1. 《个人资料(私隐)条例》(「条例」)规定,任何控制收集、持有、处理或使用(包括披露和转移)个人资料的人士/机构(即资料使用者),须遵从条例的规定,包括六项保障资料原则。而针对网站的资料保安方面,《个人资料(私隐)条例》的保障资料第4原则(即「资料保安原则」)规定资料使用者须采取切实可行的步骤,保障个人资料不受未获准许或意外地被查阅、处理、删除、丧失或使用。
一般而言,外洩个人资料有可能构成违反保障资料第4原则。违反保障资料原则不直接构成刑事罪行,但私隐专员在完成调查后可向违法者发出执行通知,指令其采取补救措施,以纠正该项违反,以及防止违反再发生。不遵守私隐专员的执行通知即属犯罪。违法者一经定罪,最高可被判处罚款港币50,000元及监禁2年。
2. 随着资讯科技的普及,市民网上消费愈加频繁,牵涉个人资料的网上私隐及保安风险亦相对增加。私隐专员提醒巿民:
公署就此亦有发出《明智使用电脑及互联网》单张,与市民分享如何在使用电脑及互联网时保障自己的个人资料。
3. 公署于2014年12月曾就类似事件发出调查报告,案中涉及航空公司的流动应用程式外洩客户的个人资料。由2015年1月1日至2016年4月中,公署没有收到与网上购买机票相关的投诉。
公署亦留意到现今不论公私营机构,营运网上业务或服务均十分普遍,而这些服务常会涉及收集个人资料,公署建议机构应善加利用私隐专员开办的讲座及发出的最佳行事方式指引。同时,它们亦有责任跟贴最新的科技发展及趋势,以确保在营运网上业务或服务时,不会影响私隐及资料的保护。个人资料一旦外洩或遭滥用,可能会对其顾客造成严重伤害并影响公司商誉。公署曾就类似事件建议机构应:-
(i) 制定妥善的程式开发及变更控制政策、指引及程序;
(ii) 就程式的设计和运作制定风险评估程序;
(iii) 使用正版及可靠的开发工具和软件;
(iv) 备有保安措施,例如加密、存取控制、密码政策;
(v) 如情况合理,对程式作独立检查及审核。
公署已于2014年12月修订了《经互联网收集及使用个人资料:给资料使用者的指引》,协助机构更详尽了解经互联网收集、展示或传输个人资料时,应如何依从条例的规定。此外,随着应用程式的普及发展,公署亦于2015年10月更新了《开发流动应用程式最佳行事方式指引》并介绍如何以贯彻私隐的概念开发产品和服务。这份指引亦提供详细的检查清单,为程式开发商阐述设计保障私隐的程式时须考虑的所有因素;亦建议连串的最佳行事方式。同时,公署鼓励机构若发现资料外洩事故,应通知公署,以妥善处理有关事故。公署刊发《资料外洩事故的处理及通报指引》,当中规定如发生资料外洩事故,资料使用者须立即收集有关事故的重要资料、采取适当措施遏止事件扩大,以及考虑作出资料外洩通报等。
(如需引述,请写个人资料私隐专员黄继儿)