投訴人是一間公司(下稱「該公司」)的網上電子金融資訊服務的訂戶。投訴人在訂購服務時,向該公司提供電郵地址xyz@xxx.com.hk (xyz是投訴人名字的首字母)。投訴人其後在該電郵地址收到大量垃圾電郵。投訴人從傳媒得知該公司的系統曾遭黑客入侵後,指稱該公司沒有保障他的個人資料。投訴人因而向私隱專員作出投訴,指稱該公司違反條例的保障資料第4原則。
透過該公司的網站訂購服務--向該公司提供電郵地址--電郵地址收到垃圾電郵--傳媒報導該公司的系統曾遭黑客入侵--該公司是否沒有保障投訴人的個人資料而違反保障資料第4原則--第39(2)(d)條、個人資料的定義及保障資料第4原則
投訴內容
投訴人是該公司的網上電子金融資訊服務的訂戶。在申請服務時,投訴人向該公司提供電郵地址xyz@xxx.com.hk (xyz是投訴人名字的首字母)。投訴人其後在該電郵地址收到大量垃圾電郵。投訴人從報章得知該公司的系統曾遭黑客入侵後,投訴該公司沒有採取所有切實可行的步驟,保障他的個人資料(即該電郵地址)免受垃圾電郵發出者未獲准許的或意外的查閱,因而違反條例的保障資料第4原則。
私隱專員的決定
私隱專員認為投訴人的電郵地址並不構成條例所指的「個人資料」,因為投訴人的身份不能單從電郵地址可以確定;亦沒有證據顯示該公司的網站曾向垃圾電郵發出者洩漏他的個人資料。由於沒有表面證據證明有違反條例的情況,私隱專員根據條例第39(2)(d)條拒絕進行調查。投訴人對私隱專員的決定提出上訴。
上訴
沒有爭議的是,投訴人在該電郵地址所收到的垃圾電郵並無載有關於投訴人身份的資訊。除了使用該電郵地址外,並沒有證據證明有人未經准許使用投訴人的個人資料或可揭露投訴人身份的資料。行政上訴委員會並不排除電郵地址在某些情況下屬於個人資料的可能性;在那些情況下(不論是因為電郵地址本身或連同其他資訊顯示有關資料),從電郵地址確定一個人的身分是合理地切實可行的。不過,在本個案,儘管電郵地址的字首“xyz”與投訴人名字的首字母相同,行政上訴委員會並不接納該電郵地址可合理地確定投訴人的身分這個說法。由於缺乏其他證據,行政上訴委員會認為該公司並無違反保障資料第4原則。
行政上訴委員會的決定
上訴被駁回。
上載日期:2009年4月