公署不會評論個別案件或個別機構有否違規。
《個人資料(私隱)條例》(「條例」)規定,任何收集和使用,包括披露和轉移個人資料 的人士/機構(即資料使用者),須遵從條例的規定,包括六項保障資料原則。其中保障資料第4原則(個人資料的保安)規定,資料使用者須採取所有切實可行的步驟,確保持有的個人資料不會被人未經授權或意外地查閱、處理、刪除、遺失或使用。
一般而言,外洩個人資料有可能構成違反保障資料第4原則。違反保障資料原則不直接構成刑事罪行,但私隱專員可發出執行通知,指令資料使用者採取補救措施,以及防止該違反再次發生。不遵守專員的執行通知即屬犯罪。違法者一經定罪,最高可被判處罰款港幣50,000元及監禁2年。
按不同情況,私隱專員可會主動聯絡外洩資料的機構,以了解事件的具體詳情,考慮應否展開循規審查或調查,以協助該機構檢討處理個人資料的程序和政策,並建議採取措施糾正和防止有可能違規的行為。根據條例,考慮的因素包括:
同時,公署建議機構若發現資料外洩事故,應通知公署,以妥善處理有關事故。公署刊發《資料外洩事故的處理及通報指引》,當中規定如發生資料外洩事故,資料使用者須立即收集有關事故的重要資料、採取適當措施遏止事件擴大,以及考慮作出資料外洩通報等。
(如需引述,請寫首席個人資料主任黎智敏)