回應傳媒查詢或報道

2019年1月11日

謝謝你的查詢，有關基因檢測服務與保險相關的私隱問題，公署現就個人資料私隱範疇回覆如下：

答1及2:

《個人資料（私隱）條例》（《私隱條例》）沒有就生物辨識資料作出定義或施加較嚴格的規定。不過，私隱專員早前刊發的《收集及使用生物辨識資料指引》中，指出生物辨識資料包括個人先天的生理資料及後天形成的行為資料。因此，生物辨識資料是直接與個人有關的。而DNA樣本、指紋等均屬生物辨識資料。生物辨識資料往往是獨一無二及不可改變，而當生物辨識資料與另一資料庫的個人資料連結，又或經整合和分析後，可直接或間接辨識個別人士的身份。因此生物辨識資料亦會被視為《私隱條例》下的個人資料，受《私隱條例》相關的條文及其六項資料保障原則所規管。機構作為資料使用者，應考慮到生物辨識資料的特殊及敏感性質，而提高所採取的保障措施。
而歐盟的《通用數據保障條例》則就處理「特別類別」的個人資料有所規定。「特別類別」的個人資料包括基因資料或生物辨識資料。這些類別的個人資料基於其固有及不可改變的性質，被視為本質較為敏感，又或基於不當的處理可能會為個人造成嚴重傷害或歧視性後果而作出劃分。
私隱專員早前刊發《收集及使用生物辨識資料指引》，旨在協助機構在收集及處理生物辨識資料方面遵守《私隱條例》的規定，當中的建議包括：

進行私隱影響評估，以評估建議的做法對個人資料私隱的影響。
給予資料當事人自主及知情的選擇，並詳細解釋收集其生物辨識資料對個人資料私隱的影響。
嚴格控制查閱、使用及移轉生物辨識資料，除非已事先取得個別人士明確及自願的同意，否則機構不應將其生物辨識資料用於任何與原本收集目的無關的範疇上（包括披露予第三者）。
對於一些已不再需要用於原來收集目的的生物辨識資料，應定期並經常將這些資料銷毀。
在合理地切實可行的情況下實施有效的保安措施，防止生物辨識資料庫受破壞及盜用，如在儲存或傳送生物辨識資料時，把資料加密、定期檢視相關的資訊科技系統保安等。
防止生物辨識資料因與其他資訊科技系統或資料庫的不必要連結，而不慎出現資料移轉或用途被改變的情況。
定期進行私隱循規評估及檢討，確保有關行動及做法符合《私隱條例》的規定。負責收集及管理生物辨識資料的僱員必須得到適當的培訓、指導及督導。
如聘用承辦商處理個人資料，該機構／企業須採取合約規範方法或其他方法，以防止轉移予該承辦商的個人資料的保存時間超過處理所需的時間，及防止資料在未獲准許或意外地被查閱、處理、刪除、喪失或使用。

答3:

基因檢測機構能否向保險公司披露或轉移個別用戶的檢測結果，要視乎與當初在收集用戶個人資料時所述明的收集目的或直接相關的目的，以及資料承轉人類別是否相符；除非得到相關用戶的自願和明確的同意，否則個人資料不得用於新目的（保障資料第3原則－使用）。

答4:

《私隱條例》沒有禁止任何收購合併等的商業活動，但若當中涉及個人資料的持有、處理或使用（包括披露和轉移），相關機構便必須遵從《私隱條例》及相關資料保障原則的要求，其中不論個人資料是否只供機構內部使用，除非得到相關用戶的自願和明確的同意，否則相關資料只可用於當初在收集個人資料時所述明的收集目的或直接相關的目的。
若涉及直接促銷（直銷）的行為，則須遵從《私隱條例》第6A部的規定。若收購方打算使用從被收購公司所取得的用戶個人資料作直銷，收購方仍須告知用戶它有意使用有關資料作直銷，除非被收購公司已採取有關的指明行動，並向收購方確認用戶已同意使用或提供其個人資料作直銷，及收購方有意促銷的產品或服務是在用戶已同意的促銷目標的的類別之內。

答5:

為配合實際操作需要及平衡其他社會利益，《私隱條例》另訂有豁免條文：《私隱條例》第8部訂明，如私隱權益可能對若干公眾或社會利益構成損害，則無須受有關規定所管限。這些利益包括保安、防衞及國際關係、罪案的防止或偵查、評稅或收稅、健康、法律程序、新聞、統計及研究等。
機構需要審視情況是否合乎規定，自行決定是否引用《私隱條例》的相關豁免條文，以及有責任弄清楚其賴以披露有關資料的豁免的適用性。因此，機構在引用豁免前，應要求對方提供更多資訊。

答6:

答7: