1. 公署在未了解有關程式的實際運作情況之前,不適宜評論個別事件有否涉及違法的情況。
一般而言,《個人資料(私隱)條例》(「條例」)規定,任何控制收集、持有、處理或使用(包括披露和轉移)個人資料的人士/機構(即資料使用者),須遵從條例的規定,包括六項保障資料原則。其中保障資料第3原則訂明,除非得到有關資料當事人(如用戶)的訂明同意,否則個人資料只可使用於在收集時述明的目的或直接有關的目的。
應用程式開發商若將資料當事人的個人資料披露予已在其「收集個人資料聲明」中訂明的資料承讓人,以進行聲明中已訂明的用途,一般來說,不涉及違反條例的規定。但若將用戶的個人資料轉售或分享予直銷用途,則除非應用程式開發者已通知用戶(資料使用者)有關用途並取得其書面同意,否則有可能違反條例第6A部下的相關規定。
公署建議用戶在下載應用程式前,應細閱有關私隱政策和聲明,了解程式會查閱、上載或分享你智能電話內的哪些資料,再決定是否值得以你的個人資料私隱去交換。
2. 目前條例下並未有規定資料使用者在傳輸個人資料予第三方時須要加密,但針對資料保安方面,條例的保障資料第4原則(即「資料保安原則」)則規定資料使用者須採取切實可行的步驟,保障個人資料不受未獲准許或意外地被查閱、處理、刪除、喪失或使用。
一般而言,外洩個人資料有可能構成違反保障資料第4原則。縱使違反保障資料原則不直接構成刑事罪行,但私隱專員在完成調查後可向違法者發出執行通知,指令其採取補救措施,以糾正該項違反,以及防止違反再發生。不遵守私隱專員的執行通知即屬犯罪。違法者一經定罪,最高可被判處罰款港幣50,000元及監禁2年。
任何人士如懷疑其個人資料私隱受到侵犯,而又能提供表面證據,可以向公署作書面投訴。公署在收到投訴後會接觸投訴人,若認為投訴個案的表面證據成立,或會就個案作出調查,以決定被投訴者是否有違反條例的規定。
市民或消費者亦需要明白個人資料要自保,正如上述答1所說,在下載應用程式前必須小心,須提防惡意程式,避免在不知名的平台下載,並且定期清除不再使用的應用程式。
3. 市民在下載應用程式時,應注意以下事項:-
公署已於2014年12月修訂了《經互聯網收集及使用個人資料:給資料使用者的指引》,協助機構更詳盡了解經互聯網收集、展示或傳輸個人資料時,應如何依從條例的規定。此外,隨著應用程式的普及發展,公署亦於2015年10月更新了《開發流動應用程式最佳行事方式指引》並介紹如何以貫徹私隱的概念開發產品和服務。這份指引亦提供詳細的檢查清單,為程式開發商闡述設計保障私隱的程式時須考慮的所有因素;亦建議連串的最佳行事方式。同時,公署鼓勵機構若發現資料外洩事故,應通知公署,以妥善處理有關事故。
此外,公署發出一份名為《保障私隱—明智使用智能電話》的資料單張;另更多相關保障個人資料私隱貼士,可參考公署的「網上私隱要自保」專題網站www.pcpd.org.hk/besmartonline/。
(如需引述,請寫個人資料私隱專員黃繼兒)