11 / 24
11
PCPD News
私隱專員公署通訊
•
Issue no. 32
公署就多宗資料外洩事件展開調查
PCPD Initiates Investigations into Data Leakage Incidents
有銀行發出的非接觸式信用卡有可能外
洩個人資料(包括卡主姓名),公署於
2015
年
10
月中展開調查。公署提醒有
關發卡銀行需要注意《個人資料(私隱)
條例》(「條例」)下的保障資料原則
規定,以保障市民的個人資料。
公署亦於
2015
年
12
月
1
日就偉易達集
團
Learning Lodge
網站資料外洩事件展
開調查。這次資料外洩事故涉及全球大
約共
500
萬顧客賬戶及相關兒童的個人
資料。偉易達集團現時並無透露受影響
的香港人的數目。公署決定展開調查,
旨在了解偉易達集團在資料外洩事故發
生前是否採取了適當的步驟,以保障所
持有的個人資料的安全;以及在資料外
洩事故發生之後所採取的補救措施,以
及如何避免同類事故再次發生。
此外,就
SanrioTown
網站出現資料
保安漏洞,公署亦決定展開調查。經
營
SanrioTown
網站的香港公司
Sanrio
Digital
於
2015
年
12
月
22
日承認保
安有漏洞,可能外洩多達
330
萬的網
站會員資料。該公司表示涉及的資料包
括姓名、電郵地址、已加密的密碼及出
生日期等,惟不包括信用卡資料及付
款的資料。
在完成調查後如發現違反保障資料原
則,私隱專員可發出執行通知,指示如
何糾正該違反事項,及防止該違反再次
發生。違反執行通知屬刑事罪行。一經
定罪,最高可處罰款
$50,000
及監禁兩
年。如罪行在定罪後持續,可處每日罰
款$
1,000
。
The PCPD initiated an investigation
into the possible personal data leakage
involving the contactless credit cards
issued by banks in mid-October 2015.
The card-issuing banks are reminded to
comply with the requirements under the
Data Protection Principles (“DPPs”) in
the Personal Data (Privacy) Ordinance
(“Ordinance”) to ensure the protection of
the personal data of the general public.
Th e P C PD a l s o c omme n c e d a n
investigation into the data leakage
incident of VTech Learning Lodge
(“VTech”) on 1 December 2015. This
data leakage incident appears to have
disclosed data of 5 million customers
accounts and related children’s profiles
worldwide. There is nevertheless no
indication on the number of Hong
Kong customers affected. The PCPD’s
investigation is to ascertain whether
VTech had taken appropriate steps to
safeguard personal data before the
leakage happened; and what kinds of
remedial actions are adopted, after the
data leakage, to avoid the occurrence of
similar incidents.
The PCPD also initiated an investigation
i n t o t he s ecu r i t y vu l ne rab i l i t y o f
San r i oTown webs i t e . San r i oTown
website is operated by Sanrio Digital
(HK) Limited, a Hong Kong company,
that announced to the public on 22
December 2015 that the personal
data of up to 3.3 million members of
SanrioTown website could have been
publicly accessible owing to a security
vulnerability. The personal data that
might have been accessible includes the
name, email address, date of birth and
encrypted password. Credit card or other
payment information is not included.
If there is a contravention of the Data
Protection Principles, the Commissioner
may upon completion of an investigation
serve an enforcement notice to direct the
data user to remedy the contravention
a n d p r e v e n t i t s r e - o c c u r r e n c e .
Contravention of an enforcement
notice is an offence which would
attract a maximum fine of HK$50,000
and imprisonment for two years. If the
offence continues after the conviction,
the data user is liable to a daily penalty
of $1,000.
行政上訴委員會駁回David Webb先生的上訴
Administrative Appeals Board's Decision on Dismissing David Webb’s Appeal Case
行政上訴委員會 (「委員會」)
於
2015
年
10
月
27
日 駁 回
David Webb
先生的行政上訴。
David Webb
因不滿
公署於
2014
年向他發出執行通知指令
他在其網站
Webb-site
刪除三條超連
結,而提出上訴。
委員會裁定公署的決定是正確的,即
i. David Webb
在 其 網 站
Webb-site
內刊載列有投訴人的姓名的超連
結,實質是透露了她的身份,違反
了《個人資料(私隱)條例》(「條
例」)的保障資料第
3
原則(「資
料使用原則」) 的規定;
ii.
而送達執行通知是有理據的。
公署的意見
公署的立場十分清晰,公署並非要求報
章或出版人刪除其資料庫內的文章。在
本個案中,鑑於司法機構已應投訴人的
要求將判決匿名,而這做法也跟香港
人權法第
10
條的規定一致,公署只是
指令
David Webb
刪除其網站中的超連
結,以避免顯示該三宗婚姻訴訟的匿名
判決書中當事人的姓名。由
2011
年
4
月起,首席大法官已指令各級法院審理
的家庭及婚姻案件,不論是公開或在內
庭聆訊,在公開披露其判決前,都應先
把有關人士匿名。
在平衡出版與言論自由,及投訴人的個
人資料私隱時,公署認為把投訴人於該
三宗已匿名的婚姻訴訟判決中的身份披
露,無助提升公司、政府、規管者及股
東的運作透明度;亦無助對抗惡行或保
障少數股東的利益的目的。在本個案
中,平衡點應傾向保障投訴人在三宗已
匿名的判決中的個人資料私隱。
基於委員會已駁回上訴,私隱專員會跟
進
David Webb
依從執行通知的事宜。
從公共領域取得的個人資料,很多時被
誤解為可在毫不受規管的情況下再次使
用或披露。公署在此提醒市民從公共領
域取得的個人資料仍受條例的保障資料
第
3
原則所規管。