然,如投訴個案中涉嫌違例事項的性質嚴重,公署職員亦可立即進行正式調查而不進行初步查詢。如調查證實有關資料使用者確有違反私隱條例,私隱專員會向資料使用者發出執行通知,指令其採取必要的補救措施。不依從執行通知的資料使用者即屬違法,可被判處罰款及監禁。私隱專員還可進行起訴。根據私隱條例,準備提出檢控所需資料的時間,由該罪行發生當日後起計6個月內延長至2年內。

 

若個別資料當事人因為資料使用者違反私隱條例而蒙受損害 (包括情感方面的損害),受害人有權循民事訴訟向該資料使用者索償。根據條例,私隱專員可向受害人提供法律協助。

 

A.處理投訴政策及投訴程序

 

如資料使用者沒有遵照私隱條例去處理個人資料,相關的資料當事人須先向該資料使用者提出投訴。

 

如資料使用者未能作出滿意之回覆,而資料當事人決定向公署提出投訴,投訴人應先了解更多關於公署的處理投訴政策才採取行動。欲知有關詳情,請登入公署有關處理投訴政策的網頁或致電 28272827 。

 

公署網頁提供了投訴程序,並附有處理投訴程序圖。請注意,投訴限期為投訴人已實際知悉該侵犯私隱行為的兩年之內 。話雖如此,任何投訴應盡早提出。

 

有關涉嫌違反條例第64條的「起底」個案,公署會就個案作出初步審查。如個案涉及任何違反條例第64(3C)條的第二級罪行,案件將轉介予警方跟進,並交由律政司考慮提出檢控。至於其他涉嫌違反條例第64(1)條或第64(3A)條的第一級罪行的個案,專員可就上述罪行進行條例第66C條所訂明的調查。專員可以其名義就上述相關罪行循簡易程序提出檢控。在完成該調查後,專員會將該項調查的結果告知投訴人。

 

B. 執行通知與處罰

 

根據私隱條例第50條,私隱專員送達執行通知的權力有所擴大。如果私隱專員發現有違反條例規定的行為,不論該項違反行為是否會持續或重複發生,專員可向有關的資料使用者發出執行通知,指明須採取甚麼步驟以糾正該項違反行為。


任何資料使用者如不遵從執行通知,即屬犯罪,首次定罪可被判處第5級罰款(目前為50,000元)及監禁2年。條例對再次或屢次違反執行通知的資料使用者,處以較重刑罰,刑罰為第6級罰款(目前為100,000元)及監禁2年,如屬持續罪行,可處每日罰款$2000。(第50A(1)條


如資料使用者在特定時間內遵從某執行通知,但其後故意重犯同樣的違規行為,一經定罪,可處第5級罰款(目前為50,000元)及監禁2年,如屬持續罪行,可處每日罰款$1000。(第50A(3)條


有關私隱條例規定的其他罪行,請參閱第64條

 

C. 法律協助

 

若資料當事人因為資料使用者違反私隱條例的規定而蒙受損害,有權循民事訴訟向該資料使用者索償,即在法庭上起訴該資料使用者(第66條)。但是,資料當事人在進行訴訟中可能會遇到困難,因為案情有時頗為複雜,訟費及開支亦往往非常昂貴。有鑑於此,私隱條例第66B條授權私隱專員向有意索償的受屈當事人提供法律協助。


私隱專員可以決定提供何種法律協助最為合適,當中包括但不限於:

 

  • 提供法律意見;
  • 調解;
  • 安排律師提供意見或協助;
  • 在初步法律程序或附帶程序中、或在達致或執行和解以避免或結束法律程序中,安排為受助人出庭的法律代表,包括通常提供此類協助的律師。

 

該等協助可由私隱專員公署的法律人員或公署外聘的律師提供。公署的法律人員會在不受他人影響下,獨立地向受助人提供意見。


公署通常會負擔提供法律協助的訟費。如果受助人通過法律程序或其他和解方式成功索償,及討回申索相關的訟費及開支,公署將享有第一押記(即受助人所獲的款項會首先用以支付公署的訟費及開支)。


