Skip to content

回應傳媒查詢或報道

回應傳媒查詢或報道

日期: 2020年1月31日

個人資料私隱專員公署就新型冠狀病毒疫情
有關個人資料私隱議題的回應


關於使用疑似病患人士資料作「起底」之用

  • 香港個人資料私隱專員公署(公署)不評論個別事件,但就《個人資料(私隱)條例》(《私隱條例》)下的相關規定作一般性的回覆。
     
  • 在《私隱條例》中,個人資料是指可識辨在世人士的身分的資料,有關資料必須儲存在紀錄內,並且可加以處理或檢索。
     
  • 公署譴責「起底」及網絡欺凌行為,並強調在現行《私隱條例》中有關使用個人資料的保障資料原則(保障資料第 3 原則)規定,使用個人資料的目的,須與當初收集資料時述明的目的一致或直接有關,否則必須先徵得當事人的訂明同意。
     
  • 《私隱條例》第64(2)條規定,在未經資料使用者(資料源頭)同意下,如任何人披露取自該資料使用者的某資料當事人的任何個人資料,而該項披露導致該資料當事人蒙受心理傷害,不論其意圖如何,該人即屬犯罪。若干犯《私隱條例》第64條的刑事罪行,最高刑罰是罰款港幣一百萬元及監禁五年。「起底」及網絡欺凌行為亦可能涉及其他刑事罪行包括刑事恐嚇等,受影響人士更可就其所受的心理損害,向有關的涉事人士提出民事索償。
     
  • 截至1月30日下午五時正,公署接獲一宗相關投訴。
     
  • 公署會密切留意事態發展,在適當時候依法採取跟進行動。



關於披露疑似病患人士資料予包括政府衞生部門的第三者

  • 香港個人資料私隱專員公署(公署)不評論個別事件,但就《個人資料(私隱)條例》(《私隱條例》)下的相關規定作一般性的回覆。
     
  • 在《私隱條例》中,個人資料是指可識辨在世人士的身分的資料,有關資料必須儲存在紀錄內,並且可加以處理或檢索。
     
  • 一般而言,《私隱條例》中有關使用個人資料的保障資料原則(保障資料第 3 原則)規定,使用個人資料的目的,須與當初收集資料時述明的目的一致或直接有關,否則必須先徵得當事人的訂明同意,惟《私隱條例》第59條豁免與公眾或社會利益有關的健康事宜,可免受限制使用資料的規管。
     
  • 根據《私隱條例》第 59(1) 條,在相當可能會對資料當事人或任何其他人的身體或精神健康造成嚴重損害的情況下,資料使用者可毋須得到資料當事人的同意而向第三者披露資料當事人的身體健康或精神健康有關的個人資料(豁免保障資料第 3 原則)。
     
  • 第 59(2) 條亦指出,在以上相同情況下,資料使用者同樣可毋須得到資料當事人的同意而向第三者披露關乎某資料當事人的身分所在的個人資料。《私隱條例》第 59(2) 條設立的原意,是希望針對有需要時可及時獲得有關身份和所在的個人資料,以便有關方面能採取即時行動,防止資料當事人或其他人士的身體或精神健康受到嚴重損害。
     
  • 公署必須強調,公眾人士如引用有關豁免條文,必須確保使用資料當事人的個人資料的唯一目的是保障公眾健康,符合公共利益;同時亦必須考慮尊重資料當事人的私隱,採用侵犯私隱程度較低的方法以達到目的,例如向有關醫護人員或衞生署尋求協助。
     
  • 另一方面,根據《私隱條例》第 60B條,如個人資料是 (a) 由任何成文法則、法律規則或香港法院的命令所規定或授權使用的,或是根據任何成文法則而規定或授權使用的;(b) 在與於香港進行的法律程序有關連的情況下被規定而使用的;或(c) 為確立、行使或維護在香港的法律權利所需要而使用的,該資料獲豁免而不受第 3 保障資料原則的條文所管限。政府已於2020年1月8日將「嚴重新型傳染性病原體呼吸系統病」納入《預防及控制疾病條例》(《香港法例》第599章)附表1的法定須呈報傳染病,以及修訂其附屬法例《預防及控制疾病規例》(《香港法例》第599A章)。根據《預防及控制疾病規例》第4條,如任何醫生有理由懷疑有表列於傳染病個案存在,不論有關的受感染的人是否已死亡,他須立即通知衞生署署長。因此,有關醫護人員可引用《私隱條例》第 60B條,毋須得到資料當事人的同意而向衞生署署長披露關乎某資料當事人的個人資料,以符合《預防及控制疾病規例》的要求,也切合公眾健康及公共利益的目的。

 

關於有商戶要求顧客實名登記

  • 香港個人資料私隱專員公署(公署)不評論個別事件,但就《個人資料(私隱)條例》(《私隱條例》)下的相關規定作一般性的回覆。
     
  • 在《私隱條例》中,個人資料是指可識辨在世人士的身分的資料,有關資料必須儲存在紀錄內,並且可加以處理或檢索。
     
  • 商戶向哪類顧客出售貨品或提供服務乃商業決定,並不受《私隱條例》規管。但另一方面,商戶如在出售貨品或提供服務過程中收集及使用顧客的個人資料,則必須遵從《私隱條例》的規定。
     
  • 就收集個人資料方面,商戶應以合法和公平的方式收集顧客不超乎適度的個人資料,而其收集目的應直接與其業務有關,並應在收集顧客個人資料之時或之前提供《收集個人資料聲明》,告知顧客所收集/ 使用/ 處理的資料及其目的,以及資料可能會轉移給哪類人士。
     
  • 就使用個人資料方面,商戶使用顧客個人資料的目的,只限於收集時述明的目的或直接相關的目的,使用資料於新目的,必須事先得到資料當事人自願和明確的同意,否則會被視作違反保障資料第3原則。
     
  • 另外,《私隱條例》有關資料保留期間的原則規定,資料使用者保留個人資料的時間,不得超過達致原來目的的實際所需。此外,《私隱條例》有關資料保安的原則規定,資料使用者須採取一切切實可行的步驟,保障個人資料不會未經授權或意外地被查閲、處理、刪除、喪失或使用。因此,商戶在出售貨品或提供服務後(即達致原來目的的實際所需後),應盡快刪除所收集的個人資料。如有實際需要保留該些個人資料的話,商戶應採取適當措施以確保個人資料的保安受到保障。