Skip to content

公署通讯

公署通讯

图片
 这份私隐专员公署的通讯,向机构提供有关保障个人资料的良好行事方式的指引。
 
请即登记网上版本!!
 
公署通讯(网上版本)
(香港个人资料私隐专员公署通讯)
2010年12月第24期
 
图片专访

个人资料私隐专员蒋任宏

图片

在政府经历长久和卓越的职业生涯后,大多数人会选择享受閒适恬静的退休生活,但蒋任宏先生在服务政府33年之后,仍然坚持另一番作为。蒋先生于2010年8月上任个人资料私隐专员时,公署正处于最紧张的时刻,当时公众正热切关注「八达通日日赏」计划侵犯私隐的个案。

公署在过去多年一直踏实地工作,提高人们对个人资料私隐的意识,但在2010年7月前任专员就「八达通日日赏」计划使用客户的个人资料作直接促销而主动展开正式调查后,情况出现巨大转变。事件令公署备受公众注目。传媒对公署的报道空前的多,公众对公署工作的兴趣亦比前增加。

蒋先生表示: 「这可能是人们以前没有重视个人资料私隐的问题。但随着社会发展,我们开始迈向知识型社会,这个议题逐渐得到个人及不同机构的重视。 」

他说: 「八达通事件对于以往忽视个人资料私隐的人士应响起一个警号。企业及机构有很多事情要处理,例如有关盈利及人力资源的问题,而资料私隐的问题通常会排在较后位置。这事件罕有地令私隐问题可以攫取到公司最高管理层的注意。 」

蒋先生补充: 「现今的业务模式都标榜『以客为本』 ,但我发现很多机构在个人资料私隐范畴完全没有以客为本,实在令我惊讶。在收集及使用客户的个人资料方面,机构倾向尽量行使其酌情权,而牺牲客户的自决权。他们似乎满足于符合法律的最低要求,及着眼于在灰色地带钻空子。 」

蒋先生强调: 「今日的商业竞争不再只是局限于价格及服务质素。机构要取得长久及更高层次的成功,必须在新的范畴超越对手,例如环保、企业社会责任及保障人权。传统模式需要改变,行政总裁及公司高层必须有新的思维。 」

他补充: 「个人资料私隐权利是『基本人权』 ,随着社会及经济进步,公众对这个议题的意识在过去数年有所提升。但公署要有效地执行《个人资料(私隐)条例》 (下称「条例」 ) ,需要持续掌握不断转变的营商手法及科技应用。 」

近数年,加强香港的资料私隐法律已成为政府优先处理的项目。这点可从政府于2009年8月28日发出的《检讨个人资料(私隐)条例的谘询文件》看到。该文件提出了43项修订建议,谘询公众意见,而大部分建议是由公署提出的。公署提出的众多修订建议之一是把任何人在未得资料使用者同意下,知情或罔顾后果地取得或披露个人资料,或出售个人资料图利的行为订为罪行。

蒋先生表示: 「今天,互联网及社交网站科技非常普及,但在条例草拟之时,尚在萌芽阶段。此外,在过去数年,越来越多科技使用者在日常生活中应用网上技术。在这情况下,加上机构和政府比以往更有效收集及处理大量个人资料,保障私隐比以前变得更为切身及重要。目前条例的基本原则是经得起时间的考验。公平、透明、处理资料的合法理由、适当的保安安排,资料的合理查阅等概念仍然是规管这范畴的基石。 」

他补充: 「不过,社会的一般共识是收紧对保障个人资料的管控,我很高兴看到政府跟进建议,提供更大的私隐保障及施加较重的制裁。有些由公署提出的建议,政府已表明不会跟进,包括: (a)就收集及使用客户的个人资料作直接促销采取「接受服务」机制, (b)直接规管资料处理者, (c)对敏感个人资料提供更大保障, (d)赋权公署向受屈的资料当事人判给补偿及对严重违反私隐的资料使用者处以罚款。我会透过公众参与及谘询利益团体,尽力令这些建议再被纳入考虑范围。 」