在提出申請法律協助之前,資料當事人一般須先向公署投訴相關資料使用者。當事人應遵從上述有關投訴程序的要求,向公署提供所有資料。在公署對個案下結論後,當事人可提出申請法律協助。所有申請須以公署的申請表格提出。


如私隱專員認為合適,可批准給予法律協助。專員在行使酌情權批准法律協助申請時,會考慮一系列因素,尤其包括: 

 

  • 有關個案是否帶出原則性問題;或

 

  • 在考慮到案件的複雜性,以及考慮申請人面對答辯人、其他涉及人士或任何其他事宜時的立場,如果期望申請人在沒有協助下處理有關個案,是否不合理。

 

私隱專員在「根據《個人資料(私隱)條例》提出民事申索的法律協助」的單張中,私隱專員羅列了他可能會加以考慮的各種因素。


一般而言,申請人在提交申請法律協助的所有相關資料後的3個月內,會被告知申請結果。若私隱專員決定提供協助,會要求申請人簽署協議,協議內裡列明公署提供協助的條款及細則。若專員拒絕申請,會以書面通知申請人,並解釋理由。


公署在提供法律援助的任何階段,均有酌情權複檢其給予協助的決定,並決定終止提供協助。上述單張說明了法律協助可被終止的各種情形,尤其包括申請人刻意向私隱專員提供虛假或誤導性資料。

 

若私隱專員決定拒絕或終止給予法律協助,私隱條例並未授予申請人上訴的權利。但是,如果情況出現重大改變,在收到申請人的書面要求後,私隱專員可行使酌情權,決定複檢其拒絕或終止給予法律協助的決定。專員的複檢決定是最終決定。

 

7. 在一份公司職位申請表中,有一欄要求應徵者填報配偶/子女的職業。收集這些資料之目的,是要確定應徵者的親屬是否為公司的競爭對手工作。這可否接受?

7. 在一份公司職位申請表中,有一欄要求應徵者填報配偶/子女的職業。收集這些資料之目的,是要確定應徵者的親屬是否為公司的競爭對手工作。這可否接受?

要視乎所收集的資料,是否為貫徹上述目的所確實需要的資料。為確定應徵者的親屬是否為競爭對手工作,僱主只需詢問他們是否有親屬在同一行業或類似行業工作。如是的話,僱主可再詢問一些問題,以確定有關情況是否值得關注。如不是,則僱主無需要知道應徵者的親屬之實際職業,故不應收集這些資料。

 

A. 兩級制的「起底」罪行

A. 兩級制的「起底」罪行

1. 甚麼是第一級罪行?

 

根據條例第64(3A)條,任何人在未獲資料當事人的相關同意下披露該當事人的個人資料,而且:

 

  • 他/她意圖導致該當事人或其任何家人蒙受任何指明傷害;或

 

  • 他/她罔顧是否會 (或相當可能會) 導致該當事人或其任何家人蒙受任何指明傷害,

 

即屬犯罪。

 

2. 甚麼是第二級罪行?

 

條例第64(3C)條訂明了第二級罪行。在滿足第一級罪行的條件的前提下,若該項披露實質上導致資料當事人或其任何家人蒙受任何指明傷害,則該人干犯了第二級罪行。

 

3. 甚麼是「指明傷害」?

 

在條例第64(6)條中,「指明傷害」的定義共包含四個類別:

 

          (a) 對該人的滋擾、騷擾、纏擾、威脅或恐嚇

 

例子:當資料當事人(“A”)表示其個人及家人的個人資料被網民廣泛披露,令他終日收到大量的滋擾電話及短訊,並感到極大的心理壓力及滋擾。

 

(b) 對該人的身體傷害或心理傷害

 

在確定任何披露是否構成此類別的指明傷害時,法院通常會考慮由醫生就資料當事人的身體或精神狀況所作出評估的醫療報告,作為資料當事人所蒙受的身體或心理傷害之證明。

 

一般而言,「心理傷害」的舉證門檻較高,並需要依賴專家證據來證明有關披露對受害人的心理造成了「傷害」。

 

例子:起底者在網上公開A在學子女的個人資料,並提議多種欺凌及杯葛他們的方法,包括用麻包袋接放學等,令A蒙受心理傷害。

 

(c) 導致該人合理地擔心其安全或福祉的傷害

 

