Skip to content

個案簡述

個案簡述

有關電子郵件的個案簡述

參考編號.:2007A06

電郵服務提供者向中國執法機構披露 電郵用戶的個人資料

行政上訴委員會裁定,沒有足夠證據證明電郵服務提供者向中國執法機構披露上訴人的個人資料,及上訴人在服務條款中就「根據法律程序」的披露給予訂明同意。

上訴人是一名中國電郵用戶 - 電郵服務提供者在中國的營運機構向中國機關提供某些用戶註冊資料、互聯網協定登入資料及電郵內容,以遵從合法發出的調取證據通知書 - 保障資料第3原則 - 披露個人資料 -「資料使用者」- 控制的問題 - 第65(2)條 - 境外適用性 -根據第58(1)條豁免「罪行」 (行政上訴委員會上訴案件第16/2007號)

投訴內容

上訴人是中國居民及電郵服務提供者在中國的營運機構的用戶。上訴人被懷疑透過電郵向境外洩漏國家機密,違反中國國家秘密法。電郵服務提供者在中國的營運機構為了遵從中國機關發出的調取證據通知書的規定,披露了某些用戶註冊資料、互聯網協定登入資料及電郵內容。上訴人其後在中國被定罪。上訴人向私隱專員作出投訴,懷疑有人違反保障資料第3原則。私隱專員根據條例第38(a)條進行調查。

私隱專員的調查結果

私隱專員研究過電郵服務提供者業務運作上的公司架構。在中國及香港的網站雖然都是由電郵服務提供者(一間香港註冊公司)擁有,但兩者是獨立運作及管理的。根據條例第65(2)條,電郵服務提供者作為主事人,只要其代理人的作為或行為是在條例的管轄範圍之內,就要對有關作為及行為負責。不過,沒有證據顯示上訴人收集、持有、處理及使用個人資料的作為是在香港發生,或顯示調取證據通知書是發給香港的電郵服務提供者。

關於上訴人的個人資料是否被披露的問題,私隱專員認為單獨一個IP位址是被編配予沒有生命的電腦的特定機器位址,就其本身而言,並不符合條例中「個人資料」的定義。問題是究竟IP位址與其他辨識資料結合一起時是否構成「個人資料」。除了法庭的判決書確認有關IP位址的帳戶資料是由電郵服務提供者提供之外,並沒有其他證據證明上訴人的個人資料確實被披露。由於有關的電郵是由別名發出,電郵地址本身沒有揭露上訴人的身份,而且沒有證據顯示上訴人是以真實姓名登記其電郵帳戶,因此作出「上訴人的個人資料是由電郵服務提供者披露」這個結論並不穩妥。因此,私隱專員認為沒有足夠證據證明違反保障資料第3原則。

鑑於事件引起公眾關注,私隱專員假設上訴人的個人資料被披露,繼續審查個案。私隱專員考慮過披露的情況,認為電郵服務提供者在中國的營運機構是受中國機關發出的合法通知書迫令而披露有關資料,如不依從,會受到制裁。私隱專員認為在法律的強制下,控制(如有)會失去及變得無效。因此,電郵服務提供者並不符合「資料使用者」的定義,「資料使用者」必須是「控制該等資料的收集、持有、處理或使用」的人。條例並沒有境外適用性,所以在理解條文時要應用領域原則。由於管轄的相關因素並不存在,私隱專員認為有關作為或行為超越條例的範圍。

假設條例有管轄權,在決定個人資料的使用有否違反保障資料第3原則時,私隱專員認為根據保障資料第3原則,遵從法定要求是與收集目的相符的「使用」。由於電郵服務提供者在中國的營運機構必須依從中國的法律,披露有關資料是符合保障資料第3原則的規定。最後,私隱專員亦考慮過條例第58(1)條豁免條文的適用性,認為「罪行」及「犯罪者」應該狹義地理解為香港的罪行,及可以伸延至包括《刑事事宜相互法律協助條例》(第525章)適用的罪行。上訴人對私隱專員的調查結果不滿,向行政上訴委員會提出上訴。

上訴

委員會回應上訴人提出的四項上訴理據:

IP位址與其他被披露的資料結合是否構成上訴人的「個人資料」

委員會在考慮下述事實後,認為沒有足夠證據斷定上訴人的「個人資料」被披露:(i)判決書沒有顯示IP位址的相關使用者資料屬於上訴人或揭露他的身份,向中國機關提供的是業務地址,而不是個人地址;(ii)不能保證電郵服務用戶所提供的資料是真的;(iii)電郵帳戶的用戶名稱並非上訴人的姓名;及(iv)電郵是以別名發送,沒有揭露上訴人的真正身份。上訴人未能履行舉證責任,提出可信證據,證明中國機關持有的登記資料披露了他的個人資料。

電郵服務提供者在關鍵時間是否「資料使用者」

基於在中國的業務經營者是電郵服務提供者的代理這個事實,後者有權控制有關資料。委員會認為即使有關披露是受法律迫使,只要電郵服務提供者選擇披露資料,是不會及不能令他們的控制變得「無效」的。委員會裁定,電郵服務提供者是條例所界定的「資料使用者」。

條例在境外是否適用
在決定電郵服務提供者是「資料使用者」之後,委員會認為無需再看條例在境外是否適用的問題。

有沒有違反保障資料第3原則
委員會認為上訴人經服務條款給予「訂明同意」,授權電郵服務提供者「根據法律程序」作出有關披露。

委員會不同意私隱專員的觀點:根據保障資料第3原則依從披露個人資料的法定要求應被視為與收集目的相符的使用。委員會認為「向刑事檢控機關披露個人資料不能被視為有關各方在資料收集時所預定的『使用』」。

關於第58條豁免條文的適用問題及「罪行」一詞的詮釋,委員會認為上訴人在中國干犯的罪行在香港法律下不構成罪行。

行政上訴委員會的決定

上訴被駁回。

[註:私隱專員發表的調查報告及行政上訴委員會裁決理由書的全文,可分別從 http://www.pcpd.org.hk/chinese/publications/files/Yahoo_c.pdfhttp://www.pcpd.org.hk/english/publications/files/Appeal_Yahoo.pdf下載。]

上載日期:2008年8月


個案種類 : 按條例規定/ 保障資料原則/ 實務守則/ 指引分類 : 按題目/內容分類: