18

PCPD News

私隱專員公署通訊

•

Issue no. 32

公署動態

PCPD in Action

大數據年代 公署促請政府加強監控公共登記冊

Government Urged to Tighten Control of Public Registers in Era of Big Data

公署於

2015

年

7

月

28

日發表一份檢視

10

個常用公共登記冊的報告，包括：破

產登記冊、出生登記冊、商業登記冊、

公司登記冊、土地登記冊、婚姻登記

冊、擬結婚通知書登記冊、證監會持牌

人紀錄冊、車輛登記冊及選民登記冊。

公署是參考政府於

2000

年發出的有關

個人資料保障指引（「指引」）來檢視這

10

個登記冊內的個人資料是否得到合適

保障。

公共登記冊載有個人資料讓公眾人士查

閱。這些個人資料都受到《個人資料（私

隱）條例》（「條例」）的保障，尤其是

條例的保障資料第

3

原則。明確來說 ，

從公共登記冊所收集的個人資料，除非

獲得資料當事人明確和自願的同意，否

則，只可用於與設立公共登記冊時述明

或直接相關的目的。

這檢視報告發現該

10

個登記冊在不少

情況下未能符合指引的規定，情況不甚

理想。當中值得商榷的事項包括：

a.

在

2001

年

1

月

1

日至

2014

年

3

月

31

日制訂或修訂而載有與公共

登記冊有關條文的合共

82

條條例

中，只有

32

條說明刊登個人資料

的目的，及該資料可被使用的範圍；

b.

只有五條條文明確訂明防止個人資

料被濫用的措施；

c. 10

個公共登記冊中，只有四個在相

關條文中寫明登記冊的目的；

d. 10

個公共登記冊中，只有一個列明

法例的保障，防止資料被濫用；餘

下九個僅有一個登記冊提供行政措

施的保障；

e.

在防止資料被濫用上，缺乏立法或行

政措施的保障是令人擔憂的，原因

是大多數的公共登記冊都沒有酌情

權，不能拒絕任何查閱資料的要求；

f.

少數的公共登記冊，其營運者有酌

情權，在接獲查閱個人資料要求

後，決定提供資料的種類，或是否

提供整份有關文件；然而它們沒有

具體及清晰地訂明如何行使酌情權

的政策；

g. 10

個公共登記冊均有向資料當事人

表明登記冊的目的，但可以再作改

善，提供更清晰和充足的通知；

h.

破產登記冊、商業登記冊及婚姻登

記冊均沒有清晰訂明會向公眾披露

資料；

i.

就擬結婚通知書登記冊而言，使用

在婚姻登記處現場的電腦查閱擬結

婚通知書的過程當中，並沒有向公

眾人士提述查閱該登記冊的目的；

j.

至於網上查閱公共登記冊方面，該

指引只要求營運者在其網頁上加入

有關登記冊的特定目的及使用限

制，因而未能確保查閱人士是否經

已閱讀及明白網頁上的訊息。

公署已把這份檢視報告送交給有關政府

決策局及部門，在報告內並提出一些建

議以符合指引規定。

檢視報告

www.pcpd.org.hk/english/resources_

centre/publications/surveys/files/survey_

public_registers.pdf

報告摘要

www.pcpd.org.hk/tc_chi/resources_

cen t r e / pub l i ca t i ons / su r vey s / f i l e s /

survey_public_registers_summary_c.pdf

On 28 July 2015, the PCPD released the

report on a survey of the administration

of 10 commonly-used public registers

maintained by the Government, namely,

Bankruptcy register, Births register,

Business register, Companies register,

Land registers, Marriage register, Register

of notice of intended marriage, SFC

register of licensed persons, Register of

vehicles and Registers of electors. The

protection of personal data contained

in these registers was examined with

reference to the guidelines formulated

by t he Gove r nmen t i n 2000 ( t he

“Guidelines”).

Public registers contain personal data

which can be made available for public

access. They are subject to protection

under the Personal Data (Privacy)

Or d i nance ( t he “Or d i nance” ) , i n

particular, Data Protection Principle 3.

Specifically, the personal data collected

from a public register can be used only

for purposes in line with or directly

related to the purpose of setting up the

public register, unless the explicit and

voluntary consent of the data subject is

obtained.

The survey concluded that compliance

with the Guidelines in a number of areas

was not satisfactory, with the following

issues identified:-

a. Only 32 of the 82 public register-

related legislations newly enacted or

amended from 1 January 2001 to 31

March 2014 spell out the purposes

of the publication of the data and/or

the permissible use or secondary use

of such data;

b. Only 5 of these legislations contain

explicit provisions introducing

measures to safeguard against

possible misuse of the personal data;

c. Only 4 out of the 10 registers have

the purposes of the registers specified

in the respective legislations;

d. Only 1 out of the 10 registers

have legislative safeguards against

misuse of data and only 1 out of the

remaining 9 registers provides for

administrative safeguards;

e. T h e l a c k o f l e g i s l a t i v e o r

administrative safeguards against

data misuse is particularly worrying

as most registers have no discretion

to reject a request for data access;

f.

For those registers which have

discretionary power to decide on

the provision of specific kinds of

personal data or full copy of the

relevant document upon request,

there are no explicit policies laid

down governing the exercise of the

discretion;

g. While data subjects are informed by

all 10 registers of the purposes of the

registers, the clarity and adequacy of

the notification could be improved;