例子:有網民在網上討論區公開A的婚宴日期及地點,並呼籲網民前往「祝賀」,令A擔心網民被煽動到其婚宴現場搗亂。

 

(d) 該人的財產受損

 

例如:A的個人資料(包括其車牌號碼及登記資料)被上載至社交平台,並令其車輛遭受惡意毀壞,而A需承擔維修費用。

 

私隱專員在處理有關「起底」的投訴期間,當考慮相關情況是否屬於「指明傷害」時,私隱專員將考慮案件的相關實際情況,當中的考慮因素包括但不限於:

 

  • 有關訊息的內容;

 

  • 表達方式 ;

 

  • 有關訊息的背景 ;

 

  • 有關訊息的發布方式 ;

 

  • 有關訊息的轉載程度 ;

 

  • 有關訊息的真確性;及

 

  • 受害人及其家人的特質 。

 

有關條文就個別個案的適用性和解釋,最終將由香港法院作出裁決。

 

4. 「起底」罪行有免責辯護嗎?

 

「起底」罪行的免責辯護詳列於條例的第64(4)條,即:

 

  1. 該人合理地相信,有關披露對防止或偵測罪行屬必要;

 

  1. 任何成文法則、法律規則或法院命令規定作出或授權作出有關披露,或根據任何成文法則而規定作出或授權作出有關披露;

 

  1. 該人的相關披露是在獲得有關資料當事人的相關同意下作出的;或

 

  1. 純粹為合法的,並屬條例第61(3)條所界定的「新聞活動」(或與之直接相關的活動),而披露有關個人資料;及有合理理由相信,發表或播放該個人資料,是符合公眾利益的。

 

5. 「起底」罪行的最高刑罰是甚麼?

 

基於條例第64(3A)條的第一級罪行,一經循簡易程序定罪,最高可處罰款100,000元及監禁2年(第64(3B)條)。

 

在條例第64(3C)條中的第二級罪行,一經循公訴程序定罪,最高可處罰款1,000,000元及監禁5年(第64(3D)條)。

 

1. 我的朋友在通訊平台上與他分享我的香港身份證副本及其他個人資料,他有否干犯任何罪行?

1. 我的朋友在通訊平台上與他分享我的香港身份證副本及其他個人資料,他有否干犯任何罪行?

假如閣下沒有自願向該朋友給予任何明示同意讓他披露閣下的個人資料,該朋友有機會干犯了64(3A)條中的罪行,但前提是閣下的朋友在作出相關的披露時:

 

  1. 意圖或罔顧是否會(或相當可能會)導致閣下或閣下的任何家人蒙受任何指明傷害(例如滋擾、騷擾、纏擾、威脅、恐嚇或心理傷害);及
  2. 沒有任何免責辯護適用於閣下的朋友。

 

若除了以上元素,閣下的朋友就閣下的個人資料所作出的披露實質上導致閣下或閣下的任何家人蒙受指明傷害,該朋友則有機會干犯了64(3C)條中的罪行。

 

2. 與我有爭拗的商業合作夥伴在社交平台上披露了我的個人資料,並附有一些負面評論,他有否干犯罪行?

2. 與我有爭拗的商業合作夥伴在社交平台上披露了我的個人資料,並附有一些負面評論,他有否干犯罪行?

他/她可能干犯了罪行。在一宗類似的香港法庭案件中,被告與受害者在網上買賣活動發生金錢糾紛,因此在社交媒體平台上發文,聲稱受害者騙財,並同時披露了受害者與其丈夫的個人資料。被告最終被法庭裁定她違反條例第64(3A)條中的第一級「起底」罪行的罪名成立。法庭判處被告監禁兩個月,緩刑兩年。

 

1. 要求提供材料及協助的權力

1. 要求提供材料及協助的權力

根據條例的第66D條,如私隱專員合理地懷疑任何人管有或控制與調查「起底」有關罪行相關的文件、資訊或物品(下稱「材料」),或有能力就該項調查協助私隱專員,便可向該人發出書面通知,要求該人向私隱專員提供有關的材料及回答相關問題,以協助私隱專員進行此等調查。

 