蒋先生一方面对加强香港的保障资料法律持前瞻性态度,另一方面他相信社会是需要在尊重个人资料私隐权利与其他权利(包括公众及社会利益)之间「取得平衡」 。蒋先生认为个人资料私隐等同「互相尊重」 ,这个理念应存在于公司文化及个人的观念之中。他主张尊重个人资料私隐应融入商业过程及机构的营运程序。他进一步建议,要做到真正以客为本及尊重私隐的机构,必须整个机构全面性应用,动员所有员工。最高管理层的推动尤其是不可或缺的。

蒋先生的工作价值-专业操守及诚信,与公署的价值系统完全吻合。公署是个非常注重工作表现及效率,并时刻受到公众监察的机构,在具有丰富公共行政经验的蒋先生领导下,公署的表现会更为出色。蒋先生在担任邮政署署长期间,于2003 - 04年度成功地将邮政业务转亏为盈,及协助邮政署建立着重客户服务、市场需求及业务表现的企业文化。

公署每年处理超过一千宗投诉,因为社会各界对保障个人资料的问题越益重视,工作量与日俱增,公署还要面对招聘适合人才的挑战。另一方面,公署会加强推广及教育方面的工作,以促进私隐循规。公署最近便为直销行业发出有关收集及使用个人资料的指引。蒋先生表示: 「自从发生八达通事件后,很多公司希望就处理个人资料取得我们的指导,因此我们发出这份指引。我们希望公司在跟从专员的建议后,能够提升与客户的关系,从而取得竞争优势。 」

在公署未来众多的推广计划中,其中一项是与中学的通识教育有关。另一项目则针对大学,公署计划在相关的课程,如人力资源管理及市场学,加入有关个人资料私隐的单元。

蒋先生补充: 「我们的教育及实用指导项目会更为针对目标人士及特定行业。此外,我们会在中学课程加入个人资料私隐项目。透过这些安排,我们希望保护个人资料私隐的意识会成为年青人日常生活的一部分。例如,他们会留意到社交网站的陷阱,知道有责任保护自己。 」
 
图片

进一步讨论检讨《个人资料(私隐)条例》

图片
由左至右:政制及内地事务局副秘书长何健华、政制及内地事务局副局长黄静文、私隐专员蒋任宏及公署首席律师郭美玲出席政府在十一月四日举办的公众谘询会

政府在2009年8月至11月期间就检讨《个人资料(私隐)条例》 (下称「条例」 )进行公众谘询。其后,政府在2010年10月18日发表了「检讨《个人资料(私隐)条例》的公众谘询报告」 ,邀请公众进一步讨论加强条例对个人资料私隐保障的立法建议。

为了向社会各界表达公署对有关立法建议的立场,及听取各方意见,私隐专员蒋任宏在2010年11月至12月期间会见了市民大众及有关界别人士,希望社会各界能够进一步讨论,并达至共识,确保新修订的条例能够满足市民大众对保障个人资料私隐的期望。
图片

公众请于2010年12月31日前就立法建议提出的意见提交政制及内地事务局(第4组) 【邮寄(邮寄地址:香港下亚厘毕道中区政府合署东座364室) 、传真(传真号码: 2523 0565)或电邮(电邮地址: pdpo_consultation@cmab.gov.hk) 】 。

 
 
图片收集及使用个人资料作直接促销

调查报告-八达通日日赏计划

个人资料私隐专员(下称「专员」 )于2010年10月18日发表报告,公布根据《个人资料(私隐)条例》 (下称「条例」 )第38(b)条就八达通奖赏有限公司(下称「八达通奖赏公司」 )及其控股公司-八达通控股有限公司(下称「八达通控股」 ) ,在营运八达通日日赏计划(下称「该计划」 )时,收集及使用客户的个人资料而展开调查的结果。

自2010年3月底,该计划的部分会员对于其个人资料在他们不知情或未同意的情况下被转移予第三者作直接促销,深表关注。其后,一名声称是该计划的参与商户的前僱员的人士,向传媒及公署表示,八达通奖赏公司将该计划的会员个人资料出售给该参与商户,作直接促销用途。鑑于事件的严重性,专员于2010年7月22日展开调查,以确定八达通控股及八达通奖赏公司有否违反条例的规定。

