個案簡述

（行政上訴案件第9/2023號）

不公平及過度收集個人資料 — 個人資料的保安 — 保障資料第4原則 — 採取合理切實可行的保安措施 — 沒有發出執行通知

聆訊委員會成員：
劉恩沛女士（副主席）
曾思進博士（委員）
黃朝龍先生（委員）

裁決理由書日期 : 2023年12月6日

投訴內容

上訴人曾向某政府部門（「該部門」）提交一項申請。某日，上訴人的丈夫收到該部門的一名醫務社工來電，表示希望透過他聯絡上訴人以跟進上訴人的申請。上訴人提交該申請時並沒有向該部門提供其丈夫的手提電話號碼（「該電話號碼」）。上訴人認為該名醫務社工是從醫院管理局（「醫管局」）的電腦系統（「該電腦系統」）中取得該電話號碼，故向私隱專員投訴該部門（「個案一」）及醫管局（「個案二」）。

私隱專員的決定

個案一

調查期間，該部門向私隱專員表示，該名醫務社工未能與上訴人取得聯絡，因此透過該電腦系統取得該電話號碼，致電上訴人的丈夫，希望透過他盡快與上訴人聯絡，以跟進上訴人的申請。

私隱專員認為該部門在上述情況下透過該電腦系統取得該電話號碼的做法屬於不公平，亦屬超乎適度，而事件中並無資料顯示該部門或該名醫務社工有任何急切性必須刻意從該電腦系統中查閱上訴人丈夫的電話號碼並透過他聯絡上訴人。因此，私隱專員認為該部門有關做法違反《私隱條例》下保障資料第1(1)及1(2)原則的規定，並向該部門發出警告信。該部門在事後亦採取改善措施，故私隱專員不擬就這宗個案向該部門發出執行通知。

個案二

與此同時，私隱專員亦對醫管局展開了初步查詢。私隱專員審視了醫管局提供的資料，認為醫管局已採取合理切實可行的措施保障其電腦系統內病人的個人資料，因而並無違反保障資料第4原則的規定，故此私隱專員認為在此情況下毋須向醫管局發出執行通知。

上訴人不滿私隱專員的決定，遂向委員會提出上訴。

上訴

委員會確認私隱專員的決定，並基於下述理由駁回上訴人的上訴：

1. 根據行政上訴案件2015年第54號的決定，保障資料第4原則下的責任，只是要求資料使用者「採取合理地切實可行的步驟」保障個人資料，而並非要不計算代價和可行性去採取任何步驟。
2. 委員會認為個案涉及個別職員不當地收集個人資料，而並非源自醫管局系統的缺失，而醫管局已經有既定程序和指引處理違規行為，包括向違規職員作出訓示及督導。因此，委員會認為醫管局已採取合理切實可行的措施保障該電腦系統內病人的個人資料，並無違反保障資料第4原則的規定，故此委員會認為私隱專員在此情況下毋須向醫管局發出執行通知。
3. 就上訴人提出的建議（即醫管局應在有關病人提出有關要求後才列印或轉移有關的個人資料予該部門，而並非將整個系統的存取權開放予該部門）（「該建議」），委員會認同私隱專員的決定，在醫管局沒有違反保障資料第4原則的情況下，醫管局是否更改其現行做法或採納上訴人的建議，純粹屬於醫管局的內部決定。
4. 即使上訴人不同意私隱專員所引用的統計數據（即該部門每年需要處理醫務社會服務的申請數目龐大）以反駁上訴人提出的指稱及該建議，委員會認為這項爭議並不足以推翻私隱專員的決定。

行政上訴委員會的決定

委員會駁回本上訴。

上載日期：2025年3月