私隱專員的書面通知可列明,例如,所要求的材料的類型(例如手提電話及電腦),以及須於何時、何地、以甚麼方式及形式提供該材料。私隱專員亦可在通知中要求任何人回答與調查有關的書面問題或在指明的時間和地點面見私隱專員,及/或就與調查有關的事宜作出陳述。

 

根據條例的第66E(1)條,任何人沒有遵從書面通知的要求,即屬犯罪。一經循簡易程序定罪,違例者可被判處罰款50,000元及監禁6個月。而一經循公訴程序定罪,違例者可被判處罰款200,000元及監禁1年。

 

此外,根據條例的第66E(5)條,任何人出於詐騙意圖:

 

  • 沒有遵從書面通知;或

 

  • 在充作遵從書面通知時,提供在要項上屬虛假及具誤導性的材料、答覆、指示、解釋、詳情或陳述,

 

即屬犯罪。一經循簡易程序定罪,違例者可被判處罰款100,000元及監禁6個月。而一經循公訴程序定罪,違例者可被判處罰款1,000,000元及監禁2年。

 

任何人不得僅以遵從私隱專員所發出的書面通知內的要求,可能導致他被入罪為理由,而獲免遵從書面通知的要求。然而,根據條例的第66F條,若在給予私隱專員的書面通知所要求的答覆、指示、解釋、詳情或陳述(下稱「所要求事項」)前,他聲稱所要求事項可能會導致他入罪,則私隱專員的要求/問題及所要求事項,不得在刑事法律程序中獲接納為不利他的證據,除非他被控犯下條例第66E(5)條所訂的罪行或《刑事罪行條例》第V部有關「宣誓下作假證供」的罪行。

 

2. 搜查處所及電子器材

2. 搜查處所及電子器材

根據條例的第66G(1)條,若私隱專員或訂明人員(即私隱專員僱用他認為合適的人士或聘用他認為合適的從事技術工作的人士或專業人士,以協助他執行其在條例下的職能及行使其在條例下的權力的人員)有合理理由懷疑有人已經、正在或即將干犯「起底」罪行或其相關的罪行,及在某處所或電子器材內,有與調查有關的材料或證據,則可以向裁判官申請手令。

 

私隱專員或訂明人員可以根據案件的實際情況,向裁判官申請分別就處所及電子器材行使以下的權力:

 

  • 就處所而言,進入和搜查處所,並使用當時情況下屬合理的武力進入和搜查(如必要)、在處所內進行調查,以及檢取、移走和扣留懷疑載有證據的材料;

 

  • 就電子器材而言,查閱、檢取和扣留電子器材,以及解密、搜尋及複製儲存在電子器材內的任何與調查相關的材料或證據。

 

根據條例的第66G(8)條,如符合下列條件,私隱專員或訂明人員便可在沒有法庭手令下查閱涉嫌載有與「起底」或其相關的罪行證據的材料的電子器材(例如手提電話及電腦):

 

  • 私隱專員或訂明人員合理地懷疑有人已經、正在或即將干犯「起底」罪行或其相關的罪行;

 

  • 他合理地懷疑有對相關調查而言屬證據的材料,儲存於該電子器材內;及

 

  • 他信納申請手令所造成的延擱,相當可能會使要求拿取或查閱該器材的目的不能達成,或者由於任何原因,作出有關申請在相關情況下,並非合理地切實可行。

 

然而,在任何情況下,私隱專員或訂明人員不得在沒有法庭手令下將電子器材及儲存於該電子器材內的任何資料解密。

 

3. 截停、搜查和拘捕的權力

3. 截停、搜查和拘捕的權力

根據條例的第66H條,如獲授權人員(即私隱專員或私隱專員為施行截停、搜查和拘捕的權力而授權的人,當中包括個人資料助理或以上職級的人員,或警務人員)合理地懷疑任何人已干犯與「起底」罪行及其有關的罪行,便可以在沒有法庭手令下,截停、搜查和拘捕該人。

 

在作出拘捕後,獲授權人員可以要求被捕人士提供其姓名及通訊地址,並出示身份證明文件,亦可以搜尋被捕人士身上的物品(如適用),並接管該物品。此外,該獲授權人員須將被捕人士帶往私隱專員的辦事處或警署,並須於48小時內決定是否落案起訴。

 