完成调查后,专员认为八达通奖赏公司在收集及使用客户的个人资料的过程中,违反了条例保障资料第1(1)原则、第1(3)原则及第3原则的规定。

首先,八达通奖赏公司为认证客户身份目的收集了超乎适度的个人资料,包括身份证号码、护照号码、出生证明书号码,以及出生年月。其实,有关公司可以使用已收取的其他侵犯私隐程度较低的个人资料(例如电话号码及住宅地址)以达致同样目的。八达通奖赏公司因而违反了保障资料第1(1)原则的规定。

第二,八达通奖赏公司没有采取所有合理地切实可行的步骤,确保已清楚告知申请参加该计划的客户资料可能被转移予甚么类别的人。另外,其收集个人资料声明均以不合理地细小的字体印制,并以宽松的字眼描述资料承让人的类别,八达通赏奖公司全权决定资料转移予谁。八达通奖赏公司因而违反了保障资料第1(3)原则的规定。

第三,八达通奖赏公司在没有客户的订明同意下,与五个合作商户分享客户的个人资料,并从中获得金钱收益,交易其实是售卖个人资料。虽然条例没有禁止八达通奖赏公司销售个人资料,但此举并不能被视为收集资料的原本目的或直接相关目的。该计划的收集个人资料声明没有说明会销售客户个人资料以取得利润。八达通奖赏公司因而违反了保障资料第3原则的规定。

依据条例第50(1)条,如专员认为八达通奖赏公司及八达通控股正在违反或已经违反条例规定,而违反情况令到违反行为将持续或重复发生是相当可能,则专员可向八达通奖赏公司及八达通控股送达执行通知。然而,专员注意到八达通控股已公开声明不会参与任何须向夥伴商户提供客户个人资料以作促销用途的活动,并暂停登记新会员。八达通奖赏公司又向专员书面承诺(a)彻底删除及销毁过量收集得来的个人资料(b)彻底删除及销毁为获得金钱收益而向5间夥伴商户转移的客户个人资料(c)重新设计收集个人资料声明的描述和展示,让一般正常视力的人士可易于细读(d)按其独特性质来列出资料承让人的类别,让人以合理的程度了解个人资料会被移转予甚么人(e)日后如要转移现有的客户的个人资料予该计划下的参与商户作金钱收益,必须取得客户的明确及自愿同意。

鑑于八达通奖赏公司已停止引致有关违反的作为,并作出有关书面承诺,专员认为持续或重复违反行为的机会不大,所以没有发出执行通知。
私隐专员蒋任宏(中)在2010年10月18日举行记者会,公布「八达通日日赏计划」的调查报告


有关「收集及使用个人资料作直接促销」的常问问题

公署于2010年10月发出了《收集及使用个人资料作直接促销指引》 (下称「指引」 ) ,为资料使用者在收集及使用个人资料进行直接促销活动提供实用性指引,以符合《个人资料(私隐)条例》 (下称「条例」 )的要求。

以下是一些常问问题及答案,协助资料使用者理解指引的内容:

1
资料使用者可以向客户收集哪些个人资料作直销用途?

一般来说,客户的姓名及联络资料应该足以进行直接促销。如要收集更多资料以进行客户概况汇编及分类,从而提高成本效益,资料使用者应通知有关客户,提供这些额外资料完全属自愿性质。另外,进行直销活动通常不需要收集敏感个人资料如身份证号码。

 
2
公司甲可否以公司乙的名义促销本身的产品?

如有关情况令客户误以为是公司乙正在进行促销该公司的产品/服务,而该客户基于这信赖在交易当中提供了相关的个人资料,此举有可能违反条例保障资料第1(2)原则,该原则规定收集个人资料的方式必须合法及公平。

 
3
服务申请表中,同时包含资料使用者所提供服务的条款及细则,以及有关将收集的资料用于促销与原本寻求的服务没有直接关系的产品或服务,但申请表上只得一栏让客户签署,资料使用者这做法如何?
 

