2018年4月4日
公署回應有關數據公司收集市民資料轉售的問題
謝謝你的查詢,有關數據公司收集市民資料轉售的問題,需要攜帶全港選民個人資料到場公署現綜合回覆如下:
-
一般而言,任何數據公司或應用程式/網站營運商(作為資料使用者)若在香港透過任何渠道(如媒體平台或應用程式)收集、持有、處理或使用(包括披露和轉移)用戶的個人資料,都須遵從《個人資料(私隱)條例》(《私隱條例》)的相關規定,當中包括:
-
數據公司或應用程式/網站營運商應以合法和公平的方式收集用戶的個人資料,而其目的應直接與其服務有關,並應在收集用戶個人資料時或之前提供《收集個人資料聲明》,告知他們該媒體平台或應用程式會收集/使用/處理甚麼資料,以及資料可能會轉移給哪類人士[1]。如聲明過於含糊不清,數據公司或應用程式/網站營運商可能會被視作對收集/使用及查閱資料的目的有所隱瞞,而構成以不公平方式收集個人資料。
-
雖然《私隱條例》並沒有禁止數據公司或應用程式/網站營運商轉移或披露用戶的個人資料予其他持份者,但在披露或轉移用戶的個人資料之前,必須確保有關披露或轉移並不構成新目的(即當初收集用戶的個人資料時擬使用的目的以外的目的或並非直接相關的用途上),除非已事先獲得有關用戶自願給予的明示同意[2]。公署會考慮一系列因素,去決定有關同意是否屬自願,包括有關同意是否屬「捆綁式同意」,即用戶在拒絕給予同意後是否不獲提供服務,與及客戶是否已獲提供足夠資料讓其作出決定。
-
數據公司或應用程式/網站營運商若將用戶的個人資料披露予已在其《收集個人資料聲明》中訂明的資料承讓人,以進行聲明中已訂明的用途,一般來說,並不涉及違反《私隱條例》的規定。但若擬將用戶的個人資料轉售或分享予直接促銷用途,則必須遵守《私隱條例》第6A部下有關直接促銷的規定。詳情可參閱私隱專員刊發的《直接促銷新指引》,其中規定包括:
-
不論是轉移資料者或承轉人,皆必須告知用戶其擬如此使用或提供其資料;
-
將用戶的個人資料首次在直接促銷中使用時,須告知用戶,他有權要求在不向其收費的情況下,停止如此使用有關資料;及
-
須獲得用戶的同意(如屬提供個人資料,同意必須以書面作出)。
-
在大數據經濟下,個人資料可能被大量收集、轉移及分析,以推測個別人士的生活習慣、喜好、信貸評分等,甚或被轉售以圖利,對個人資料私隱構成侵害。私隱專員提醒巿民要「自保」,在選擇下載或使用任何應用程式/社交媒體/網站,又或透過應用程式或平台提供個人資料時,應注意以下事項:
-
在安裝應用程式或選用社交媒體/網站前,應查明其《私隱政策聲明》和《收集個人資料聲明》,了解程式/網站會查閱、上載或分享你智能裝置內的哪些資料,再決定是否安裝或選用;
-
在安裝或選用後,如操作系統許可,應不時檢視程式或平台的權限設定,如有需要可限制其讀取不必要的資料,如通訊錄和短訊資料;及
-
如有懷疑,應移除可疑和不常用的應用程式或停用相關的社交媒體/網站,以減低資料外洩的風險。
-
過去三年公署接獲與使用資訊及通訊科技有關的投訴個案如下:
|
年份 |
與資訊及通訊科技應用
有關的投訴
總數 (宗) |
與社交網站
有關
(宗) |
與智能電話
應用程式有關
(宗) |
在互聯網披露或洩漏個人
資料 (宗) |
|
2017年 |
237 |
113 |
58 |
50 |
|
2016年 |
229 |
86 |
61 |
26 |
|
2015年 |
241 |
19 |
71 |
22 |
-
私隱專員已就近日有報道指社交媒體平台Facebook用戶個人資料疑被濫用一事展開循規審查,並會按照《私隱條例》的規定及既定程序跟進事件。
-
截至2018年4月3日,公署未有接獲與Facebook用戶個人資料疑被濫用事件的相關投訴,而查詢則有一宗[3]。
(如需引述,請寫香港個人資料私隱專員黃繼兒)
[1] 《私隱條例》下保障資料第1原則:收集資料原則
[2] 《私隱條例》下保障資料第3原則:使用資料原則