4. 關於阻礙私隱專員、訂明人員或獲授權人員行使手令或拘捕等有關權力的罪行

4. 關於阻礙私隱專員、訂明人員或獲授權人員行使手令或拘捕等有關權力的罪行

根據條例第66I條,任何人如無合法辯解而妨礙、阻撓或抗拒任何人員或任何協助的人員行使第66G 條(有關搜查處所及電子器材)或第66H條(有關截停、搜查和拘捕)下賦予的權力,即屬犯罪,最高可被判處罰款10,000元及監禁6個月。

 

5. 檢控的權力

5. 檢控的權力

根據條例第64C條,私隱專員可以其名義就條例下訂明由裁判官循簡易程序審訊的罪行提出檢控,包括:

 

  • 64(3A)條:第一級罪行(即在未獲資料當事人的相關同意下披露該當事人的個人資料,意圖導致該當事人或其任何家人蒙受任何指明傷害;或罔顧是否會 (或相當可能會) 導致該當事人或其任何家人蒙受任何指明傷害);

 

  • 66E(1)條:沒有遵從私隱專員所發出的書面通知的要求;

 

  • 66E(5)條:出於詐騙意圖,沒有遵從私隱專員所發出的書面通知的要求,或提供或作出任何在要項上屬虛假或具誤導性的材料或陳述;

 

  • 66I(1)條:當私隱專員、訂明人員、私隱專員為施行截停、搜查和拘捕人的權力而授權的人,或任何協助專員或訂明人員的人行使條例第66G及66H條的權力時,在無合法辯解下妨礙、阻撓或抗拒他們;

 

  • 66O(1)條:獲私隱專員送達停止披露通知以要求停止或限制以書面或電子訊息的有關披露(例如刪除該訊息)後,違反該通知。關於停止披露通知的更多資料,請往第C1部

 

有關循公訴程序審訊的罪行,私隱專員會將它們轉介警方跟進,並由律政司提出檢控。

 

1. 停止披露通知

1. 停止披露通知

根據修訂後的條例,私隱專員有權指示有能力對通過書面或電子訊息作出的「標的披露」採取停止披露行動的人。「標的披露」是指在以下情況下的披露:

 

  • 披露者在未獲資料當事人的同意下,披露該當事人的個人資料,意圖導致該當事人或其任何家人蒙受任何指明傷害,或罔顧是否會(或相當可能會)導致該當事人或其任何家人蒙受任何指明傷害;及

 

  • 在該項披露作出時,資料當事人屬香港居民或身處香港。

 

根據條例第66L條,「停止披露行動」的定義為停止或限制藉該訊息而作出的「標的披露」的任何行動,包括移除該訊息。當該訊息是電子訊息,停止披露行動包括作出以下作為的行動:

 

  • 從該訊息發布所在的電子平台上,將該訊息移除;

 

  • 停止或限制任何人透過相關平台接達該訊息、接達整個相關平台或接達相關平台上該訊息發布所在的部分;或

 

  • 終止為整個相關平台或為相關平台上該訊息發布所在的部分提供主機服務。

 

a) 私隱專員會在何種情況下發出停止披露通知

 

根據條例第66M(1)條,若私隱專員有合理理由相信以下事項,則可向有能力採取停止披露行動的人發出停止披露通知,指示該人採取該停止披露行動:

 

  • 涉及的個人資料在未獲資料當事人的相關同意下被披露;

 

  • 披露者意圖或罔顧該披露是否會(或相當可能會)導致該資料當事人或其任何家人蒙受任何指明傷害;

 

  • 該資料當事人在該披露作出時屬香港居民或身處香港;及

 

  • 某名香港人士有能力就該訊息採取停止披露行動 (不論是否在香港採取)。

 

由於網路並無地域限制,根據條例第66M(2)條,私隱專員亦可以就電子訊息向非港人服務提供者,例如海外社交媒體平台營運商,發出停止披露通知,指示該服務提供者採取停止披露行動。

 

b) 違反停止披露通知的後果

 

根據條例第66O(1)條,獲送達停止披露通知的人違反該通知,即屬犯罪:

 

  • 首次定罪,違例者可被判處罰款50,000元及監禁2年;如罪行持續,可另處每一日罰款1,000元;