若有关资料使用者这样做的话,该客户只可有两个选择(i)放弃申请服务;及(ii)给予「綑绑式同意」 ,即是接受原本寻求的服务的条款及细则之同时,须接纳资料使用者对其资料所订明的用途,虽然他其实是反对有关订明的用途。在此情况下,建议资料使用者的服务申请表应将客户同意购买服务的条款及细则的部分,与客户同意其个人资料被用于促销与他原本寻求的服务没有直接关系的产品或服务的部分区分开来。要达到这目的,建议的方法包括让客户在空格上加上「 」号,或另行签署,表明是否同意把其个人资料用于订明用途。

 
4
如何设计一份能有效向客户沟通的「收集个人资料声明」 ?

首先, 「收集个人资料声明」的设计和展示,应该让拥有正常视力的客户易于细读;第二, 「收集个人资料声明」应独立处理,内容不应含混于资料使用者的服务条款及细则之中;第三, 「收集个人资料声明」所使用的语言要易于理解,避免使用法律词汇或晦涩难解的词组;第四,公司可提供服务台或查询服务等进一步支援,协助客户了解「收集个人资料声明」的内容。另外,资料使用者应考虑收集个人资料的实际情况,例如目标客户的特征(如年龄、教育程度等) ,尽力使「收集个人资料声明」内的讯息有效地传递予客户。

 
5
资料使用者可否在其「收集个人资料声明」中,使用类似「公司不时订明的其他目的」等的字眼,来描述机构使用客户个人资料的目的?
 

资料使用者不应以宽松及模糊的字眼描述使用目的,以掩盖收集资料作直接促销用途。建议的良好行事方式是清楚述明直接促销活动的类别(例如促销金融或保险产品) 。

 
6
资料使用者可否在「收集个人资料声明」中,使用「能提供客户有兴趣服务资讯的特选公司」「所有业务夥伴」 ,来指明资料承让人的类别?
 

资料使用者不应以宽松及模糊的字眼,令客户无法合理地确定资料承让人的类别。资料使用者应按资料承让人的特点厘定类别,例如「金融服务公司」 、 「电讯服务供应商」等。

 
7
资料使用者可否从公共领域(例如公共登记册)的记录取得个人资料作直销用途?

如有关公共登记册已指明禁止把个人资料用于直接促销,资料使用者就不应从该公共登记册取得个人资料作直销用途,否则不单可能违反保障资料第3原则,亦可能违反设立公共登记册的相关条例。如有关公共登记册没有指明该等个人资料的使用目的,机构则须考虑设立有关公共登记册的背景,及资料当事人的合理期望,以决定是否使用该等个人资料被直接促销用途。

 
8
资料使用者转移客户的个人资料予夥伴公司作跨业直销活动时,是否需要通知其客户?
 

资料使用者应考虑在进行跨业直销计划前先通知客户,例如邮寄资料小册子通知他们计划的性质及主题、夥伴公司的身份及联络资料、会否转移客户的个人资料、转移资料的种类,以及防止夥伴公司不当使用资料的措施。转移资料的公司亦可考虑从夥伴公司取得促销资料,让本身的职员进行促销活动。

 
9
资料使用者可否将其客户的个人资料,转移给其他公司以获取金钱收益?
 

此举通常不会被视为收集资料的原本目的或直接有关的目的。有关资料使用者必须就出售资料取得客户的明确及自愿同意,否则该资料使用者会承受违反条例的保障资料第3原则的风险。同意可用签署或勾选方格的方式示明。

 

「如何在直销活动中保障客户的个人资料」工作坊

为加强资料使用者对《收集及使用个人资料作直接促销指引》内容的了解,以及在收集及使用个人资料进行直接促销时如何符合条例的规定有更具体的认识,公署在2010年11至12月期间举办了五场工作坊,让全港所有相关的从业员参加。

