2018年3月29日
公署回應有關生物科技所涉及的個人資料私隱事宜
謝謝你的查詢有關生物科技所涉及的個人資料私隱事宜,需要攜帶全港選民個人資料到場公署現回覆如下:
-
個人的指紋、面部圖像、虹膜及視網膜等都是人體的生物特徵,乃與生俱來的,因此生物辨識資料往往是獨一無二及不可改變的。雖然一般人未必能夠單憑觀看指紋、虹膜影像或圖像數據來確定某人的身份,但當生物辨識資料與另一資料庫的個人資料連結,又或經整合和分析後可直接或間接辨識個別人士的身份。
-
事實上,基於生物辨識資料的獨特性,在刑事調查中往往被用作身份識別,如指紋、面部圖像等早已被執法機構應用於刑事調查以作識別用途。機構或企業應基於個人資料的特殊及敏感性質,而提高所採取的保障措施。
-
這些個人資料基於其固有及不可改變的性質,被視為本質較為敏感,又或基於不當的處理可能會為個人造成嚴重傷害或歧視性後果而作出劃分。
新訂立的歐盟《通用數據保障條例》禁止處理這些特別類別的個人資料,除非符合其中一項指明的條件,當中包括 (i) 資料當事人就有關處理已經給予明確的同意;或 (ii)為了重大的公眾利益,有關處理屬必需的,亦與所追求的目標相稱。
香港的《個人資料(私隱)條例》(《私隱條例》)沒有就被視為敏感類別的個人資料施加較嚴格的規定。不過,《私隱條例》規定機構/企業在考慮實施適當措施確保資料保安時,須考慮個人資料的種類,尤其敏感的個人資料。
私隱專員剛印備如何準備符合於2018年5月25日生效的新歐盟條例的小冊子,可於公署網站有關
歐盟《通用數據保障條例》的專頁下載。
-
私隱專員早前刊發《收集及使用生物辨識資料指引》,旨在協助機構/企業(作為資料使用者)負責任地收集及使用生物辨識資料,以減低相關的私隱風險,當中的建議包括:
-
有意收集生物辨識資料的資料使用者須首先考慮有關收集是否必需的,因此私隱專員鼓勵有關機構/企業進行私隱影響評估,以評估建議的做法對個人資料私隱的影響。
-
機構/企業應給予資料當事人自主及知情的選擇,自行決定是否容許收集其生物辨識資料,並詳細解釋收集其生物辨識資料對個人資料私隱的影響。
-
應嚴格控制查閱、使用及移轉生物辨識資料,除非機構/企業已事先取得個別人士明確及自願的同意,否則他們不應將其生物辨識資料用於任何與原本收集目的無關的範疇上(包括披露予第三者)。
-
對於一些已不再需要用於原來收集目的的生物辨識資料,機構/企業應定期並經常將這些資料銷毀。
-
鑑於生物辨識資料為敏感的資料,機構/企業應在合理地切實可行的情況下實施有效的保安措施,防止生物辨識資料庫受破壞及盜用,如在儲存或傳送生物辨識資料時,把資料加密。
-
機構/企業應定期進行私隱循規評估及檢討,確保有關行動及做法符合條例的規定。負責收集及管理生物辨識資料的僱員必須得到適當的培訓、指導及督導。
-
如聘用承辦商處理個人資料,該機構/企業須採取合約規範方法或其他方法,以防止轉移予該承辦商的個人資料的保存時間超過處理所需的時間,及防止資料在未獲准許或意外地被查閱、處理、刪除、喪失或使用。
(如需引述,請寫香港個人資料私隱專員黃繼兒)