2018年4月4日
公署回应有关数据公司收集市民资料转售的问题
谢谢你的查询,有关数据公司收集市民资料转售的问题,需要携带全港选民个人资料到场公署现综合回复如下:
-
一般而言,任何数据公司或应用程式/网站营运商(作为资料使用者)若在香港透过任何渠道(如媒体平台或应用程式)收集、持有、处理或使用(包括披露和转移)用户的个人资料,都须遵从《个人资料(私隐)条例》(《私隐条例》)的相关规定,当中包括:
-
数据公司或应用程式/网站营运商应以合法和公平的方式收集用户的个人资料,而其目的应直接与其服务有关,并应在收集用户个人资料时或之前提供《收集个人资料声明》,告知他们该媒体平台或应用程式会收集/使用/处理甚么资料,以及资料可能会转移给哪类人士[1]。如声明过于含糊不清,数据公司或应用程式/网站营运商可能会被视作对收集/使用及查阅资料的目的有所隐瞒,而构成以不公平方式收集个人资料。
-
虽然《私隐条例》并没有禁止数据公司或应用程式/网站营运商转移或披露用户的个人资料予其他持份者,但在披露或转移用户的个人资料之前,必须确保有关披露或转移并不构成新目的(即当初收集用户的个人资料时拟使用的目的以外的目的或并非直接相关的用途上),除非已事先获得有关用户自愿给予的明示同意[2]。公署会考虑一系列因素,去决定有关同意是否属自愿,包括有关同意是否属「捆绑式同意」,即用户在拒绝给予同意后是否不获提供服务,与及客户是否已获提供足够资料让其作出决定。
-
数据公司或应用程式/网站营运商若将用户的个人资料披露予已在其《收集个人资料声明》中订明的资料承让人,以进行声明中已订明的用途,一般来说,并不涉及违反《私隐条例》的规定。但若拟将用户的个人资料转售或分享予直接促销用途,则必须遵守《私隐条例》第6A部下有关直接促销的规定。详情可参阅私隐专员刊发的《直接促销新指引》,其中规定包括:
-
不论是转移资料者或承转人,皆必须告知用户其拟如此使用或提供其资料;
-
将用户的个人资料首次在直接促销中使用时,须告知用户,他有权要求在不向其收费的情况下,停止如此使用有关资料;及
-
须获得用户的同意(如属提供个人资料,同意必须以书面作出)。
-
在大数据经济下,个人资料可能被大量收集、转移及分析,以推测个别人士的生活习惯、喜好、信贷评分等,甚或被转售以图利,对个人资料私隐构成侵害。私隐专员提醒巿民要「自保」,在选择下载或使用任何应用程式/社交媒体/网站,又或透过应用程式或平台提供个人资料时,应注意以下事项:
-
在安装应用程式或选用社交媒体/网站前,应查明其《私隐政策声明》和《收集个人资料声明》,了解程式/网站会查阅、上载或分享你智能装置内的哪些资料,再决定是否安装或选用;
-
在安装或选用后,如操作系统许可,应不时检视程式或平台的权限设定,如有需要可限制其读取不必要的资料,如通讯录和短讯资料;及
-
如有怀疑,应移除可疑和不常用的应用程式或停用相关的社交媒体/网站,以减低资料外洩的风险。
-
过去三年公署接获与使用资讯及通讯科技有关的投诉个案如下:
|
年份 |
与资讯及通讯科技应用
有关的投诉
总数 (宗) |
与社交网站
有关
(宗) |
与智能电话
应用程式有关
(宗) |
在互联网披露或洩漏个人
资料 (宗) |
|
2017年 |
237 |
113 |
58 |
50 |
|
2016年 |
229 |
86 |
61 |
26 |
|
2015年 |
241 |
19 |
71 |
22 |
-
私隐专员已就近日有报道指社交媒体平台Facebook用户个人资料疑被滥用一事展开循规审查,并会按照《私隐条例》的规定及既定程序跟进事件。
-
截至2018年4月3日,公署未有接获与Facebook用户个人资料疑被滥用事件的相关投诉,而查询则有一宗[3]。
(如需引述,请写香港个人资料私隐专员黄继儿)
[1] 《私隐条例》下保障资料第1原则:收集资料原则
[2] 《私隐条例》下保障资料第3原则:使用资料原则