在工作坊上,公署职员除了详细讲解指引的内容,更亲身与参加者分析不同个案,及进行小组讨论。工作坊吸引了近500名来自直销、银行、保险、电讯等不同行业的人士参加。
 
图片保障资料主任联会消息

「资料外洩事故通报」讲座

2010年9月9日,公署为会员举行讲座,介绍新出版的《资料外洩事故的处理及通报指引》 ,及如何使用新制作的《个人资料(私隐)条例培训课程导师手册》 。

私隐专员蒋任宏与会员讨论保障个人资料的议题

「如何进行私隐影响评估」讲座

2010年6月16日,公署邀请了国际私隐专家Roger Clarke先生向会员讲解如何进行私隐影响评估。 Roger Clarke先生是一位专长于监察及私隐策略及政策的顾问,亦是英国资讯专员办公室出版有关私隐影响评估书刊的主要作者。
 
图片查询及投诉数字

查询数字:16,618

(2010年1月1日至11月30日)

按查询机构类别:

图片

按查询性质:


图片

投诉数字:1,064

(2010年1月1日至11月30日)

按被投诉者类别:

图片

按投诉性质:

图片
 
图片国际联系

第三十三届亚太区私隐机构论坛

第三十三届亚太区私隐机构论坛在2010年6月3至4日在澳洲达尔文举行。出席者包括澳洲、香港、韩国、澳洲北领地、新西兰及澳洲维多利亚省的私隐机构代表。其他管辖区的私隐机构亦派代表以观察员身份出席,包括美国联邦贸易委员会、日本消费者厅、韩国通讯委员会、澳门个人资料保护办公室,以及澳洲昆士兰、南澳洲及澳洲首都特区。

与会者就普适运算、云端运算,及利用生物辨识资料作门禁管理对私隐的未来影响,分享意见。他们亦讨论了全球私隐执法网络、亚太区经济合作组织私隐机制、经济合作及发展组织的资讯保安及私隐工作小组、国际资料保障及私隐专员研讨会议,及设立全球私隐标准的进度。 」

会上,会员同意成立科技工作小组,由香港担任组长。该小组会作为亚太区私隐机构论坛的焦点,及可能设立一个资料库,汇集意见、经验、个案简述及指引。此外,随着论坛获得的支持亦与日俱增,成员同意扩阔亚太区私隐机构的成员数目。

 

第三十二届国际资料保障及私隐专员研讨会

2010年10月27至29日,私隐专员蒋任宏出席了在以色列耶路撒冷举行的第三十二届资料保障及私隐专员研讨会。会议的主题是「私隐:世代」 。在会议上,私隐专员与来自世界各地的私隐机构代表,一同探讨新科技和新一代的用户如何影响现有的资料保障法规,以及制定新的管治,其中包括立法框架、创新的策略,和新的执行模式的必要性。在非公开会议上,专员与其他成员讨论了资料保障机构及其他监管机构(如竞争政策监管机构、资本市场的规管者和保护消费者的监督者)之间的合作。

 

个人资料私隐专员公署参与亚太区经济合作组织跨境私隐执法安排

在2010年8月,公署正式参与亚太区经济合作组织(下称「亚太经合组织」 )跨境私隐执法安排(下称「该项安排」 ) 。

该项安排是亚太经合组织各成员经济区主动作出的措施,以促进本土及国际间推广和执行资料私隐的保障。该项安排透过建立资料分享机制及区域性合作促进执行私隐法例,从而提昇顾客与公司对涉及跨境资料流通的电子商贸的信任和信心。

该项安排已于2010年7月16日开始实施。目前,参与该项安排的私隐执法机构共五个,包括澳洲私隐专员公署、加拿大私隐专员公署、新西兰私隐专员公署、美国联邦贸易委员会,以及香港个人资料私隐专员公署。

香港在参与该项安排后,可以联络其他参与的私隐执法机构提供协助,或就涉及经济区之间的资料私隐调查及执法事宜作出转介,以及进行同时联合行动。此举可提高香港一直以来在增加跨境贸易增长方面的成果。

