公署不会评论个别案件或个别机构有否违规。
《个人资料(私隐)条例》(「条例」)规定,任何收集和使用,包括披露和转移个人资料 的人士/机构(即资料使用者),须遵从条例的规定,包括六项保障资料原则。其中保障资料第4原则(个人资料的保安)规定,资料使用者须采取所有切实可行的步骤,确保持有的个人资料不会被人未经授权或意外地查阅、处理、删除、遗失或使用。
一般而言,外洩个人资料有可能构成违反保障资料第4原则。违反保障资料原则不直接构成刑事罪行,但私隐专员可发出执行通知,指令资料使用者采取补救措施,以及防止该违反再次发生。不遵守专员的执行通知即属犯罪。违法者一经定罪,最高可被判处罚款港币50,000元及监禁2年。
按不同情况,私隐专员可会主动联络外洩资料的机构,以了解事件的具体详情,考虑应否展开循规审查或调查,以协助该机构检讨处理个人资料的程序和政策,并建议采取措施纠正和防止有可能违规的行为。根据条例,考虑的因素包括:
同时,公署建议机构若发现资料外洩事故,应通知公署,以妥善处理有关事故。公署刊发《资料外洩事故的处理及通报指引》,当中规定如发生资料外洩事故,资料使用者须立即收集有关事故的重要资料、采取适当措施遏止事件扩大,以及考虑作出资料外洩通报等。
(如需引述,请写首席个人资料主任黎智敏)