日期: 2020年8月13日
公署回应传媒有关使用客户个人资料的查询
就 贵报查询有关企业使用客户资料的事宜,香港个人资料私隐专员公署(私隐公署)现就《个人资料(私隐)条例》(《私隐条例》)的相关内容回应如下:
问题
「我们希望可以对涉及企业使用客户资料的私隐条例进行查询,现将访问提纲拟定如下:
-
香港个人资料私隐专员公署关于在香港当地经营的企业,对其客户资料的使用及洩露有何限制?若违反条例或造成客户损失是否会有法律方面的措施/后果?
-
公署对于在港经营的网络科技公司(如社交网络公司)洩露客户个人或影像资料予第三方是否有相关条例可以查询?」
答:问题1 & 2
-
不论公私营机构,包括网络科技公司,在香港或从香港控制收集、持有、处理或使用(包括披露和转移)客户的个人资料时,都须遵守《私隐条例》及其六项保障资料原则的规定。机构(包括网络科技公司)即使在香港经营,但若其业务不涉及在香港或从香港控制收集、持有、处理或使用客户的个人资料,《私隐条例》便并不适用。
-
根据保障资料第3原则,个人资料只限使用(包括披露和转移)于收集时述明的目的或直接相关的目的,除非得到资料当事人的自愿和明确的同意,或者根据情况而决定引用《私隐条例》下的相关豁免条款,例如防止或侦测罪行。
-
此外,根据保障资料第4原则,任何机构都必须采取所有切实可行的步骤,包括有效的保安措施,以确保其处理的个人资料不会未经准许或意外地被查阅、处理、删除、丧失或使用。
-
违反《私隐条例》的保障资料原则并不直接构成刑事罪行,惟私隐专员可发出执行通知,指令违规人士/机构采取补救措施。若有关资料使用者不遵守执行通知,公署可将个案转交警方作刑事检控。违法者一经定罪,可被判处最高罚款五万元及监禁两年;如罪行持续,可处每日罚款一千元。
-
此外,虽然《私隐条例》没有规定机构性的资料使用者须就他们持有的个人资料的外洩事故通知私隐公署,但私隐公署建议资料使用者向公署作出通报,以妥善处理有关外洩事故,并通知受影响的个别人士。倘私隐专员有合理理由相信有违反《私隐条例》的规定,不论有否接获资料外洩事故通报,可按实际情况决定对有关的机构性资料使用者进行循规审查及/或根据第38(b) 条展开循规调查。
-
机构应制定清晰及足够的政策、处理方式、程序和机制,以保障个人资料私隐不被侵扰,特别是性质独特及敏感的个人资料。除了守法合规之外,机构亦应实践数据道德,即以尊重、公平和互惠的原则去处理个人资料,从而在所有持份者中构建互相尊重和信任。