举例来说,如果在香港收集个人资料的海外公司违反《个人资料(私隐)条例》 ,或者市民发现其原本由本地公司持有的个人资料被移转予海外人士,并遭不当使用,公署现在可以在调查过程中向相关的私隐执法机构寻求协助。在较广的层面来说,如果一间业务遍及亚太经合组织成员经济区的国际公司被发现侵犯个人资料私隐,相关的私隐执法机构可以合作调查事件。

 

亚太经合组织资料私隐分组研讨会

2010年9月15至18日,公署的首席律师出席了在日本仙台举行的亚太经合组织资料私隐分组研讨会和有关会议。公署将继续积极参与亚太经合组织的资料私隐分组的工作,以保持香港的保障个人资料私隐达致国际标准。

 
 
图片公署最新制作/发出的宣传刊物及报告

介绍公署工作及条例内容的短片

公署最近制作了一段短片,透过一名市民到访公署进行查询作引子,从而向观众介绍《个人资料(私隐)条例》的条文、管辖范围、保障资料原则,以及简介公署的架构及职能、处理投诉程序等。

 

图片《个人资料(私隐)条例中的保障资料原则-私隐专员的观点》 (修订版)

公署出版了《个人资料(私隐)条例中的保障资料原则_私隐专员的观点》 (下称「该书」 )的修订版。自此书在2006年首次出版后,科技的迅速发展对市民的个人资料私隐权产生了深远影响,公署因此觉得有需要修订此书。此书让读者深入了解《个人资料(私隐)条例》中保障资料原则的实际应用,是这方面的唯一参考书籍。

 

私隐影响评估资料单张

公署在7月发出了《私隐影响评估资料单张》 ,解释为何及如何进行私隐影响评估,以及作出私隐影响评估的好处。

 

指引资料

公署最近发出了三份指引资料: 《资料外洩事故的处理及通报指引》 、 《闭路电视监察措施指引》及《收集及使用个人资料作直接促销指引》 。

《资料外洩事故的处理及通报指引》 ,协助资料使用者处理资料外洩事故,减低对有关资料当事人所造成的损失及损害。

《闭路电视监察措施指引》旨在向机构就应否及如何负责任地使用闭路电视提供建议,并协助机构了解《个人资料(私隐)条例》有关收集及妥善处理个人资料的一些规定。

《收集及使用个人资料作直接促销指引》是为收集及使用个人资料进行直接促销活动的资料使用者提供实用性指引。

 

图片新修订的查阅资料要求表格及资料概览

新修订的查阅资料要求表格已于2010年9月1日起生效。为协助市民提出查阅资料要求,公署特别编制一份资料概览,以问答形式解释提出资料要求时需注意的地方。

 

 

 

调查报告

公署在2010年7月30日发表了一份有关「美容中心未获取客人同意把其个人资料移转至第三者」的调查报告。
 
图片讲座与研讨会

图片2010年10月19日,个人资料私隐专员蒋任宏先生在香港电脑学会「创新与科技系列-杰出讲者午餐会议」发表题为「保障个人资料私隐的挑战」的演讲辞。

 

 

 

2010年11月27日,个人资料私隐专员蒋任宏先生在香港会计师公会举办的「资讯科技会议2010:资讯高速公路_联系香港与地球村及会计师可如何增值」上发言。讯科技会议2010:资讯高速公路_联系香港与地球村及会计师可如何增值」上发言。

 

图片 2010年11月13日,个人资料私隐专员蒋任宏先生出席了由在香港市务学会举办的「从《个人资料(私隐)条例》下市务营销何去何从」研讨会。 (左起:香港互联网协会主席莫乃光先生、消费者委员会总干事刘燕卿女士、香港市务学会主席严启明先生、私隐专员蒋任宏先生,及香港中文大学市场学系教授及市场工程研究中心主任刘建南教授)
 

 

公署资讯科技顾问张宗颐先生于2010年9月29日在香港电脑学会所主办的「香港国际电脑会议」上发言,题目为「保障私隐由设计阶段做起」 。