日期: 2016年5月6日
私隱專員回應有關中大學者及網絡組識關注
本地電訊商處理「查閱資料要求」時未有提供完整資料
謝謝你的查詢有關中大學者及網絡組識關注本地電訊商處理「查閱資料要求」時未有提供完整資料事宜,公署現綜合回覆如下:
-
根據《個人資料(私隱)條例》(「條例」)下的保障資料第6原則(資料查閱和更改原則)及第18(1)條的規定,巿民(「資料當事人」)有權查閱其個人資料。根據條例下「個人資料」的定義,那些資料必須直接或間接與一名在世的個人有關,從該資料可直接或間接確定個人的身份,以及該資料的存在形式令查閱及處理均是切實可行的。
因此,即使某項資料(如用戶的IP地址、曾訪的IP地址、地理位置等)單獨看來不屬個人資料,但結合電訊公司或網絡供應商所持有關於該客戶的其他資料後,能切實可行地確定客戶身分,該項資料對電訊公司或網絡供應商而言亦屬個人資料。
-
至於電訊商向第三方披露用戶個人資料是否違法,則視乎如此披露是否與當初收集該資料時的目的一致或直接有關(保障資料第3原則)。除非先獲得該客戶的自願和明示的同意,或者有豁免的情況適用,電訊商在使用或披露客戶的個人資料時必須遵守上述保障資料第3原則的規定。
-
根據條例第19(1)條,電訊商應在收到客戶查閱個人資料要求後40日內依從該項要求,以書面告之其持有有關的個人資料及提供一份該資料的複本,因此不能只以電話口頭答覆方式處理。如電訊商並無持有所要求的資料,亦須以書面告知客戶。
資料使用者如不依從查閱資料的要求,可能觸犯條例所訂的罪行,一經定罪可被處罰款。
-
條例下的「個人資料」定義是必須直接或間接與一名在世的個人有關,從該資料可直接或間接確定個人的身份,以及該資料的存在方式予以查閱及處理均是切實可行的。
公署就查閱資料要求,向作為資料使用者的機構發出以下指引資料,協助機構如何妥善處理查閱及改正資料要求,以及收取查閱資料要求的費用:
公署另刊發《如何行使個人資料(私隱)條例賦予你的查閱個人資料權利》,當中列舉一些常問問題及答案,以協助巿民提出查閱資料要求。
(如需引述,請寫個人資料私隱專員黃繼兒)