1. 公署在未了解有关程式的实际运作情况之前,不适宜评论个别事件有否涉及违法的情况。
一般而言,《个人资料(私隐)条例》(「条例」)规定,任何控制收集、持有、处理或使用(包括披露和转移)个人资料的人士/机构(即资料使用者),须遵从条例的规定,包括六项保障资料原则。其中保障资料第3原则订明,除非得到有关资料当事人(如用户)的订明同意,否则个人资料只可使用于在收集时述明的目的或直接有关的目的。
应用程式开发商若将资料当事人的个人资料披露予已在其「收集个人资料声明」中订明的资料承让人,以进行声明中已订明的用途,一般来说,不涉及违反条例的规定。但若将用户的个人资料转售或分享予直销用途,则除非应用程式开发者已通知用户(资料使用者)有关用途并取得其书面同意,否则有可能违反条例第6A部下的相关规定。
公署建议用户在下载应用程式前,应细阅有关私隐政策和声明,了解程式会查阅、上载或分享你智能电话内的哪些资料,再决定是否值得以你的个人资料私隐去交换。
2. 目前条例下并未有规定资料使用者在传输个人资料予第三方时须要加密,但针对资料保安方面,条例的保障资料第4原则(即「资料保安原则」)则规定资料使用者须采取切实可行的步骤,保障个人资料不受未获准许或意外地被查阅、处理、删除、丧失或使用。
一般而言,外洩个人资料有可能构成违反保障资料第4原则。纵使违反保障资料原则不直接构成刑事罪行,但私隐专员在完成调查后可向违法者发出执行通知,指令其采取补救措施,以纠正该项违反,以及防止违反再发生。不遵守私隐专员的执行通知即属犯罪。违法者一经定罪,最高可被判处罚款港币50,000元及监禁2年。
任何人士如怀疑其个人资料私隐受到侵犯,而又能提供表面证据,可以向公署作书面投诉。公署在收到投诉后会接触投诉人,若认为投诉个案的表面证据成立,或会就个案作出调查,以决定被投诉者是否有违反条例的规定。
市民或消费者亦需要明白个人资料要自保,正如上述答1所说,在下载应用程式前必须小心,须提防恶意程式,避免在不知名的平台下载,并且定期清除不再使用的应用程式。
3. 市民在下载应用程式时,应注意以下事项:-
公署已于2014年12月修订了《经互联网收集及使用个人资料:给资料使用者的指引》,协助机构更详尽了解经互联网收集、展示或传输个人资料时,应如何依从条例的规定。此外,随着应用程式的普及发展,公署亦于2015年10月更新了《开发流动应用程式最佳行事方式指引》并介绍如何以贯彻私隐的概念开发产品和服务。这份指引亦提供详细的检查清单,为程式开发商阐述设计保障私隐的程式时须考虑的所有因素;亦建议连串的最佳行事方式。同时,公署鼓励机构若发现资料外洩事故,应通知公署,以妥善处理有关事故。
此外,公署发出一份名为《保障私隐—明智使用智能电话》的资料单张;另更多相关保障个人资料私隐贴士,可参考公署的「网上私隐要自保」专题网站www.pcpd.org.hk/besmartonline/。
(如需引述,请写个人资料私隐专员黄继儿)