投訴內容
投訴人為一名警員。警務署就一宗刑事恐嚇 案件,搜查一間財務公司時,意外地搜到一些與 投訴人借貸有關的資料。雖然該宗刑事恐嚇案經調查後,最終證實不涉及任何刑事成份,但警務處繼而對投訴人進行內部調查,並為此目的向一間銀行索取投訴人在該銀行戶口的往來交易紀錄(下稱「該些資料」)。投訴人不滿該銀行在未有事先獲得他同意的情況下,向警務處披露該些資料,於 是向本公署作出投訴。
該銀行表示是收到警務處的信件,要求它提 供投訴人的該些資料,以對投訴人的財務狀況進行紀律調查。警務處在信中表示有關的 要求受條例第58(1)(d)及(2)條豁免。該銀行認為執法機構可基於法例賦予的權力索取客戶的資料而無須向他們詳細解釋,並根據條例第58(1)(d)及(2)條的規定豁免他們的責任。該銀行亦認為警務處在信中引用條例第58(1)(d)及(2)條的豁免,即代表警務處已清楚表示投訴人的個人資料是用作防止、排除或糾正(包括懲處)任何人所作的不合法或嚴重不當的行為、或不誠實的行為或舞弊行為,而警務 處亦應有合理理由相信如不這樣使用投訴人的個人資料便相當可能會損害條例第58(1)(d) 條所述的情況。因此,該銀行在沒有向警務處了解所涉的調查的詳情的情況下,將投訴人的該些資料提供予警務處。
結果
雖然警務處在信中表示受條例第58(1)(d)及(2) 條的豁免,但該銀行必須明白條例第58(1)(d) 及(2)條所豁免的是 關於個人資 料的使用的保障資料第3原則,是由持有有關個人資料的資料 使用者(即該銀行),在考慮如此使用個人資料時是否適合引用該豁免。亦即是說,在本案的情況下,若所引用的豁免並不適用,最終須負責的是該銀行,而並非是警務處。而且,條例第58(1)(d)及(2)條 為 豁免條款,讓資料使用者在符合相關條文的情況下,可不受條例保障資料第3原則所限,而非規定資料使用者必須不遵從條例保障資料第3原則。因此,該銀行不能單憑 因警務處表示條例第58(1)(d)及(2)條適用,便認定是具法律約束力的規定而必須向警方提供該些資料。
私隱專員認為該銀行應明白該些資料為客戶的敏感個人資料,該銀行有責任將該些資料保密,此責任不應輕易被忽視或推翻,而向警務處提供有關資料並不符合客戶的合理私隱期望。該銀行不應單憑該信函所指,應該對事件作詳細了解及客觀分析,並對警務處作出查詢以決定有關情況是否合乎條例第58 (1)(d)條所述的情況。另一方面,條例第58(2)(b)條訂明有關豁免只適用於如遵守保障資料第3原則便會相當可能損害條例第58(1)條所述的情況。該銀行應在有合理理由相信,倘若不披露該資料便相當可能會損害第58(1)(d) 條的目的。在此案中,即使該銀行在詳細了解警務處對投訴人的調查的情況後,該銀行仍須從客觀事實分析,以了解如保障資料第 3原則適用是否會相當可能損害或阻礙有關第58(1)(d)條的目的。
在本案的情況,私隱專員認為該銀行不能單憑警務處的信件,便可信納向警務處所指提供該些資料屬條例第58(1)(d)條的情況,並有理由相信如保障資料第3原則適用,便相當可能會損害警方所指的目的,因而可引用條例第58(2)條的豁免。因此,私隱專員認為該銀行向警務處提供該些資料的做法有違保障資料第3原則的規定。
該銀行其後接受本公署的意見,制定措施以使在遇到警務處同類的要求時,該銀行的職員會向警務處作詳細了解及查詢後,才會作出是否向警務處提供資料的決定。
上載日期:2013年7月