問:我們是一間銀行。一間代表一名死者的遺產管理人的律師行來信,要求我們披露某些有關死者名下帳戶的記錄。不過,由於這些記錄亦涉及與第三者有關的資料,披露這些記錄,是否觸犯條例?
答: 第一點要留意的是,條例只適用於個人資料,而一般來說「個人資料」是指與在生人士有關的記錄下來的資料。因此,有關記錄如果只與死者有關,不涉及任何在生人士,便不屬於個人資料,不受條例規限。不過,根據來信所說,有關記錄包括與第三者有關的資料。假設部分或全部這些第三者仍然在生,身分可能從有關記錄被辨認出來,則向律師行披露與他們有關的記錄,便是披露個人資料,因此須遵守條例的規定。
與此事有關的規定是附表1保障資料第3原則。該原則規定,除非獲得資料當事人的「訂明同意」,否則資料使用者不得使用,包括「披露」或「轉移」有關資料作當初收集這些資料的目的(或與原有目的直接有關的目的)以外的目的,而根據條例,「訂明同意」實質上是自願給予的明確同意。
以我們所見,律師行要求貴銀行披露有關記錄的目的,是用以管理遺產,並非與當初收集這些記錄內的個人資料的目的(或與這個目的直接有關的目的)相同。因此,為了遵守條例,貴銀行必須預先取得有關人士自願給予的明確同意。如果一名或以上的有關人士不給予同意,貴銀行便要考慮可否援引條例第VIII部所指的豁免遵守第3原則的條文。舉例而言,如果不披露有關記錄,會令遺產管理人不能對非法行為作出糾正,例如非法從有關帳戶提款,則根據條例第58(1)(d)和58(2)條,貴銀行是可以披露有關記錄的。不過,在採取這個步驟或援引任何豁免條文前,我們建議貴銀行先行就這些做法是否對有關個案涉及的特別情況適用,徵詢法律意見。