日期: 2016年12月10日
私隐专员回复Android手机应用程式收集个人私隐的敏感资料事宜
谢谢你的查询,公署现综合回复如下:
-
在未了解个别流动应用程式的营运及操作详情下,公署不会作出评论;公署亦不会评论个别国家或司法管辖区的法例或规定。
-
一般而言,任何在香港控制收集、持有、处理或使用(包括披露和转移)个人资料的人士(即资料使用者),必须遵从《个人资料(私隐)条例》(「条例」)的规定,包括六项保障资料原则,其中:-
-
就记录及保留流动应用程式用户的资讯方面,流动程式开发商或营运商须采取所有切实可行的步骤,确保个人资料的保留时间不得超过达致原来目的的实际所需(保障资料第2(2)原则)。此外,条例第26条规定资料使用者须采取所有切实可行的步骤,删除已不再为使用目的而需要的个人资料,除非受任何法律禁止或不删除该资料是符合公众利益的。根据上述保留原则及规定,流动程式开发商或营运商须于完成资料的收集目的而不再需要时,尽快将已上载或储存于后端伺服器的相关个人资完全删除。
-
在资料使用(包括披露和转移)方面,条例订明个人资料只可用于收集该等资料时述明的目的或直接与之有关的目的。除非资料当事人自愿给予明示同意,否则个人资料不得用于新目的(保障资料第3原则)。因此若流动应用程式的私隐政策及条款中列明会将用户的个人资料转移至香港以外的执法机构作调查之用,而用户亦同意相关条款,则被视为得到资料当事人的同意。
-
条例第33条禁止个人资料转移至香港以外的地方的条文尚未生效。公署刊发了《 保障个人资料:跨境资料转移指引》,鼓励资料使用者采取指引内所建议的实务行事方式以保障个人资料,作为企业管治责任的一部分,为第33条的实施作好准备。当中第33(2)条订明,若资料当事人以书面同意该项转移,又或该资料凭借条例第8部下的豁免而不受保障资料第3原则所管限,方可将资料转移至香港以外的地方。
-
条例第8部订明豁免条文,其中第58条订明若披露个人资料的目的是为防止或侦测罪行、又或是拘捕、检控犯罪者,而不披露有关资料便相当可能损害该等目的,则获豁免而不受保障资料第3原则所管限。当中所指的罪行只限于第58(6)条*所订明的罪行。
-
此外,作为良好行事方式,资料使用者在将个人资料转移至香港境外之前,应采取有效办法(例如合约规范),以确保个人资料在境外仍得到如在香港般的保障。
-
条例并无域外法律效力。若所涉及的流动应用程式的营运商并非在香港,除非该程式开发商或营运商(作为资料使用者)能够在香港控制个人资料的收集、持有、处理或使用,或能够从香港行使该项控制,否则条例并不适用。纵使如此,私隐专员与其他国家及地区的私隐执法机关一直保持紧密联系和合作,在跨境资料私隐执法方面,互相分享资讯及提供协助,因此若发现有相关的违反条例规定的情况,私隐专员会考虑联络相关地点的私隐执法机构以作跟进。
-
私隐专员再次提醒巿民,在下载任何手机应用程式时,应注意以下事项:
-
在安装或下载应用程式前,应查明其私隐政策,了解程式会读取、披露或转移哪些资料,衡量资料的收集是否有需要和超乎适度才决定是否安装;
-
在安装程式后,如操作系统许可,不时检视程式的权限设定,如有需要可限制程式读取不必要的资料,如地理位置资料;及
-
用户如对程式有怀疑,应移除可疑和不常用的应用程式,以减低资料外洩的风险。
*(第58(6)条当中所指的罪行包括:
(a) 香港法律所订的罪行;或
(b) (如个人资料是在与香港和香港以外地方的法律合作或执法合作有关连的情况下持有或使用的) 该地方的法律所订的罪行。)