2018年3月29日
公署回应有关生物科技所涉及的个人资料私隐事宜
谢谢你的查询有关生物科技所涉及的个人资料私隐事宜,需要携带全港选民个人资料到场公署现回复如下:
-
个人的指纹、面部图像、虹膜及视网膜等都是人体的生物特征,乃与生俱来的,因此生物辨识资料往往是独一无二及不可改变的。虽然一般人未必能够单凭观看指纹、虹膜影像或图像数据来确定某人的身份,但当生物辨识资料与另一资料库的个人资料连结,又或经整合和分析后可直接或间接辨识个别人士的身份。
-
事实上,基于生物辨识资料的独特性,在刑事调查中往往被用作身份识别,如指纹、面部图像等早已被执法机构应用于刑事调查以作识别用途。机构或企业应基于个人资料的特殊及敏感性质,而提高所采取的保障措施。
-
这些个人资料基于其固有及不可改变的性质,被视为本质较为敏感,又或基于不当的处理可能会为个人造成严重伤害或歧视性后果而作出划分。
新订立的欧盟《通用数据保障条例》禁止处理这些特别类别的个人资料,除非符合其中一项指明的条件,当中包括 (i) 资料当事人就有关处理已经给予明确的同意;或 (ii)为了重大的公众利益,有关处理属必需的,亦与所追求的目标相称。
香港的《个人资料(私隐)条例》(《私隐条例》)没有就被视为敏感类别的个人资料施加较严格的规定。不过,《私隐条例》规定机构/企业在考虑实施适当措施确保资料保安时,须考虑个人资料的种类,尤其敏感的个人资料。
私隐专员刚印备如何准备符合于2018年5月25日生效的新欧盟条例的小册子,可于公署网站有关
欧盟《通用数据保障条例》的专页下载。
-
私隐专员早前刊发《收集及使用生物辨识资料指引》,旨在协助机构/企业(作为资料使用者)负责任地收集及使用生物辨识资料,以减低相关的私隐风险,当中的建议包括:
-
有意收集生物辨识资料的资料使用者须首先考虑有关收集是否必需的,因此私隐专员鼓励有关机构/企业进行私隐影响评估,以评估建议的做法对个人资料私隐的影响。
-
机构/企业应给予资料当事人自主及知情的选择,自行决定是否容许收集其生物辨识资料,并详细解释收集其生物辨识资料对个人资料私隐的影响。
-
应严格控制查阅、使用及移转生物辨识资料,除非机构/企业已事先取得个别人士明确及自愿的同意,否则他们不应将其生物辨识资料用于任何与原本收集目的无关的范畴上(包括披露予第三者)。
-
对于一些已不再需要用于原来收集目的的生物辨识资料,机构/企业应定期并经常将这些资料销毁。
-
鑑于生物辨识资料为敏感的资料,机构/企业应在合理地切实可行的情况下实施有效的保安措施,防止生物辨识资料库受破坏及盗用,如在储存或传送生物辨识资料时,把资料加密。
-
机构/企业应定期进行私隐循规评估及检讨,确保有关行动及做法符合条例的规定。负责收集及管理生物辨识资料的僱员必须得到适当的培训、指导及督导。
-
如聘用承办商处理个人资料,该机构/企业须采取合约规范方法或其他方法,以防止转移予该承办商的个人资料的保存时间超过处理所需的时间,及防止资料在未获准许或意外地被查阅、处理、删除、丧失或使用。
(如需引述,请写香港个人资料私隐专员黄继儿)