「个人资料」的定义及六项保障资料原则
I. 「个人资料」的定义及六项保障资料原则
个人资料是指任何资料,可以「直接或间接与一名在世的人有关的、可以切实可行地透过有关资料,直接或间接地确定有关个人的身分、及该资料的存在形式,让人可切实可行地查阅及处理有关资料(例如是文件或影带)」。个人资料的法律定义,可见于第486章《个人资料(私隐)条例》第2条。
有关个人资料的明显例子,包括个人身份证号码及指纹,通过这些资料,一个人的身份可得以辨认。另一方面,某些资料组合起来,例如电话、地址、性别和年龄,也可能让人切实可行地辨认出一个人的身份。
私隐条例于 1996 年 12 月 20 日正式生效。条例适用于任何收集、持有、处理或使用个人资料的人士,当中包括私营机构、公营机构及政府部门。概括来说,条例规管个人资料的收集和使用方式,并防止任何人因滥用个人资料而侵犯到他人的私隐。
根据香港现行之成文法及普通法,只有个人资料受到私隐条例的保障。 《香港人权法案》第14条订明 “ 任何人之私生活、家庭、住宅或通信,不得无理或非法侵扰,其名誉及信用,亦不得非法破坏。”但是,私隐条例并无涵盖个人资料以外的所有私隐问题。
私隐条例订明的六项保障资料原则
任何人士或机构在收集、持有、处理或使用个人资料时,必须遵守条例第4条及附表1订明的六项保障资料原则。(注: 被收集个人资料的当事人称为「资料当事人」,而收集他人的个人资料的人士或机构则称为「资料使用者」。)
第一项原则 ─ 收集个人资料的目的及方式
个人资料必需要为合法目的而收集,收集目的亦须直接与使用该等资料的资料使用者之职能或活动有关。所收集到的资料足够便可,而不应超过有关目的之实际需要。
个人资料须以合法及公平的方式收集。举例,盗用他人的银行户口纪录或信用咭资料,便属于用不合法的方式去收集个人资料。如果某人 / 机构蓄意用误导的手法来收集个人资料,便属不公平的收集方式。举例,如果一间公司藉着招聘活动去收集求职人士的个人资料,但其实无意招聘任何人,而只是用招聘的藉口去收集资料,那么该公司就是用不公平的手法收集个人资料。
向个别人士 (即「资料当事人」) 收集个人资料时,必须告知他们下列事项,包括:
- 该等资料将会用于甚么目的/用途;
- 该等资料可能会转交予甚么类别的人;
- 当事人是否有责任(或只是自愿性)提供该等资料 ;
- 若当事人不提供该等资料所须承受的后果;及
- 当事人有权要求查阅及改正该等资料。
第二项原则 ─ 个人资料的准确性及保留期间
资料使用者必须确保所持有的个人资料是准确及最新近的。如资料使用者怀疑所持有的个人资料并不准确,就应该立即停止使用有关资料。资料的保存时间,不能超过使用该等资料而达到原定目的之实际所需。
第三项原则 ─ 个人资料的使用
除非得到资料当事人的「订明同意」,否则资料使用者不可以改变个人资料的用途,而只可将资料用于当初收集资料时所述明的用途 (或与其直接有关的用途)。「订明同意」是指资料当事人明确及自愿给予的同意。
第四项原则 ─ 个人资料的保安
资料使用者必须采取适当的保安措施去保护个人资料。他们必须确保个人资料得到足够保障,以避免有人在未获准许或意外的情况下,去查阅、处理、删除或者使用该等资料。
第五项原则 ─ 资讯须在一般情况下可提供
资料使用者须公开 所持有的个人资料之类别 (不是资料内容) ,并公开其处理个人资料的政策及实务。最佳做法是制订一份「私隐政策声明」,内容可以包括有关资料的准确性、保留期、保安、使用、如何处理由资料当事人提出的查阅资料及改正资料要求。
第六项原则 ─ 查阅个人资料
资料当事人有权向资料使用者查证是否持有其个人资料,以及有权要求获得有关资料的副本。如发现副本内的个人资料不准确,则有权要求改正有关资料。
资料使用者须在法定的 40 日内,依从有关查阅资料及改正资料的要求。如未能在指定时限内处理,亦须在 40 日内作出回覆及述明理由。
个别人士 / 资料当事人如欲提出查阅要求,可于个人资料私隐专员公署的网页下载查阅资料要求表格 (OPS003) ,并将填妥之表格送交持有其个人资料的机构。请留意,条例准许资料使用者就依从查阅资料要求而收取合理费用,但有关资料使用者不可以收取超过依从查阅资料要求所需的直接成本。