 

  • 其後每次定罪,違例者可被判處罰款100,000元及監禁2年;如罪行持續,可另處每一日罰款2,000元。

 

被控犯第66O(1)條所訂罪行的人,如有足夠證據確立以下事宜,即為免責辯護:

 

  1. 該人對違反該停止披露通知有合理辯解;或

 

  1. (在不局限於上述第(i)節) 有以下情況使期望該人遵從該停止披露通知是不合理的:

 

  • 顧及了有關的停止披露行動的性質、難度或複雜性;

 

  • 由於該人遵從該停止披露通知所需的科技並非該人合理可得;或

 

  • 由於對第三方招致相當程度損失或以其他方式對第三方的權利造成相當程度損害的風險。

 

c) 就停止披露通知提出上訴

 

根據條例第66N條,任何受停止披露通知影響的人,例如披露「起底」內容的人士及有關電子平台的營運商,可以在有關通知送達之後的14日內向行政上訴委員會提出上訴,反對有關通知。

 

然而,不論是否有任何人就停止披露通知提出上訴,任何收到停止披露通知的人士均須於停止披露通知列明的限期內,遵從通知內的指示。

 

私隱專員會根據情況,例如行政上訴委員會所作出的裁決,藉書面通知撤銷停止披露通知。

 

2. 強制令

2. 強制令

根據條例第66Q條,當社會上出現大規模或重複干犯「起底」罪行的情況時,私隱專員可向原訟法庭申請強制令,以禁制針對某人或屬某類別或描述的人士的「起底」事件再次發生。

 

有關「起底」罪行

VII. 有關「起底」罪行

 

「起底」一般是指透過網上搜尋器、社交平台、討論區、公共登記冊、匿名報料等方式,將目標人士及/或其相關人士(如家人、親友等)的個人資料搜集起來,並在互聯網、社交媒體及/或其他公開平台(例如公眾地方)發布。

 

「起底」行為近年日益猖獗。《2021年個人資料(私隱)(修訂)條例》在2021年9月29日通過後,條文所新增的「起底」罪行於2021年10月8 日開始生效,以打擊惡意的「起底」行為。

 

總括而言,修訂後的條例旨在於三方面打擊非法「起底」行為:

 

  • 將「起底」行為刑事化,針對未經資料當事人的同意,意圖或罔顧導致資料當事人或其家人受到任何指明傷害下,公開其個人資料的惡意行為;

 

  • 賦予私隱專員對於與「起底」相關罪行的刑事調查和檢控的權力;及

 

  • 賦予私隱專員向有能力採取停止披露行動的人發出通知的法定權力,並指示該人停止披露「起底」內容(停止披露通知)。

 

5. 我在訂閱服務提供者的服務時向它提供了我的個人資料。我可以請求它刪除我的個人資料嗎?

5. 我在訂閱服務提供者的服務時向它提供了我的個人資料。我可以請求它刪除我的個人資料嗎?

條例下並沒有特定條文強制資料使用者須在資料當事人的要求下立刻刪除他的個人資料。因此,該服務提供者不會因為它沒有按您的要求刪除您的個人資料,而違反條例的相關規定。

 

然而,該服務提供者必須遵守條例的第2(2)項保障資料原則及第26(1) 條的規定:

 

  • 第2(2)項保障資料原則規定,個人資料的保存時間,不得超過將其保存以貫徹該資料被使用於或會被使用於的目的(包括任何直接有關的目的)所需的時間;

 

  • 條例第26(1)條訂明,凡資料使用者持有的個人資料是用於某目的(包括與該目的有直接關係的目的),但已不再為該等目的而屬有需要的,該資料使用者須刪除該資料,除非 (a) 該等刪除根據任何法律是被禁止的,或 (b) 不刪除該資料是符合公眾利益(包括歷史方面的利益)的。

 

因此,若該服務提供者所持有關於您的個人資料已再不能履行及/或已完成當初被收集的目的(包括任何直接有關的目的),該服務提供者便需將有關資料文件刪除,除非保留有關資料文件是有法例依據或符合公眾利益。

 

您亦可考慮向該服務提供者查詢其對於個人資料的保留政策,以了解它在保留個人資料時是否符合條例的規定。